Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2731 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Questions For Da-Merlin On BGP In 8.3

DarrenF
Greetings

I was instructed to contact you on this forum because I have questions regarding the new BGP feature in 8.3.

I have a pair of ASG220's in HA mode and I have 2 seperate internet connections provided by 2 different ISP's.  I also have an AS number and I want to do inbound failover of my 2 different internet connections.  The main internet connection is 10MB fibre and is used for everything including our e-commerce website.  We also have a 5MB wireless connection that would be used in the event our wired line is cut or otherwise out of service.  Both connections have public IP adddresses and both are valid working interfaces on the Astaro.

My question to you is how do I do the setup in order to get some sort of failover using BGP in 8.3.?

Do I need to talk to both my ISP's and get them to configure their handoff's to speak BGP as well?

How do I need to configure my in house and externally facing DNS servers?  I have 2 Infoblox appliances providing DNS records for our public facing services with one appliance with wired public IP addresses and the other with wireless public IP addresses.

What other considerations to I need to take into account in order to get failover from the wired connection to the wireless and then back again when the wired connection is repaired?  

The goal is to have little or no interruption to having our public facing e-commerce site up and accessable in the event of a wired internet connection outage.

To Da-Merlin, if you could contact me via my phone number that is listed in the Sophos support ticket, I would be most grateful.  I do have a valid Platinum support agreement.

Regards
Darren


This thread was automatically locked due to age.
  • 0
    Hi, Darren, and welcome to the User BB!

    Your issue is a philosophy/configuration/setup question, and that is normally stuff resellers handle (for a fee), but very few have any experience with BGP as this is a new capabilty for Astaro.  I have only one customer doing BGP; that project began with a pre-beta of 8.3 in early October, and has worked perfectly since the beginning.

    Maybe we can get started and hope that Ulrich sees this...

    Yes, you should talk to both ISPs.

    (Some questions are for testing to see if there's an alternative.)  You said that you run your own name servers - are these the authoritative name servers for your domain? I'm guessing that you have a DMZ with public IPs that your ISP routes through the primary IP on your External interface; how many public IPs are in use in your DMZ at present?  Is the wireless connection one that is billed by volume, so you want to not use it unless the wired connection is down?  How much failover time is acceptable?  Do you have a Web Application Security subscription?

    Cheers - Bob
    PS Found it - here's an article about doing this with a Cisco router: How to use BGP to achieve Internet redundancy.
  • 0 in reply to BAlfson
    Answers to your questions:
    Yes my DNS servers are authorative for my domain names.  The domains are registered with Network Solutions and at NS, the authorative name servers are my 2 Infoblox appliances.

    Yes we have a DMZ for each ISP and have 1 DNS server in each DMZ.

    We have 30 public IP's from the wired provider and 5 from the wireless.

    The wireless connection is billed at a flat rate with unlimited usage and is not used for load balancing, only failover.

    We do not have a Web Application Security subscription

    The acceptable amount of failover time would be as little as possible.  I am a wholesaler for retail customers.  Our customers submit stock orders via our e-commerce web site.  Submitting the orders is somewhat time critical because we offer a same day delivery service so the retail customers need to be able to access the website at all times during the day to make the delivery cut off times.

    The real problem that I THINK I am going to face is DNS TTL numbers.  Even if my DNS servers are accessable over both wired and then wireless links, the retail customers are still at the mercy of what ever ISP they use.  Their ISPs may not honour my very short cached TTL numbers.  Am I right?

    Again, what I am trying to acheive is some sort of arrangment of routing and DNS so that in the event my wired internet connection is cut, the wireless takes over right away and my retail customers at their stores simply go to http://mydomain.com and continue to submit orders without even knowing that my wired connection is broken.

    The above is possible - right?  Because if not then somebody needs to say so.
  • 0 in reply to DarrenF
    Bob, sorry forgot one comment.

    I have read your link about BGP on a Cisco router.  That's all well and good but I don't have any Cisco hardware.  I have Astaro hardware because it is easier to use and a fraction of the price while providing the same functions ( or more ).  The whole point of patiently waiting for 2 years while the BGP feature on the Astaro was in development was so that I would not need additional hardware.  I believe that I should not need to know the voodoo involved in configuring a Cisco device in order to provide a firewall/router for my network - that's why I use Astaro hardware and software.

    All that being said, what I want to do is exactly what is described in your linked article.  Unfortuneatly, I haven't been able to get anybody at Astaro/Sophos to tell me if I can actuallly do it or not.
  • 0
    The reason I posted the Cisco solution was because it explained the other steps - why it's important to contact your ISPs, etc.  I'm sure you can do what you want in Astaro, but I don't know for certain that I know how!

    I think you only need to include both ISP's routers in the 'Neighbors' settings, but I'm really barely-not-ignorant about this.  Hopefully we'll keep this up long enough for da_merlin to pass this way.

    Cheers - Bob
  • 0
    Hi guys,

    short answer: yes sure, you can archive that with Astaro.

    long answer: this is not really an Astaro configuration issue. The main issue is that both provider
    must enable BGP for your ASN and IP prefixes. But here comes the trouble: normally at least a /24 is needed for announcement. You have to talk to both ISPs if they are willing to enable BGP for you IPs...

    If BGP is not an option you can archive similar high availability by using short TTL values for your domain. In case of a network outage of your primary link, have the DNS server respond with your secondary IP addresses. All DNS server should honour the TTL value.

    Best regards
     Ulrich
  • 0
    Thanks, Ulrich, I guess I understood it better than I thought!

    Darren, I just now saw post #3 for the first time - sorry 'bout that!  As you can tell from Ulrich's response, the TTL issue applies only if you're unable to use BGP.  With BGP, there's no change in IP addresses.

    Please post back the result of your discussion with the two ISPs.  I'm sure you'll have to have a true CIDR block instead of two, disjoint groups of IPs, but I wonder if you can just get a /28 or /27 instead of a /24.  Anyway, let us know!

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Ulrich

    Can I get you to please call my direct line number that is in support ticket number 3097940.  I have further questions regarding BGP.  I do have a valid Platinum support contract.  If you are not the correct person to speak to then please have someone else call me between 9AM and 4PM pacific time.

    Thank you
    DarrenF
  • 0
    Hi Darren,

    our PreSales engineers are normally handling such cases. They work together with customers to integrate our product in their network environment. I'm not sure whats the best way to get in contact with them, probably by contacting sales.

    As a developer its not within my responsibilities to find technical solutions for customers. I would make an exception, but we have a 9 hour time difference which makes it impossible for me to reach you within my work hours.

    So please contact our sales team or write your questions here.

    Best regards
     Ulrich

    I would call you but we have a 9 hour time offset,
  • 0 in reply to da_merlin
    Hi Darren,
    I tried looking up your contact details in the number you posted but that does not actually show up as valid case in our system so no info was available. Could you check the number or email me your contact details so we can call you about your questions? (bill.prout@sophos.com)

    Thanks
    Bill