Server Loadbalancing from internal to internal

Is the "virtual IP" defined as additional address on your UTM? Otherwise your clients will not be able to reach this IP because it doesn't exist in your internal network...

Yes it is an additional adress and pingable

Check #3 in Rulz.

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

negativ - the serverhosts are not bound to any interface.

Only the additional IP is bound to internal

UPDATE: 14 months later, the question asked in a different way got a better answer, I think.

Oh!  I should've seen it immediately.  I'm pretty sure that the Load Balancer is not a proxy that rewrites the source address.  When the server is in the same subnet as the client, it sends the response directly to the client, and the client doesn't know what to do with it.

An idea...  Change the DHCP for the clients to assign a subnet of 192.168.100.128/25 and change the subnets on the servers to 192.168.100.0/25.  Please let us know if you also needed to change the additional address to something in the client subnet.

Of course, the better solution would be a separate interface for a DMZ, thus isolating your internal network from the servers.

Cheers - Bob

hmm... the problem is ... it should be a loadbalancer for exchange CAS servers. by MS default you`ll do it by MS NLB, but we thought about doing it by the loadbalancing feature.

Sorry to revive an old topic but would there be a way to get this to work using NAT rules?

To explain I have an ADFS server in the same range as the clients and also another ADFS server running in Azure which is available via a Site to Site VPN tunnel. So I'd like to add in an IP on the on premise range for ADFS which hits the on premise ADFS server 100% of the time unless it's down which seems possible with the Load Balancer. However because of this problem mentioned here it doesn't actually work.

If I set it up with Web Application Firewall it sort of works for the clients but the WAP server's will not connect and nor will Device Registrations work. This is because ADFS uses Client certificates and it seems the Web Application Firewall isn't happy with that. I've had to peg the WAP server's to one ADFS box each using the host file to solve this at the moment.

Azure only recently added support for 2 NIC's however you need more expensive VM's to allow it where as I am going for low end cheap as while it might be somewhat slow it's only there for an emergency so it's acceptable. So Microsoft's NLB isn't really an option in this situation.

I'm not sure that I followed your description, JB, but I wonder if you couldn't just use an Additional Address on the Internal Interface and a DNAT - the new destination would be an Availability Group with, in order, the IP of the local server and the IP of the Azure server.

Cheers - Bob

Hi Bob,

Thanks the reply and that seemed like a perfect solution. I didn't even think of an availability group with NAT for this. I'd have thought that would have been roughly what the Load Balance Server feature would have done though.

The only problem is it still doesn't seem to work this way either. I'm probably missing something obvious but let me try to explain the setup better.

Internal LAN: 172.28.18.0
Azure LAN: 172.28.28.0

ADFS On Premise: 172.28.18.10
ADFS Azure: 172.28.28.10

Sophos UTM LAN: 172.28.18.1
Sophos UTM ADFS Virtual IP: 172.28.18.14

Internal DNS record fs.domain.com = 172.28.18.14

So if I setup Web Server Protection on 172.28.18.14 for this then it works as mentioned but will not do client certificates which are needed for full ADFS functionality.

As mentioned the Server Load Balancer is no go. With the method you'd mentioned the rule is as follows. Note: I changed it from just HTTPS which is all I needed to all traffic so I could also see if RDP would work as in theory that should have logged me into one of the servers but also didn't work.

Rule Type: DNAT
For Traffic from: Any (Could lock down if working but left to Any for now)
Using service: Any
Going to: Internal [ADFS] Address (172.28.18.14)

Change the destination to: ADFS-Farm (172.28.18.10 & 172.28.28.10 in Availability Group)
And the service to: *Blank*

Automatic Firewall Rule: Enabled
Log Initial Packets: Enabled

I see it match the NAT rule in the firewall log but I cannot get ADFS or RDP to work.

20:04:31 NAT rule #1 TCP  
172.28.18.112 : 63277
→
172.28.18.14 : 3389
 
[SYN] len=52 ttl=128 tos=0x00 srcmac=*Computer MAC* dstmac=*Sophos UTM MAC*

Not really checked the login before to know if the dstmac should be the Sophos UTM or the box that it forwards the traffic onto.

Think that's about all I can think to tell you but maybe you'll have an idea now why it's not working?

Cheers,
James

James, my bet is on #3, but check #3 through #5 in Rulz.

Cheers - Bob
PS I just noticed that that was the wrong answer for the question in Post #1, but I still bet it's the right one for your Post #9. [:D]