Policy Routing - I don't get it

Well, you can't route incoming traffic through the DSL connection, unless those connections are established using an IP address on the DSL interface.

But for all outbound connections, just setup a policy route like this:

Source: Any
Service: FTP
Destination: Any
Target: eth2 DSL Interface
Source Interface: Internal

So as long as the FTP connection is established from the Internal network, all uploads and downloads should go through the DSL line.

"Well, you can't route incoming traffic through the DSL connection, unless those connections are established using an IP address on the DSL interface"

Can I clarify what you are saying here drees please? 

I plan to do something similiar with a pptp incoming connection through an second (not default GW) external dsl connection. 

This connection would have a public IP address and the gateway for it would be that of the ISP.

Are you saying that this would not be possible or am I misinterpreting?

OK, so you have a DSL connection an a leased line.

Both connections will have their own IP address range and their own routers.

For example using private IPs:

DSL: 10.1.1.0/24
Leased: 10.1.2.0/24

Now say you have a DMZed server on 192.167.1.10 and you have DNATed 10.1.1.10 and 10.1.2.10 to the server.

To get a packet in to the DSL line, it must be sent to 10.1.1.10.
To get a packet in to the Leased line, it must be sent to 10.1.2.10.

The routers upstream of the DSL and Leased lines control where to send packets destined for those IP addresses. This means that if the DSL line goes down and you still try to send packets to 10.1.1.10, they will not make it.

If you wanted to be able to make the lines redundant, you would need to have a router plugged into both DSL and the Leased line which understands the BGP router protocol or similar. BGP can detect line failures and route around them. So if the DSL line went down, all traffic would get routed over the Leased line. You would also have to coordinate with the provider of your DSL and Leased line to give you an IP address range that is BGP routed.

Now if all you want to do is to be able to have a failover line for basic outbound Internet access, Astaro can do connection failover.

But it can't do connection failover and policy routing at the same time - meaning if you want to utilize both lines and be able to fail over in the event of a network outage on one of the lines, you'll need manual intervention. And if you have a server on one of the downed lines, it will still be unaccessible unless you can do a quick DNS change when a line goes down.

There are products out there that do outbound load balancing, for example, others have used the Xincom TwinWAN or MultiWAN products with good success in front of Astaro before. That solution seems like a bit of a hack to me though since those products also have some of the capabilities of the Astaro, making them a bit redundant.

Edit: If Astaro could load balance multiple lines with similar functionality to the TwinWAN or PePLink's Balance routers, that would dramatically increase the value of the product.

So, as I follow this; if I were to attempt to establish a vpn pptp link targeting the second (non Default GW) external interface IP address and had set up a dnat to the vpn server behind the astaro I wouldn't need to route anything.

But it didn't work.


This is the configuration I tried with and without the policy based routing.

DNAT [Remote Access]
Traffic selector:Any→PPTP→wan2 (Address)
Destination translation:Server PPTP

POLICY BASED ROUTING

Target: Internal
Selector:Any→wan2→PPTP→Server

Target: WAN2
Selector:Internal(Network)→ Internal→ PPTP→ ANY


MASQUERADING

ANY→ WAN1
ANY→ WAN2

PACKET FILTER

ANY→PPTP→Server

Any help much appreciated.