Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2733 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Questions For Da-Merlin On BGP In 8.3

DarrenF
Greetings

I was instructed to contact you on this forum because I have questions regarding the new BGP feature in 8.3.

I have a pair of ASG220's in HA mode and I have 2 seperate internet connections provided by 2 different ISP's.  I also have an AS number and I want to do inbound failover of my 2 different internet connections.  The main internet connection is 10MB fibre and is used for everything including our e-commerce website.  We also have a 5MB wireless connection that would be used in the event our wired line is cut or otherwise out of service.  Both connections have public IP adddresses and both are valid working interfaces on the Astaro.

My question to you is how do I do the setup in order to get some sort of failover using BGP in 8.3.?

Do I need to talk to both my ISP's and get them to configure their handoff's to speak BGP as well?

How do I need to configure my in house and externally facing DNS servers?  I have 2 Infoblox appliances providing DNS records for our public facing services with one appliance with wired public IP addresses and the other with wireless public IP addresses.

What other considerations to I need to take into account in order to get failover from the wired connection to the wireless and then back again when the wired connection is repaired?  

The goal is to have little or no interruption to having our public facing e-commerce site up and accessable in the event of a wired internet connection outage.

To Da-Merlin, if you could contact me via my phone number that is listed in the Sophos support ticket, I would be most grateful.  I do have a valid Platinum support agreement.

Regards
Darren


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Darren, and welcome to the User BB!

    Your issue is a philosophy/configuration/setup question, and that is normally stuff resellers handle (for a fee), but very few have any experience with BGP as this is a new capabilty for Astaro.  I have only one customer doing BGP; that project began with a pre-beta of 8.3 in early October, and has worked perfectly since the beginning.

    Maybe we can get started and hope that Ulrich sees this...

    Yes, you should talk to both ISPs.

    (Some questions are for testing to see if there's an alternative.)  You said that you run your own name servers - are these the authoritative name servers for your domain? I'm guessing that you have a DMZ with public IPs that your ISP routes through the primary IP on your External interface; how many public IPs are in use in your DMZ at present?  Is the wireless connection one that is billed by volume, so you want to not use it unless the wired connection is down?  How much failover time is acceptable?  Do you have a Web Application Security subscription?

    Cheers - Bob
    PS Found it - here's an article about doing this with a Cisco router: How to use BGP to achieve Internet redundancy.
  • 0 in reply to BAlfson
    Answers to your questions:
    Yes my DNS servers are authorative for my domain names.  The domains are registered with Network Solutions and at NS, the authorative name servers are my 2 Infoblox appliances.

    Yes we have a DMZ for each ISP and have 1 DNS server in each DMZ.

    We have 30 public IP's from the wired provider and 5 from the wireless.

    The wireless connection is billed at a flat rate with unlimited usage and is not used for load balancing, only failover.

    We do not have a Web Application Security subscription

    The acceptable amount of failover time would be as little as possible.  I am a wholesaler for retail customers.  Our customers submit stock orders via our e-commerce web site.  Submitting the orders is somewhat time critical because we offer a same day delivery service so the retail customers need to be able to access the website at all times during the day to make the delivery cut off times.

    The real problem that I THINK I am going to face is DNS TTL numbers.  Even if my DNS servers are accessable over both wired and then wireless links, the retail customers are still at the mercy of what ever ISP they use.  Their ISPs may not honour my very short cached TTL numbers.  Am I right?

    Again, what I am trying to acheive is some sort of arrangment of routing and DNS so that in the event my wired internet connection is cut, the wireless takes over right away and my retail customers at their stores simply go to http://mydomain.com and continue to submit orders without even knowing that my wired connection is broken.

    The above is possible - right?  Because if not then somebody needs to say so.
Reply
  • 0 in reply to BAlfson
    Answers to your questions:
    Yes my DNS servers are authorative for my domain names.  The domains are registered with Network Solutions and at NS, the authorative name servers are my 2 Infoblox appliances.

    Yes we have a DMZ for each ISP and have 1 DNS server in each DMZ.

    We have 30 public IP's from the wired provider and 5 from the wireless.

    The wireless connection is billed at a flat rate with unlimited usage and is not used for load balancing, only failover.

    We do not have a Web Application Security subscription

    The acceptable amount of failover time would be as little as possible.  I am a wholesaler for retail customers.  Our customers submit stock orders via our e-commerce web site.  Submitting the orders is somewhat time critical because we offer a same day delivery service so the retail customers need to be able to access the website at all times during the day to make the delivery cut off times.

    The real problem that I THINK I am going to face is DNS TTL numbers.  Even if my DNS servers are accessable over both wired and then wireless links, the retail customers are still at the mercy of what ever ISP they use.  Their ISPs may not honour my very short cached TTL numbers.  Am I right?

    Again, what I am trying to acheive is some sort of arrangment of routing and DNS so that in the event my wired internet connection is cut, the wireless takes over right away and my retail customers at their stores simply go to http://mydomain.com and continue to submit orders without even knowing that my wired connection is broken.

    The above is possible - right?  Because if not then somebody needs to say so.
Children
  • 0 in reply to DarrenF
    Bob, sorry forgot one comment.

    I have read your link about BGP on a Cisco router.  That's all well and good but I don't have any Cisco hardware.  I have Astaro hardware because it is easier to use and a fraction of the price while providing the same functions ( or more ).  The whole point of patiently waiting for 2 years while the BGP feature on the Astaro was in development was so that I would not need additional hardware.  I believe that I should not need to know the voodoo involved in configuring a Cisco device in order to provide a firewall/router for my network - that's why I use Astaro hardware and software.

    All that being said, what I want to do is exactly what is described in your linked article.  Unfortuneatly, I haven't been able to get anybody at Astaro/Sophos to tell me if I can actuallly do it or not.