Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2454 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web,Downloads and the Rest across different Interf

Bernhard Pankok
In want to route Web,Downloads and the Rest across different Interfaces. 
Web and Downloads should go across an ADSL-Connection (ARCOR), Incomming Mails and Remote-Acces to the Company-LAN should come over a SDSL-Connection (QSC). Is there a way to realize this?
Regards
Bernhard


This thread was automatically locked due to age.
  • 0
    Create a masquerade rule to masquerade the Internal network behind the SDLC WAN interface on your ASL box. This becomes your default connection, so the SDLC interface must be programmed with the default route entry for the ASL box. You should run the DHCP client on this interface.

    You will need to set up the ADSL Interface manually, without running the DHCP client, so that you  avoid getting a default route entry set, and you will have to create a host entry in your definitions for the router on your ADSL connection, so that you can select it from the list in ASL.

    Create specific NAT rules to route the traffic addressed to ports 20, 21 & 80 destinations (FTP & HTTP) to the ISP's router connected to the ADSL WAN link. You will also need to create a suitable set of packet filters to go with the routing.
  • 0 in reply to VelvetFog
    This sounds interesting. But hown can I configure an ADSL-Connection without DHCP. This interface gets his IP-Configuration form the Provider.
    The SDSL-Interface has a static IP and a default Gateway.
  • 0 in reply to Bernhard Pankok
    From what you describe, your ADSL line appears to be the best choice for default outbound link, since that is the Interface that has to run the DHCP client, which gives it a default route.

    It seems your simplest technical solution may be to divide the outgoing traffic differently, by simply swapping the purpose of the two links, and sending the web and FTP traffic to the SDLC line and the rest over the ADSL line. However, I do realize that that might not be acceptable for other reasons, since clearly, your SDSL line, with its static IP, is supposed to be the firms main IP address, while the ADSL link is intended for the web and FTP bulk traffic.

    One workaround you might try is to place a cheap 4-port consumer router between the ADSL modem and the ASL box. Then you can configure the ADSL WAN interface on the ASL box statically, with no default route issue on the interface
  • 0 in reply to VelvetFog
    If you have an ADSL there is no difference, cause even the static IP will be assign through dhcp. Although the default gateway will be assign, but you are able to say none default gateway on the adsl line. it seems to be there is still one in the interface menu, but when you show up kernel routing page, you will see there is only one default gateway.

    I am using this configuration an an static SDSL line, here I have to configure IP etc myself, and a T-DSL (Telekom) static ADSL line. The default gateway is from SDSL, ADSL is set to no default gateway. Standard traffic goes through SDSL, special traffic via ADSL (static routing). In V6 you are able to user policy based routing, so you are able to manage your traffic very specific.

    cu may
  • 0 in reply to maygyver
    Hi all,

    I'm still trying to setup pol.basedRouting, but I'm to dumb for this. I need help. I think it's time that a professional  should supply a manual or a note, which describes 'How to setup 'policy based routing' with all aspects.

    I want to route Web,Downloads and the Rest across different External Routers also.
    My Astaro has one external phys. Interface. Do I need 2 ?
     
    Web and Downloads should go across an ADSL-Connection (1&1), Incomming Mails and Remote-Access to the Company-LAN should come over a SDSL-Connection (SpaceNet).
    My ISPs 1&1 and Spacenet don't have the same infrastructure.

    It would be highly welcome, if someone could supply some
    screenshots of the setup for:
    Network -> Interfaces section
    Network -> Routing section
    Network -> NAT section
    PacketFilter -> Rules section
  • 0 in reply to sfischer
    Here's the solution:
    (you need minimum of 2 ext interfaces)

    Policy-based routing by using http-/SMTP-/pop3-proxy

    Product version: 6.001 and later

    Summary:

    What is the benefit of policy-based-routing? When your company has two different connections to the internet, e.g. one dedicated line with unlimited traffic and one DSL with a traffic limitation, you can split your traffic by definition of the used protocol, source or destination. For example, all http traffic over the dedicated line – normally the biggest part of whole traffic - and the other traffic (SMTP, pop3) over DSL.

    The following step-by-step instruction describes the configuration of policy-based-routing by simultaneously using the proxy-functionality on ASL.

    1. Create your secondary internet-access, e.g. DSL. When this line is established by a router in front of Astaro, create additionally the gateway-IP as a host definition.

    2. Webadmin -> Network -> Routing -> policy based routing, for example HTTP

    Source: External Address (that one currently with the default gateway on)
    Source Interface: Any
    Destination: Any
    Service: HTTP
    Target: Gateway-IP of your secondary Interface (even if this has none itself, since you can only define one gateway), or PPPOE-Interface-Address

    3. Additionally you need SNAT-rule to replace the external IP to the new target interface. 

    Webadmin -> Network -> NAT/Masquerading 

    Source: external address of the primary line
    Destination: any
    Service: http
    Change source to: external address of the secondary interface

    The same way you can create policy-based routing for SMTP or pop3, only the services in the definitions below must be changed.
  • 0 in reply to sfischer
    Hi,
    I tried the solution above.
    Instead of using single Services like (HTTP,FTP....
    I created a Service-Group with:
    HTTP; NEWS; ...; ping and tracerout.

    I have no luck with traceroute and ping.
    I guess we can't use a service-group within a service-group.

    (BTW: ping-group consists of ping-reply and ping-request)

    Any ideas ???
  • 0 in reply to sfischer
    [ QUOTE ]
    I have no luck with traceroute and ping.
    I guess we can't use a service-group within a service-group.

    [/ QUOTE ]Unless they changed it in ASL v6, you should be able to create nested service groups. It works in ASL v4, which is what I am running.

    Using service groups greatly simplifies the creation of packet filter rules. I use three such groups. One for permitted traffic to the Internal network, another for permitted traffic to the DMZ network, and a third for stuff that should always be dropped.

    I'll give you one guess as to which group I put all the Microsoft sub-protocols in.    [:)]
  • 0 in reply to VelvetFog
    Hi,

    I guess, the always allow to any :-). To locate poor suckers who dont have a FW. (Ahh, dont hit me)

    echo req. and rep. should be listed as single services so you can group them to any group, service group in service group should also work. Did you enable ping and traceroute on the ICMP page?
    Those are automatic filters, that get handled before the user generated filters. 

    Chris