Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1781 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

3 LANs, 3 SG 210s

FICS
Hello everyone,

I'm looking for a 'best practice' for connecting 3 LANs together using the Sophos SG 210.

Here's the scenario:
Site A is connected using Ethernet to Site B which is also connected via Ethernet to Site C.  Site A and C are not directly connected however they will need to be able to exchange data through site B.

So, it would look something like this:

A ----- B ----- C

I should mention that each site also has it's own connection to the internet as well so we should draw it more like this:

   Internet
  /      |      \
A --- B --- C

Since the SG 210 has more than enough Ethernet ports in it, I'm planning the following layout:

Site A - 10.1.10.x
eth0 LAN
eth1 WAN
eth2 connection to eth2 at Site B

Site B - 10.1.20.x
eth0 LAN
eth1 WAN
eth2 connection to eth2 at Site A
eth3 connection to eth2 at Site C

Site C - 10.1.30.x
eth0 LAN
eth1 WAN
eth2 connection to eth2 at Site B

So far I think that the first layer makes sense because it is logical and there aren't many other ways to make this happen (other than site-to-site VPNs using the internet connections creating a lot of traffic on an otherwise sleepy internet connection)

Here's my question:
When I configure the interfaces for the site-to-site Ethernet connections (IE: eth2 at Site A), should they be given IPs in a totally different range (say 10.100.100.0/8)?

Another question:
How do I go about building the routes between the sites?  I only want the traffic bound for other sites to be passed across the site-to-site links.  (IE: 10.1.10.157 at Site A wants to talk to 10.1.30.16 at Site C)

Bonus question:
What needs to be configured to allow the sites to fail-over to the other site's internet connections but use their primary connections by default until the link is unavailable?

NOTE: I have been considering doing this using site-to-site VPN connections but am a little confused about how traffic would route from A to C as well as the overhead created by the encryption.

Thanks for reading and thanks more if you respond!


This thread was automatically locked due to age.
Parents
  • 0
    If your 3 sites are physically next to each other your really ever needed only 1 UTM, but since you have 3 you can use your first scenario. The interfaces IP-addresses will need to match the interface on the other UTM so UTM-A int 2 = 10.1.10.2 (for instance) then you could give UTM-B int 2 = 10.1.10.3 (or something inside UTM-A's subnet). That way you won't need any static routing on UTM B, since it is connected to every other UTM. On UTM A you need a static route for 10.1.30.0/24 => 10.1.10.3 (UTM-B's interface IP-address).
    UTM C would need a same route for 10.1.10.0/24 => 10.1.20.x (UTM-B's interface IP-address for the interface connected to UTM-C).

    I think you can also enter a default gateway on those interconnecting interfaces and add masquerading rules for the other networks in your UTM's and then you can also use the other UTM's internet connections as fail-over.

    And you do need to allow the traffic between the different networks in the firewall, otherwise no traffic will ever flow from one to the other UTM.

    You could go for site-2-site, but why add this CPU-consuming feature if all UTM's are already next to each other and a direct UTP-cable connection is possible.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0 in reply to apijnappels
    I have it all up and running and ready for testing but I need a clarification on this:
    I think you can also enter a default gateway on those interconnecting interfaces and add masquerading rules for the other networks in your UTM's and then you can also use the other UTM's internet connections as fail-over.


    Which gateway would I use in the interface configuration?
    Site C is using eth3 configured as 172.21.10.10 connected to 172.21.10.11 over at Site B.  Do I configure Site C's eth3 connection to use the UTM at Site B's eth0 (LAN) IP as the gateway?

    What about connecting Site C to Site A?

    Again, thanks for your time.
Reply
  • 0 in reply to apijnappels
    I have it all up and running and ready for testing but I need a clarification on this:
    I think you can also enter a default gateway on those interconnecting interfaces and add masquerading rules for the other networks in your UTM's and then you can also use the other UTM's internet connections as fail-over.


    Which gateway would I use in the interface configuration?
    Site C is using eth3 configured as 172.21.10.10 connected to 172.21.10.11 over at Site B.  Do I configure Site C's eth3 connection to use the UTM at Site B's eth0 (LAN) IP as the gateway?

    What about connecting Site C to Site A?

    Again, thanks for your time.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?