Policy routing and incoming traffic

Read Astaro Knowledgebase - Policy Route a second WAN Connection

but with Astaro v6 I can successfully use Police Route for incoming and outgoing traffic

[FONT=Courier New][SIZE=3][SIZE=4]     INTERNET[/SIZE][/SIZE][/FONT]
[FONT=Courier New][SIZE=3][SIZE=4]      /                   [/SIZE][/SIZE][/FONT]
[FONT=Courier New][SIZE=3][SIZE=4]         WAN1 (DSL)                          WAN2 (FR)[/SIZE][/SIZE][/FONT]
[FONT=Courier New][SIZE=3][SIZE=4]          \                                     /[/SIZE][/SIZE][/FONT]
[FONT=Courier New][SIZE=3][SIZE=4]         ASL/ASG Appliance[/SIZE][/SIZE][/FONT]
[FONT=Courier New][SIZE=3][SIZE=4]            |                                          |[/SIZE][/SIZE][/FONT]
[FONT=Courier New][SIZE=3][SIZE=4] Internal (network)           DMZ (network)[/SIZE][/SIZE][/FONT]
[FONT=Courier New][SIZE=3][SIZE=4] 192.168.0.0/24                    192.168.100.0/24[/SIZE][/SIZE][/FONT] 

 

Where WAN1 is DEFAULT GATEWAY (For Proxy HTTP better is asymmetric 4096/512 Kb/s DSL) and WAN2 with symmetric 2Mb/s Frame Relay. I use additional ip addresses for interface WAN1 and WAN2 for SNAT nad DNAT rules. I want use DSL WAN1 link mainly for ASG Proxy. Where Inernal network use SNAT for additional ip address of WAN2 and DMZ network use SNAT and DNAT for additional ip address of WAN2 for each servers at DMZ zone.

Now, I start use ASG V7 and the same configuration don't work the same like with v6.
V7 maybe have same bug because when I traceroute from Internal network to privet ip address of DMZ server like 192.168.100.2 I have error answer from WAN2 (FR) border router. It's look like ASG doing NAT where for DMZ networks should not make it as it made ASL v6.

Best Regards,
WaMaR

------
There is some bypassing of problem before Astro fix the bug - http://www.astaro.org/showthread.php?t=17530

I have exactly the same problem. I have opened a support case with Astaro in August (!) and I still do not have a solution. The Case is up at the developers, and the last thing I heard from Astaro is the usual MS answer "It's not a bug, it's a feature".
Something in the routing has changed from V6 to V7. For me, this is a bug, maybe in the design, but it's still a bug.

I am supposed to get a workaround configuration today (I hope). As soon as I tried it, I will post it here. Also they told me they wanted to make a new how-to, because this is definately wrong.

I am still pretty mad, because this is really a simple thing. And I don't see how this could not be seen as a bug.

I have opened a support case with Astaro, too. [:)]

After direct call phone to Astaro German Support and one hour of conversation two problems with routing have been confirmed.

1) routing-order is unclear, it seems in V7 there are something has changed so locally attached networks need a separate route to other local networks. My [FONT=&quot]Support Engineer[/FONT] opened a ticket at their development. There the local routes were prior the pbr-routing.

      2) the order of PBR_rules is not determinable. Whenever we move a rule from position a to position b (in order to change the order of them) it changes to position x. This will change with coming 7.1 where a new webadmin will be implemented.

  He was sorry for these inconveniences, as far as He get feedback on 1. from their development He will let me know how they can realise this. So long I will to continue running V6.

WaMaR

I have opened a support case with Astaro, too. [:)]

After direct call phone to Astaro German Support and one hour of conversation two problems with routing have been confirmed.

1) routing-order is unclear, it seems in V7 there are something has changed so locally attached networks need a separate route to other local networks. My [FONT=&quot]Support Engineer[/FONT] opened a ticket at their development. There the local routes were prior the pbr-routing.

      2) the order of PBR_rules is not determinable. Whenever we move a rule from position a to position b (in order to change the order of them) it changes to position x. This will change with coming 7.1 where a new webadmin will be implemented.

  He was sorry for these inconveniences, as far as He get feedback on 1. from their development He will let me know how they can realise this. So long I will to continue running V6.

WaMaR

Please post your Solution as soon as you get it, because Astaro still has not answered me.

I have the same problem with a ASG 220 and two DNAT-Rules. The first rule goes into the internal network and this rule works well. The secound rule goes into the DMZ and this rule doesn't work.

I'm in hope, that the error is well known on the side of Astaro and they are able to give us a Update for 7.011.

Remi

I would like to know, if the routing-order error is fixed with the new 7.1 version?
I didn't found such a error description (or fix) in the ASGV7 Known Issues List.

Remi

As far as I know it is not fixed, since Astaro does not see this as a bug. The Support guy told me there will be no fix. We have to have NAT rules for every internal net we want to reach. This is really a lot of work for a simple thing as reordering.
I don't know if I want to do this or not, whenever I change one network I have to change several NAT rules too.
Also the support guy could not tell me what the benefit of this "feature" is.

I can understand this as new "feature" with ASG 7, but why Astaro can't tell us how we should configure Astaro to work OK with this new "feature" when I want and have to use Policy routing, SNAT, DNAT, FullNAT and Masquerading for all 7 ethernet interfaces which I use for my different security policy zones.

Please look at the following post http://astaro.org/showthread.php?t=20531 and tell me if it works ...

thx

Schroeder