Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 19795 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connecting to ADSL & cisco Router two externals

humam
I  have the following scinario which is :
an external & internal interfaces are configured on Astaro 
the external is connected to the internet (defualt gateway)
I connected new cisco router for leased line purpose to the astaro , in this case I have two externals , right?
what should I add (routes or Nats) in order to configure the new router connected without effecting the internet on the other external interface ..
when I trace route to the IP address of the ethernet interface on the router from Pc on the LAN the request goes through the first defined external interface (internet) 

please help


This thread was automatically locked due to age.
  • 0
    Hello, humam, and welcome to the User BB!

    It sounds like you might want to look into 'Uplink balancing' and 'Multipath Rules' tabs in 'Interfaces & Routing >> Interfaces'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Bob for ur reply
    actualy I don't need to define two gateways , the gateway may remains the same , maybe the multi rules are useful , I'll try them today 

    Thanks man
  • 0 in reply to humam
    Can u please tell me what to do exacltly , I tried to add my new interface to uplink balancing , but it dosn't work , should I give the interface diffrent IP (range) address from the one defined on the internal interface...
    what mulipath rules must be added ?

    thanks
  • 0
    I'm confused now about the leased line and the Cisco router.  Using representative IPs, please show the definitions for the interfaces on the UTM and the networks involved with the Cisco. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Dear as u can see in the attached image internal and external are predefined interfaces , the external is connected to the internet through ADSL router , new interface which is eth4 is defined and connected to the cisco router which is connected to another router in another branch for leased line , what I want is to add rules or what ever so the traffic which is coming from and to the cisco router is recognized , it's like seperating the traffic between internet and leased line interfaces ..

    the LAN behind the firewall subnet 192.168.0.0-255.255.255/24
    the ip address on the fastethernet in cisco router is 192.168.0.15

    Thanks for ur support
  • 0
    The first thing to do is to delete the interface "eth4" that you defined on eth2.  You should never attach two interfaces into the same subnet.

    Just connect the Cisco to a switch in the 192.168.0.0/24 network and create Gateway Routes in the UTM for the subnets behind the Cisco.  Note that you also could put the Cisco into the 10.10.10.0/24 network and achieve the same result with corresponding Gateway Routes.

    Then again, it still isn't clear what you hope to accomplish with the Cisco and the leased line.

    Cheers - Bob
  • 0 in reply to BAlfson
    thanks bob

    Actually the leased line which is connected to cisco router is for connecting the head office to branch office , 
    I attatched 3 images of what I did , I defined new interface on eth2 (Jarleasedline) with IP (10.0.0.1/24) connected with cable to cisco router with fastethernet interface 10.0.0.2/24 ... other interfaces remain the same .
    I enabled uplink balance as u can see in image 2 and creates multipath rules as image 3 , I could access the network behind the firewall from the leased line connection in the branch office , but the outgoing traffic of the internet from behind the firwall is stopped ...
    I mean every thing works fine but no internet from the network behind the firewall I get image 4 when I tried to browse google.com for example 

    ummm I guess I have problems in multipath rules ... what do u think?

    the Best
  • 0
    You need a lot of changes...

    Delete JarLeasedLine and Internal from Uplink Balancing and disable it.

    You can't have the same IP in two different places.

    You don't want to have the same subnet (192.168.0.0/24) defined on both Astaros.  We usually leave 192.168.0.0/16 subnets for homes and public hotspots.  In small/medium businesses, we usually choose subnets in 172.16.0.0/12.

    You can't have two different interfaces defined on the same Ethernet segment.

    Beyond that, I'm confused.  Please give us a diagram showing which devices are in which buildings and how they are connected.

    Cheers - Bob
  • 0
    This is where I defer to the 10 degrees of separation. Cisco vs UTM's...

    UTM's are great for filtering traffic and generating beautiful reports from it, but usually faulter in the abilities to properly route traffic in the right direction (*ahem* hairpin routing).

    I think your best option is to leave your UTM in place and use the Cisco router as your default device. (keep reading before you all blow up at me...)

    Cisco devices have the ability to "route-map" traffic by creating routing rules and sending traffic in different directions based on some simple filtering/access lists. This leaves your leased line traffic in place so that the DSCP/COS markings remain in tact (important if you ever do VoIP). All you need to do is tell the cisco router to route all traffic destined for the internet over the UTM and not through it:

    ip access-list extended FILTER
     deny   ip any 10.0.0.0 0.255.255.255
     deny   ip any 172.16.0.0 0.15.255.255
     deny   ip any 192.168.0.0 0.0.255.255
     permit ip any any

    route-map FILTER permit 10
     match ip address FILTER
     set ip next-hop (IP of UTM)

    then on your internal interface of the cisco router put this:

    ip policy route-map FILTER

    What this all does:

    The cisco router looks for any traffic going to the internet (IE nothing RFC1918). Then it redirects the traffic over to the UTM for processing. Everyone ends up happy, you aren't logging internal traffic in your UTM and those DSCP/COS tags remain on the headers and not munched up by your UTM. This is all permitting you have access to the Cisco for configuration.

    PS I use this at all of our sites, and it also allows for the UTM to be tracked for availability. IF for any reason the UTM went offline, the router automatically routes traffic in another direction. Great for that quick reboot UTM's need to apply patches without taking down client internet access.

    Agree with BAlfson you got some things wrong in that config of yours. I'm a little new to Sophos, but I'm surprised you didn't cause anything to confuse the begeezus out of your UTM [:P]
  • 0
    Great for that quick reboot UTM's need to apply patches without taking down client internet access.

    In general, it's a lot less expensive to run a Hot-Standby than to buy a Cisco, and that solves this problem nicely, especially in a full mesh where redundant switches and power are involved.

    We avoid Cisco because the first time we created a $100K+ opportunity (10+ years ago), they ran it through a competitor.  Once burned, twice warned.  Thus motivated, I've never seen a situation that couldn't be addressed more-easily and less-expensively with Astaro (or HP, or...) than with Cisco.

    With all due respect to friend dkrimmel!

    Cheers - Bob