Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1349 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Switching internal traffic target to a new one

trialrider
Hi all,

in cases of loosing connection to our SAP Router we had to change in every client the Router string to the new one, x.x.x.10 to x.x.x.13.

We've a filter rule for all SAP traffic to the old SAP Router IP. At the moment we changed the SAP Router object to the new IP. Is there a possibility to let the Astaro do this job - all traffic sended to .10 forwarding to .13? Maybe external users aren't able to change the SAP Logon entry or what ever.

I tried a DNAT rule but it wouldn't work:

traffic: lan -> SAP -> .10
destination: .13

Additionally, I also set a second SAP filter rule for the old SAP Router IP.

And, btw, we use for SAP traffic a gateway route entry.
-- 
Thanks for helping and kind regards,

Steffen


This thread was automatically locked due to age.
  • 0
    Steffen, could you provide a simple diagram?  It's difficult to see where the clients, servers and Astaro are.  Also, show the gateway route for the SAP traffic and any DNAT(s) involved.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    attached you can find the diagram. Hope, it clears all questions about our structure.

    The gateway route is set like that:

    net_SAP_System (192/24) => Gateway hst_MPLS_SAP (.yy in 10/16)
    -- 
    Kind regards,

    Steffen
  • 0
    It looks like it should work.  Any chance you have the Host definition bound to a specific interface instead of 'Interface: >'?  Are you seeing anything in the Firewall or Intrusion Prevention log?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    sorry that I didn't answer earlier. The normal SAP passes my defined filter rule and all the packets go through the MPLS-Router.

    After defining a DNAT rule for the actually used SAP-Router and sending clients packets to the old Router IP I see default dropped packets. Adding a packet filter rule didn't solve the problem...

    At the moment all SAP clients are configured to send their packets to the new Router IP. But if they switch back to the old IP we've to run across our company and changing SAP GUI's config again. Maybe our phone lines are blocked if we help via phone support.

    That's why I thought our ASG can do this...
    -- 
    Kind regards,

    Steffen
  • 0
    Please show a related "default drop" line from the full (not the Live) Firewall log.  Also, it might be interessting to see a picture of your DNAT.

    Cheers - Bob