Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 7798 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Separate Internet Traffic

MM1985
Hi there,

I have some difficulties with configuring multiple internet links on an Astaro ASG320 v8.300. I went through the threads in this forum regarding this topic, but still can't figure it out.

The current situation is as follows: I have a 10/10 fiber channel connection and a 100/10 cable connection for internet uplink. The firewalls are in HA active/passive setup. The fiber link and the cable link run over a switch to distribute them to the two security appliances. The connection over the FC link works just fine and is used for all user internet traffic as well.
The interface of the cable modem is set to type "cable modem (DHCP)" and recieves an internet IP address from the modem.

What I want to have is the following: The FC link should be used for SMTP, Servers, etc and the cable modem for user internet connections.

The problem I am facing right now is that first of all I cannot ping the external IP of the cable modem from outside - which should IMHO be possible, as I have set the firewall to be ping visible. Is there anything else that needs to be considered or set regarding a setup like mine?

Second issue is that I have not really understood how to redirect traffic of normal clients to the cable line. I though of using policy routes as the way to go...Now the question is..
...first step is the policy route...do I have to set NAT rules and Firewall rules after I have created the route? I guess so, right?

Thanks for any input.
Best regards
Martin


This thread was automatically locked due to age.
Parents
  • 0
    It's the first you've mentioned it, Martin, but I guess your SNAT might break things in the event of a failover.  I always recommend that the email IP be assigned as the priimary IP for WAN interfaces.

    In this case, if you're using the Astaro SMTP Proxy ('External (Address) -> SMTP -> Any : SNAT from {Additional Address}'), you could leave your first interface configured as is and just be sure the primary IP on the second one is configured in the FQDN of your secondary MX record.

    Since you spoke of a DNAT, I assume that you aren't using Mail Security ('{Mail Server} -> SMTP -> Any : SNAT from {Additional Address}').  In this case, you'll need to make the switch to having the mail IP be primary on the first WAN connection if you want to allow fail-over.  That allows you to get rid of the SNAT and requires changing your DNAT to have the traffic selector destination be a group of the two interface "(Address)" objects.

    Cheers - Bob
Reply
  • 0
    It's the first you've mentioned it, Martin, but I guess your SNAT might break things in the event of a failover.  I always recommend that the email IP be assigned as the priimary IP for WAN interfaces.

    In this case, if you're using the Astaro SMTP Proxy ('External (Address) -> SMTP -> Any : SNAT from {Additional Address}'), you could leave your first interface configured as is and just be sure the primary IP on the second one is configured in the FQDN of your secondary MX record.

    Since you spoke of a DNAT, I assume that you aren't using Mail Security ('{Mail Server} -> SMTP -> Any : SNAT from {Additional Address}').  In this case, you'll need to make the switch to having the mail IP be primary on the first WAN connection if you want to allow fail-over.  That allows you to get rid of the SNAT and requires changing your DNAT to have the traffic selector destination be a group of the two interface "(Address)" objects.

    Cheers - Bob
Children
No Data