Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 7099 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Directing traffic between two WAN links

PG10
Hi, everyone. I have a problem sending traffic from certain LANs through a certain WAN link. I have 2 WAN links and 2 internal networks on the ASG (software install on a PE2850, ASG v8.300, 5x GigE). I would like to get everything working to where network A (for internal regular use) goes out through WAN link A and network B (web servers) out through WAN B while isolating the two LANs from each other.

LAN A outbound is going through WAN A right now and I am using Web App Security to get incoming connections to WAN B to web servers on LAN B but I cannot get outgoing traffic from LAN B to go anywhere. I have the appropriate packet filter rules in place and the packet filter live log is showing green/pass for outbound traffic but it doesn't seem to be actually reaching the Internet. I have link balancing on with multi path rules and masquerading set up. Any info/support/ideas would be greatly appreciated!!

Thanks!

-Phil


This thread was automatically locked due to age.
  • 0
    Hi Phil,

    I think there is a problem in the multipath rules or you have configured something else thats disturbing the multipathing rules (e.g. request routes, weight in multipath interfaces).

    Please post your multipath config and the multipath rules.

    Regards
    Manfred
  • 0
    Hi Manfred, thanks for your quick response!

    Right now, I only have one multipath rule which is configured like this:

    Position: 1
    Source: Internal (Web Servers)
    Service: Web Surfing (This is a group containing HTTP, HTTPS, 8080, and a few more)
    Destination: Internet IPv4
    Itf Persist: by Interface
    Bind Interface: External (Web Servers)

    I have tried static routes and policy routes, but they didn't seem to work so right now none are active.

    Thanks!

    -Phil
  • 0
    Forgot to mention that uplink balancing is enabled with both WAN interfaces listed in the Active Interfaces box.
  • 0
    Hi Phil,

    if I understand the uplink balancing feature correctly (didn't use it myself - so this ist just my best guess) your configuration would balance all traffic between the two interfaces and traffic from the network [internal webservers] would travel over wanlink2. As both things seem not to happen:

    1. check if all traffic goes out over wanlink2 if wanlink1 is cut off
    2. if not - check wanlink2 settings (like def. gateway ...)
    3. try to change your multipath rule to
    Source: [internal webservers](network)
    Service: Web Surfing (or Any for testing purposes)
    Destination: Any
    Itf Persist: by Interface
    Bind Interface: External (Web Servers)
    AND
    add a multipathrule at position2
    any-any-any -> interface 1

    Regards
    Manfred
  • 0
    Hi Manfred,

    I will try your suggestions as soon as I get back to that location. Just as a note - I do not want/need uplink balancing to be on as both WAN connections are from the same source (cable modem plugged into switch). If I disable it, will the multipath rules still work? Basically all I want is for each LAN to use it's own separate WAN connection/public IP.

    Thank you!

    -Phil
  • 0
    I got it working! I had to put in a default gateway for both interfaces (only one had it before). Enable uplink balancing, put in two multipath rules (by interface)

    #1 Internal (Network) -> Any -> Internet IPv4 -> External (WAN) Interface
    and 
    #2 Internal (Web Servers) (Network) -> Any -> Internet IPv4 -> External (Web Servers) Interface). 

    After adding packet filter/firewall rules and masquerading rules it all works perfectly!

    Thank you so much for your help!

    -Phil
  • 0
    That's great, PG10, but I'm a little confused.  Do both WAN connections have the same default gateway?  If so, I'm glad to know that this works.

    Also, with a single, real connection, the "standard" approach would have been to use a single connection with the second IP as an 'Additional Address' on that interface.  Then, rather than Uplink Balancing and Multipath rules, you could have just used a masquerading rule for Internal (Web Servers) (Network) with the Additional Address.  Also, in the Virtual Web Server, you select the Additional Address for the interface.  If the web traffic initiated by the servers is passing through the Web Proxy, then this "standard" approach doesn't work, but this wouldn't seem to be your case.

    Cheers - Bob
  • 0
    Yes, both WAN connections have the same default gateway. They are sequential IPs from the same block. This is a cable modem connected to a switch. I saw the place to put multiple addresses for an interface but the reason I did it this way is to future-proof it in a way. Eventually I would like a separate cable modem for the web servers. Right now, all connections to this modem share the same 50x5 connection. I would like for each to have its own eventually. This way there is no re-configuration required except to change the IP in the interfaces config if they assign me a new block. I hope I have explained this clearly. Let me know if something is unclear.

    Thanks!

    -Phil
  • 0
    Very clear, Phil - thanks!  Like I said, I'm glad to know it works as it doesn't work to connect two Astaro interfaces into the same, physical LAN.

    Cheers - Bob