Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3664 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Failover routing based on primary uplink status

TheDrew
Hi,

I'm trying to figure out if something is possible with a pair of ASG v8's I have.

In one of our remote offices I have an Astaro that handles routing for the office. Normally all Internet bound traffic passes through our DSL connection while all traffic bound for HQ passes through a dedicated WAN connection. What I wanted to do was setup an uplink monitor so that in the event the DSL goes down, all traffic gets routed through the WAN to the other side, where another Astaro handles the rerouted traffic.

The obvious answer seems to be using OSPF routing but I have 'zero' experience with it and from the reading I've done of it, overkill is the best descriptor for my network.

The other obvious solution is just to manually setup the spare routing entries and whenever we need them just manually flip them on. I already have this in place but was hoping for an automatic setting somewhere.

The last solution I came up with is to setup a VPN tunnel (across the WAN) between ASG's and setup an action to enable the tunnel. It doesn't feel clean somehow tho.

So has anybody ever tried setting something like this up before?


This thread was automatically locked due to age.
  • 0
    I'm guessing here but I assume you want a heartbeat check.

    If the DSL goes down in one different office (Check by heartbeat ping) then use the WAN side for routing all traffic in a different office?

    If so, im not sure how this could be done since your rules based in one location office would need to be cloned to your other main office WAN Astaro.

    Why not just use dual wan failover at one place.. then your covered with multipath bindings to external ips. If the DSL craps out.. then use the other Wan but only using this public IP so that your rules will still apply.

    I bow to the masters for this specfic setup?
  • 0
    Drew, could you be a bit more precise on the WAN link between the two locations?  Additionally, could you show the manual routes that you would enable in case of an outtage?

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm lousy with Visio so bear with me. [[:)]]



    At our Vernon (branch office) we have two outgoing lines, DSL & Fiber. The DSL is a regular commercial grade DSL that gives us several static public IP's to use as we see fit. We normally route *all* Internet bound traffic through this line.

    The Fiber is a dedicated private Inter-Office WAN that currently handles traffic between both sites. The ASG in Vernon has static routes for the Kamloops office and vise versa. Because our ISP supplies the router for each office and uses an IP on the local subnet, I can't treat the WAN like I do the DSL line, I have to use gateway routes instead of Interface routes. If I could dedicate an Interface on the ASG to just the WAN router this IMO would be much simpler. [[:)]]

    In each office we also have VPN tunnels back to our OEM (we sell International / Navistar trucks) which are routed through separate dedicated routers provided by them.

    Currently the way I have the manual failover setup is to route certain IP blocks (the Navistar VPNs) through to Kamloops with SNATs in place as at Navi VPN's only 'see' the local LAN for a given office, ie Kamloops' VPN won't pass traffic originating on Vernon's LAN.

    Currently I can't setup Any (0.0.0.0/0) as an inactive gateway route because Astaro refuses (reasonably so). Because of that a lot of our communications (IM & Email primarily) will go down for the duration.

    Basically what I want to do is, when the DSL line goes down, have the ASG in Vernon reroute all traffic that normally goes through the DSL line
  • 0
    [Arrgh!  See my PS, PPS and PPPS - this isn't as easy as I thought it was when I started!]

    I bet this is clear for you! [;)]  OK, let me make some guesses, and tell me if I'm getting it...

    Currently:

    [Kamloops ASG]10.0.1.110.0.1.251[ISP's Router][ISP's Router]10.0.2.25110.0.2.1[Vernon ASG]

    Kamloops ASG Route to Vernon: 10.0.2.0/24 -> 10.0.1.251
    Vernon ASG Route to Kamloops: 10.0.1.0/24 -> 10.0.2.251



    If that's the case, why not create a VPN between 10.0.1.1 and 10.0.2.1 with Internet as the local network in Kamloops and 10.0.2.0/24 (oops! see PPS below) in Vernon?  Then, just have the Uplink Monitoring action do as you said - no further routes needed.  I think the manual gateway routes will be superseded by the routes WebAdmin creates for the VPN.

    Am I on the right track?

    Cheers - Bob
    PS I think Strict Routing needs to be enabled and that 0.0.0.0/0 bound to > needs to be the remote network for the remote gateway defined in the Vernon ASG.
    PPS Oops!  The endpoints of the tunnel can't be in the tunnel, so you'll need to create subnets for each 'Local networks' list that combine to cover the local network while excluding the endpoint.
    PPPS Of course, you'll need packet filter and masq rules, but, I think if you have the HTTP/SS Proxy active in Vernon, you might face an insurmountable task that might first be possible with V8.3.

  • 0 in reply to BAlfson
    You've pretty much got our WAN bang on.[;)]

    I'd thought about the VPN tunnel but as your PS & PPS point out, it's not all that clean & simple to setup. But It might work. I should setup a test config in the ESX lab over the weekend and see how it can be done.

    As far as the HTTP/S proxy, we theoretically use it but because we've been bit by the proxy issue the Local Content Cache Easter Egg/Tech Preview addresses, I've left it turned off until Astaro approves bumping the RAM on the 120's to 2GB. As an aside, I've tested both the disk & mem modes and neither really works too well w/ 1GB RAM, mem ends up swapping on our 120 so it's no better then disk mode and disk mode got me a bunch of complaints from the users about browsing slowness.
  • 0
    If you're using the HTTP/S Proxy in Vernon, I don't think this will be possible until we can use VPN "interfaces" in Uplink Balancing.

    Currently, if you're having problems with the local content cache, I would think you could avoid that by leaving the HTTP/S Proxy active and disabling Content Filtering, or ???

    Cheers - Bob
  • 0 in reply to BAlfson
    Currently, if you're having problems with the local content cache, I would think you could avoid that by leaving the HTTP/S Proxy active and disabling Content Filtering, or ???


    It's more a case of what William reported. We use transparent mode and when the filters are turned but no local cache is enabled browsing comes to a standstill. Activate the local cache and browsing works again. Problem is disk mode is noticeably slow and mem mode on a 1GB ASG120 ends up using the swap(disk) anyways.

    I'll take another crack at it in the fall once things slow down around here and I have more time to dig further into the proxy system. Right now I'm in the middle of managing a migration of our phone & data systems from one building to another at a local branch office. Who'd have thought when I got into IT that Hard Helmets, High-Viz Vests & Steel-toe Boots would be regular attire for the IT guy? [:D]