Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 19792 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connecting to ADSL & cisco Router two externals

humam
I  have the following scinario which is :
an external & internal interfaces are configured on Astaro 
the external is connected to the internet (defualt gateway)
I connected new cisco router for leased line purpose to the astaro , in this case I have two externals , right?
what should I add (routes or Nats) in order to configure the new router connected without effecting the internet on the other external interface ..
when I trace route to the IP address of the ethernet interface on the router from Pc on the LAN the request goes through the first defined external interface (internet) 

please help


This thread was automatically locked due to age.
Parents
  • 0
    This is where I defer to the 10 degrees of separation. Cisco vs UTM's...

    UTM's are great for filtering traffic and generating beautiful reports from it, but usually faulter in the abilities to properly route traffic in the right direction (*ahem* hairpin routing).

    I think your best option is to leave your UTM in place and use the Cisco router as your default device. (keep reading before you all blow up at me...)

    Cisco devices have the ability to "route-map" traffic by creating routing rules and sending traffic in different directions based on some simple filtering/access lists. This leaves your leased line traffic in place so that the DSCP/COS markings remain in tact (important if you ever do VoIP). All you need to do is tell the cisco router to route all traffic destined for the internet over the UTM and not through it:

    ip access-list extended FILTER
     deny   ip any 10.0.0.0 0.255.255.255
     deny   ip any 172.16.0.0 0.15.255.255
     deny   ip any 192.168.0.0 0.0.255.255
     permit ip any any

    route-map FILTER permit 10
     match ip address FILTER
     set ip next-hop (IP of UTM)

    then on your internal interface of the cisco router put this:

    ip policy route-map FILTER

    What this all does:

    The cisco router looks for any traffic going to the internet (IE nothing RFC1918). Then it redirects the traffic over to the UTM for processing. Everyone ends up happy, you aren't logging internal traffic in your UTM and those DSCP/COS tags remain on the headers and not munched up by your UTM. This is all permitting you have access to the Cisco for configuration.

    PS I use this at all of our sites, and it also allows for the UTM to be tracked for availability. IF for any reason the UTM went offline, the router automatically routes traffic in another direction. Great for that quick reboot UTM's need to apply patches without taking down client internet access.

    Agree with BAlfson you got some things wrong in that config of yours. I'm a little new to Sophos, but I'm surprised you didn't cause anything to confuse the begeezus out of your UTM [:P]
Reply
  • 0
    This is where I defer to the 10 degrees of separation. Cisco vs UTM's...

    UTM's are great for filtering traffic and generating beautiful reports from it, but usually faulter in the abilities to properly route traffic in the right direction (*ahem* hairpin routing).

    I think your best option is to leave your UTM in place and use the Cisco router as your default device. (keep reading before you all blow up at me...)

    Cisco devices have the ability to "route-map" traffic by creating routing rules and sending traffic in different directions based on some simple filtering/access lists. This leaves your leased line traffic in place so that the DSCP/COS markings remain in tact (important if you ever do VoIP). All you need to do is tell the cisco router to route all traffic destined for the internet over the UTM and not through it:

    ip access-list extended FILTER
     deny   ip any 10.0.0.0 0.255.255.255
     deny   ip any 172.16.0.0 0.15.255.255
     deny   ip any 192.168.0.0 0.0.255.255
     permit ip any any

    route-map FILTER permit 10
     match ip address FILTER
     set ip next-hop (IP of UTM)

    then on your internal interface of the cisco router put this:

    ip policy route-map FILTER

    What this all does:

    The cisco router looks for any traffic going to the internet (IE nothing RFC1918). Then it redirects the traffic over to the UTM for processing. Everyone ends up happy, you aren't logging internal traffic in your UTM and those DSCP/COS tags remain on the headers and not munched up by your UTM. This is all permitting you have access to the Cisco for configuration.

    PS I use this at all of our sites, and it also allows for the UTM to be tracked for availability. IF for any reason the UTM went offline, the router automatically routes traffic in another direction. Great for that quick reboot UTM's need to apply patches without taking down client internet access.

    Agree with BAlfson you got some things wrong in that config of yours. I'm a little new to Sophos, but I'm surprised you didn't cause anything to confuse the begeezus out of your UTM [:P]
Children
  • 0 in reply to dkrimmel
    guys thanks for ur help 
    actually the attached image explains exaclty the situation I have , 
    previousley I had ADSL connected to ASTARO with internal and external defined interfaces only, 
    now I have leased line connection through cisco router to astaro , I have no internet over cisco I have only data transfer from and to branch office , 
    I thought I can manage the traffic through uplink balancing !! but it seems not.!
    I want traffic from branch office and traffic through internet ADSL to work at the same time with no interfering (through firewall), 
    is it still unclear ? 
    plz any ideas !