Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 7798 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Separate Internet Traffic

MM1985
Hi there,

I have some difficulties with configuring multiple internet links on an Astaro ASG320 v8.300. I went through the threads in this forum regarding this topic, but still can't figure it out.

The current situation is as follows: I have a 10/10 fiber channel connection and a 100/10 cable connection for internet uplink. The firewalls are in HA active/passive setup. The fiber link and the cable link run over a switch to distribute them to the two security appliances. The connection over the FC link works just fine and is used for all user internet traffic as well.
The interface of the cable modem is set to type "cable modem (DHCP)" and recieves an internet IP address from the modem.

What I want to have is the following: The FC link should be used for SMTP, Servers, etc and the cable modem for user internet connections.

The problem I am facing right now is that first of all I cannot ping the external IP of the cable modem from outside - which should IMHO be possible, as I have set the firewall to be ping visible. Is there anything else that needs to be considered or set regarding a setup like mine?

Second issue is that I have not really understood how to redirect traffic of normal clients to the cable line. I though of using policy routes as the way to go...Now the question is..
...first step is the policy route...do I have to set NAT rules and Firewall rules after I have created the route? I guess so, right?

Thanks for any input.
Best regards
Martin


This thread was automatically locked due to age.
  • 0
    Hi Martin,

    since you use V8.3 the best way is to go with multipath rules. At first you have to put both interfaces as active interfaces in the multipath tab. Then set the weight for the cable link to zero. After that you create a some multipath rules to direct the traffic from the desired sources over the cable link with interface persistance. That works even if you use the http proxy. There are some documents in the knowledgebase that point out that quite well.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi Manfred,

    thanks for your reply. 
    I am still having trouble using the second interface. I would rather use policy routes instead of uplink balancing and multipath rules. The problem I am facing right now is that I cannot get any connection to the internet over the second interface. It seems that the redirection over the interface with the policy route is working fine, but that the cable line is not forwarding the traffic. I have configured the port with the cable modem connection as cable (DHCP). Shouldn't I be able to ping the external IP of the cable modem over the internet, if the astaro is set to ping reply?

    Thanks.
    best regards
    Martin
  • 0
    Hi Martin,

    I think that pinging the external address of the cable modem is controlled by the cable modem/router. Pinging the address of your ASG interface behind the cable modem is also controlled by the cable modem normally. If your cable modem/router has a management interface you may can setup something there.

    Did you check wether the cable line works if you attach a laptop directly to it?

    What's the reason for not wanting to go with multipathing?

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi Manfred,

    the cable line works well, if I attach a notebook to the modem directly. I will check and see, if there is any possibility to access a management interface on the modem...

    Regarding Multipath: As far as I understand this multipath setting, this is used for failover on multiple lines. I understand that I can split traffic with the rules for default operation. However, let's say my main line goes down, will the Astaro then not try to use the cable line as replacement? Since this will not work due to fixed IP assignments on the main line and a dynamic IP on the cable line...that was the reason why I intended to use policy routes instead. If I got that wrong, I appreciated, if you threw some light on this..

    Thanks.
    best regards
    Martin
  • 0
    If you don't use Uplink Balancing, you can't assign a default gateway to the second WAN interface.  Multipath rules can be used like interface policy routes.

    However, let's say my main line goes down, will the Astaro then not try to use the cable line as replacement? Since this will not work due to fixed IP assignments on the main line and a dynamic IP on the cable line

    What needs to work?  There are ways to make this work for SMTP, VPNs and other things that are IP-dependent.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    so you mean it is possible to create a failover setup where a line with dynamic IP assignment could take over for a line that has static assignments of IPs to services like SMTP, VPN, etc?
    How would you do that? Create a dyndns entry and point the MX Record to this one for example?

    Thanks.
    best regards
    Martin
  • 0
    That's pretty much it.  The Astaro can auto-update a DynDNS address.  Then, in your domain's authoritative name server, add an MX record with a higher number for the DynDNS FQDN.

    In order to send from the dynamic IP, you'll need to configure the SMTP Proxy to use either your ISP's smart host or DynDNS's (required if the connections are from different ISPs) so that there's reverse DNS for sent mail.  You'll also need to modify your SPF record if you have one.

    With VPNs, you also can use DynDNS with Uplink Balancing, Multipathing bound to an interface and an Availability Group in the remote Astaro. 

    Cheers - Bob
  • 0
    Hello again,

    I have had a closer look into the Uplink Balancing and Multipath settings and have some more questions about it.

    For my scenario, where I only want to send user internet traffic out on the second line, I assume I would configure the following:

    Add both, the main and the additional, interfaces to the Active Interfaces box on the uplink balancing page. I set the primary interface to weight 100 and the secondary to 0.

    -> This will send all traffic over the primary by default and only if this one fails it will take the secondary, correct?

    I will then add a multipath rule with taking the Client Network as Source, sending WebSurfing traffic with any destination out on the secondary interface (interface persistence set to this interface).

    -> I never want to have HTTP and especially SMTP from the Servers be sent over the secondary interface. To achieve that, do I have to set rules like: 
    Source --> Internal Mailserver as Host
    Traffic --> SMTP
    Destination --> Any
    Interface Perstitence --> Primary
    to force that?

    Thanks for your help!


    Best regards
    Martin
  • 0 in reply to MM1985
    Hi Martin,

    thats pretty exactly the way I do it here, but I use the Internet Object instead of any in the traffic selectors.

    I'm not sure if your rule for the mailserver will work if your primary links fails. Somebody here on the board described a way that sends the smtp traffic to a non-existant ip adress i case that the primary uplink fails - but I don't find it on the fly.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi Manfred,

    thanks for your quick response. Then I think I got it right up to that point. I will give that a try during some off hours in the next couple of days and let you know what my experience is.

    EDIT:
    one more thing that came to my mind: Once I have the multipath rule for my SMTP enabled. Will the SNAT and DNAT still be taken into account for the correct IP translation for SMTP messages?


    Thanks.
    best regards
    Martin