Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 4591 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Uplink balancing troubles

EverydayNormalGuy
Hi,

For the last couple of days been trying to set up uplink balancing in my company and i've ran out of ideas what to try (utm noob, don't expect much [:D]). The catch is only one of the internet connections should be NATed because the other one has a Fortigate device sitting upstream from us and the NATting happens there (I'll upload a diagram if necessary).

What would be the general procedure for setting uplink balancing in this situation? Is this possible at all?


Thanks


This thread was automatically locked due to age.
  • 0
    Hi, 
    Please do upload a diagram, or at least specify the networks on the LAN and the 2 EXT interfaces.

    Barry
  • 0
    Tried it one last time and it started working... go figure. Basically I was confused about the required nat settings and must have had misconfigured something. Here's the config as it is now:

    Interfaces

    • lag0.1 - ISP_One; Assigned a public IP
    • lag0.2 - ISP_Two; IP from 10.255.255.0/30 subnet
    • lag1 - Internal network; IP from 172.19.0.0/24 subnet

    Masquerading rule

    Internal network → ISP_One



    Uplink balancing - Active Interfaces

    • ISP_One; Weight 100
    • ISP_Two; Weight 100

    Multipath rules

    DNS traffic to ISP_One's DNS servers → ISP_One [by Interface]
    DNS traffic to ISP_Two's DNS servers → ISP_Two [by Interface]




    Everything seems to be working correctly and my public ip changes between the two ISP's. Did I miss anything?
  • 0
    Looks fine.

    You might consider using OpenDNS or GoogleDNS instead of your ISP's.

    Barry
  • 0
    Yeah I initially did that until I read that Google's DNS doesn't play nice with spamhaus and OpenDNS hijacks 404 pages.

    Anyway, thanks for your help!
  • 0
    OpenDNS is in use at most of my customers' sites.  Like most DNS services, it does hijack 404 pages.  It doesn't interrupt reverseDNS as Cox, Verizon and others though.

    Cheers - Bob
  • 0
    It seems I spoke too soon because an issue did crop up. Some of our website users were getting connection timeouts when uplink balancing was enabled. 

    I've attached the network diagram. DNS record for the website points to the public IP assigned by ISP_Two. My best guess is the responses from web server were getting balanced out through the other uplink. Shouldn't traffic belonging to a certain connection stay on the same interface by default?

    Until this is resolved i've set the weight of uplink of ISP_One to 0.
  • 0
    My best guess is the responses from web server were getting balanced out through the other uplink.

    You're right that traffic always goes out the way it came in, so I doubt that this is happening.  That would be a MAJOR bug in conntrack that would have had to crop up before now.  Then again, I do have a bug-report in about conntrack errors on bridged interfaces...

    Please remember to always post the precise version - 9.006-005?

    Still, it might be worth checking what I call Rule #1 (enhanced):

    Whenever something seems strange, always check the Intrusion Prevention,
    Application Control and Firewall logs.


    Any luck?

    Cheers - Bob
  • 0
    Firmware version is 9.006-5, IPS and Application Control are disabled. I've been looking for a way to reproduce the issue without causing any major downtime. If I create a multipath rule like this

    Test_webserver → Any → Any → ISP_One [by Interface] 

     the connection timeouts when the client is coming through ISP_Two interface. I'll take a look at the firewall logs.
  • 0
    The Intrusion Prevention log also contains lines from Anti-DoS Flooding activity - that's another reason to look at it.

    Cheers - Bob
  • 0
    IPS log is empty, Anti-DoS features are disabled.

    Enabled traffic logging on the following firewall rule:

    Source: Internet IPv4
    Service: HTTP
    Destinations: Test_webserver
    Action: Allow



    Using this site ping.eu/port-chk (and a couple of others) to check port status. It reports the port is closed and this gets logged in the firewall log: 
    2013:04:29-15:30:11 sophos-utm-2 ulogd[6610]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="1" initf="lag0.2" outitf="lag1" srcmac="0:12:7f:c6:e5:a4" dstmac="0:1a:8c:18:6a:8a" srcip="88.198.46.51" dstip=">" proto="6" length="60" tos="0x00" prec="0x00" ttl="54" srcport="41128" dstport="80" tcpflags="SYN"


    With destination NAT on the ISP_One interface the test website works regardless where the multipath rule directs traffic.