Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2051 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN traffic to the primary uplink and Internet traffic to the secondary uplink

DerPeter
Hello everyone,

I am new to this forum. Maybe my question is answered 1000 times already, but the search engine gave me no result to my question.

In our company we are running a ASG 7 firewall configured in multipath for the two DSL lines.

Now I want to make a change so I have all VPN connections on the primary DSL and all other traffic to the secondary DSL. What is the best way to achieve this? 

The reason why I want to take the Internet traffic away from VPN is that we are getting more and more VPN connections for remote maintenance.


This thread was automatically locked due to age.
  • 0
    Hello Peter and welcome to the User BB!

    You want Multipath rules like:

    1 Any -> {VPN protocols} -> Any : bind to {Primary DSL interface}

    2 Any -> Any -> Any : bind to {Secondary DSL interface}



    Did that do what you wanted?

    Cheers - Bob
  • 0
    Thanks for welcoming me and thanks for the answer. [:)]

    I was thinking that way but wasn't sure.
    One more question. When I set the multipath rules, do I have to change/modify my DNAT rules?

    I give it a try, but it's always hard to do some configuration changes in a running system. But what shall I do, I don't have a testing system. [:(]
  • 0
    DNATs are for inbound traffic.  Multipath rules affect only outbound traffic, so there might be a conflict with an existing SNAT.  Like most things in the ASG/UTM, the order matters when NAT and Multipath rules are evaluated.

    A home-use license includes all subscriptions and is free, so you could use that at home to learn.  If you're really concerned about making these changes, it might be worth hiring someone that's in your same time zone.

    Cheers - Bob
  • 0
    SNAT is not in use. 
    Btw, I'm not afraid to do the changes. [;)]
  • 0
    So, now I got the new requirements. [:(]

    Multipath should be disabled to have two single lines. Whereby DSL1 should be for all VPN traffic and DSL2 for the rest.

    I made 3 new rules
    - Any -> HTTPP -> DSL2
    - Any -> HTTPS -> DSL2
    - ANY -> HTTP Proxy -> DSL2

    I didn't touch the VPN Rules because these are already configured for DSL1.

    As soon as I disable Multipath DSL1 shows failure and no Internet traffic through HTTP and HTTPS is possible. When I enable the multipath again everything is working fine again.
    Now my question. Did I miss something?
  • 0
    Hi, did you change the weights in the multipath configuration?

    Barry
  • 0
    Hi Barry,

    What do you mean with the weights in multipath?
     I disabled multipath to have 2 seperate lines. The intention behind this is the company wants to have all VPN traffic on DSL1 and all Internet traffic such as HTTP, HTTPS on DSL2.

    Btw, I am new to the Astaro firewall.
  • 0
    Hi, if you disabled MultiPath, then what Rules are you using?
    PacketFilter Rules will not work for what you need.

    Try multipath again, and post screenshots of all related configuration if you can't get it working.

    Docs at
    Search Results - Sophos

    Barry