Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1778 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

3 LANs, 3 SG 210s

FICS
Hello everyone,

I'm looking for a 'best practice' for connecting 3 LANs together using the Sophos SG 210.

Here's the scenario:
Site A is connected using Ethernet to Site B which is also connected via Ethernet to Site C.  Site A and C are not directly connected however they will need to be able to exchange data through site B.

So, it would look something like this:

A ----- B ----- C

I should mention that each site also has it's own connection to the internet as well so we should draw it more like this:

   Internet
  /      |      \
A --- B --- C

Since the SG 210 has more than enough Ethernet ports in it, I'm planning the following layout:

Site A - 10.1.10.x
eth0 LAN
eth1 WAN
eth2 connection to eth2 at Site B

Site B - 10.1.20.x
eth0 LAN
eth1 WAN
eth2 connection to eth2 at Site A
eth3 connection to eth2 at Site C

Site C - 10.1.30.x
eth0 LAN
eth1 WAN
eth2 connection to eth2 at Site B

So far I think that the first layer makes sense because it is logical and there aren't many other ways to make this happen (other than site-to-site VPNs using the internet connections creating a lot of traffic on an otherwise sleepy internet connection)

Here's my question:
When I configure the interfaces for the site-to-site Ethernet connections (IE: eth2 at Site A), should they be given IPs in a totally different range (say 10.100.100.0/8)?

Another question:
How do I go about building the routes between the sites?  I only want the traffic bound for other sites to be passed across the site-to-site links.  (IE: 10.1.10.157 at Site A wants to talk to 10.1.30.16 at Site C)

Bonus question:
What needs to be configured to allow the sites to fail-over to the other site's internet connections but use their primary connections by default until the link is unavailable?

NOTE: I have been considering doing this using site-to-site VPN connections but am a little confused about how traffic would route from A to C as well as the overhead created by the encryption.

Thanks for reading and thanks more if you respond!


This thread was automatically locked due to age.
Parents
  • 0
    In site C configure 172.21.10.11 as default gateway (so actually the default gateway is almost always the first device (IP-address) sitting behind the box from where you are configuring it.
    On Site B you can configure the default gateway for the interconnecting interface to C with 172.21.10.10.
    In that case every UTM has 2 default gateways (1 pointing to the internet connection connected to it and one pointing to it's neighbour UTM).

    For connecting C to A you will have to add static routes in both UTM's. Like this:

    In UTM A
    10.1.30.0/24 => UTM-B's IP-address of interconnecting interface between A and B.

    In UTM C
    10.1.10.0/24 => 172.21.10.11

    You will also need firewall rules in A and C to allow the traffic between those 2 subnets. And you would also need rules in UTM-B to allow all the traffic.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

Reply
  • 0
    In site C configure 172.21.10.11 as default gateway (so actually the default gateway is almost always the first device (IP-address) sitting behind the box from where you are configuring it.
    On Site B you can configure the default gateway for the interconnecting interface to C with 172.21.10.10.
    In that case every UTM has 2 default gateways (1 pointing to the internet connection connected to it and one pointing to it's neighbour UTM).

    For connecting C to A you will have to add static routes in both UTM's. Like this:

    In UTM A
    10.1.30.0/24 => UTM-B's IP-address of interconnecting interface between A and B.

    In UTM C
    10.1.10.0/24 => 172.21.10.11

    You will also need firewall rules in A and C to allow the traffic between those 2 subnets. And you would also need rules in UTM-B to allow all the traffic.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?