Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 5924 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing problem: Dual WAN and DHCP with large subnet mask

KiP
Hi,

I am using ASG220 with software 9.206-35. It has two WAN uplinks. WAN1 is connected to DSL with fixed IPs, WAN2 is connected to a cable modem and is getting its IP via DHCP with a 20 bit subnet mask. Both are in active load balancing with WAN1 being the first interface. There is a multipath rule directing e.g. http traffic through WAN2.

On WAN1 with the fixed IPs we have running several services, e.g. SSL-VPN.

Up to now I could connect via SSL-VPN from my home office (with cable modem from the same company as at work) without any problem.

Tonight cable modem company changed their network. Since then my official IP is from the same subnet (20 bit mask) as at work. This leads to traffic e.g. for SSL-VPN being routed through wrong WAN interface: When I try to connect to fixed ip on WAN1 then returning packets are routed through WAN2 because my external IP at home is from the same subnet as IP on WAN2. So SSL-VPN can not be established.

I tried to use multipath rules to get this work but cannot find how to achieve this in combination with possibly changing DHCP addresses.

What I would like to achieve is that all traffic to subnet addresses on WAN2 other than my own would be routed through WAN1. This - I believe - would solve my problem. I would also like to be able to use additional multipath rules to direct specific traffic to specific WAN interfaces.

Any hints?


This thread was automatically locked due to age.
Parents
  • 0
    Hi Andrew,

    thanks for your response. I feel it seems to be a bit difficult to explain and so I try to give some more information.

    What we have is the following:

    UTM:

    WAN1: 84.123.44.55/32 (fixed public IP)
    WAN2: 168.73.195.77/20 (DHCP) with gateway 168.73.192.1 and subnet address 168.73.192.0/20

    User at same cable provider, e.g. home office:

    WAN: 168.73.197.131/20 (DHCP) with gateway 168.73.192.1 and subnet address 168.73.192.0/20


    From home office I'm trying to access systems at work, e.g. mail, VPN or other service through the fixed public IP. For the moment let us assume, we make a simple ping.

    When the packet arrives at WAN1 then the router tries to send back an answer to 168.73.197.131. Because it can see, that this address belongs to the subnet of WAN2 it sends it out over that interface which results in ping timeout, because the answer is expected from address 84.123.44.55.

    What I tried to do is to redirect all traffic for subnet on WAN2 through WAN1 except the default gateway, because I need the gateway to establish e.g. outgoing http connections for simple web browsing. Of course I am able to redirect the traffic for the whole subnet and even exclude the assigned address on WAN2 but the problem comes when trying to exclude traffic for the default gateway (168.73.192.1), because in UTM there is no definition for it and its value can change some time. So I am not able to create a rule for traffic which should go to the default gateway of WAN2.

    Then I realized that there wouldn't be any problem if I could hide the rest of the subnet from the router. One way would be to install an additional external router this way:

    ([UTM] 10.20.30.2/30)  (10.20.30.1/30 [Router] 168.73.195.77/20)

    The router would get its public ip via DHCP. The UTM could be configured with static IPs so I am able to set up all rules I need. This would hide the subnet from the router resulting in the whole traffic being routed through WAN1.

    I feel this being a valid solution but it will cost me some bucks for additional hardware and I have to maintain configuration on an additional device.

    I wonder whether this approach can be realized in UTM itself. Perhaps someone is able to shed some more light on this.

    Thank you in advance!
Reply
  • 0
    Hi Andrew,

    thanks for your response. I feel it seems to be a bit difficult to explain and so I try to give some more information.

    What we have is the following:

    UTM:

    WAN1: 84.123.44.55/32 (fixed public IP)
    WAN2: 168.73.195.77/20 (DHCP) with gateway 168.73.192.1 and subnet address 168.73.192.0/20

    User at same cable provider, e.g. home office:

    WAN: 168.73.197.131/20 (DHCP) with gateway 168.73.192.1 and subnet address 168.73.192.0/20


    From home office I'm trying to access systems at work, e.g. mail, VPN or other service through the fixed public IP. For the moment let us assume, we make a simple ping.

    When the packet arrives at WAN1 then the router tries to send back an answer to 168.73.197.131. Because it can see, that this address belongs to the subnet of WAN2 it sends it out over that interface which results in ping timeout, because the answer is expected from address 84.123.44.55.

    What I tried to do is to redirect all traffic for subnet on WAN2 through WAN1 except the default gateway, because I need the gateway to establish e.g. outgoing http connections for simple web browsing. Of course I am able to redirect the traffic for the whole subnet and even exclude the assigned address on WAN2 but the problem comes when trying to exclude traffic for the default gateway (168.73.192.1), because in UTM there is no definition for it and its value can change some time. So I am not able to create a rule for traffic which should go to the default gateway of WAN2.

    Then I realized that there wouldn't be any problem if I could hide the rest of the subnet from the router. One way would be to install an additional external router this way:

    ([UTM] 10.20.30.2/30)  (10.20.30.1/30 [Router] 168.73.195.77/20)

    The router would get its public ip via DHCP. The UTM could be configured with static IPs so I am able to set up all rules I need. This would hide the subnet from the router resulting in the whole traffic being routed through WAN1.

    I feel this being a valid solution but it will cost me some bucks for additional hardware and I have to maintain configuration on an additional device.

    I wonder whether this approach can be realized in UTM itself. Perhaps someone is able to shed some more light on this.

    Thank you in advance!
Children
  • 0 in reply to KiP
    Hi Andrew,

    thanks for your response. I feel it seems to be a bit difficult to explain and so I try to give some more information.

    What we have is the following:

    UTM:

    WAN1: 84.123.44.55/32 (fixed public IP)
    WAN2: 168.73.195.77/20 (DHCP) with gateway 168.73.192.1 and subnet address 168.73.192.0/20

    User at same cable provider, e.g. home office:

    WAN: 168.73.197.131/20 (DHCP) with gateway 168.73.192.1 and subnet address 168.73.192.0/20


    From home office I'm trying to access systems at work, e.g. mail, VPN or other service through the fixed public IP. For the moment let us assume, we make a simple ping.

    When the packet arrives at WAN1 then the router tries to send back an answer to 168.73.197.131. Because it can see, that this address belongs to the subnet of WAN2 it sends it out over that interface which results in ping timeout, because the answer is expected from address 84.123.44.55.

    What I tried to do is to redirect all traffic for subnet on WAN2 through WAN1 except the default gateway, because I need the gateway to establish e.g. outgoing http connections for simple web browsing. Of course I am able to redirect the traffic for the whole subnet and even exclude the assigned address on WAN2 but the problem comes when trying to exclude traffic for the default gateway (168.73.192.1), because in UTM there is no definition for it and its value can change some time. So I am not able to create a rule for traffic which should go to the default gateway of WAN2.

    Then I realized that there wouldn't be any problem if I could hide the rest of the subnet from the router. One way would be to install an additional external router this way:

    ([UTM] 10.20.30.2/30)  (10.20.30.1/30 [Router] 168.73.195.77/20)

    The router would get its public ip via DHCP. The UTM could be configured with static IPs so I am able to set up all rules I need. This would hide the subnet from the router resulting in the whole traffic being routed through WAN1.

    I feel this being a valid solution but it will cost me some bucks for additional hardware and I have to maintain configuration on an additional device.

    I wonder whether this approach can be realized in UTM itself. Perhaps someone is able to shed some more light on this.

    Thank you in advance!


    I am having this EXACT same issue, and I am out of ideas. I tried the policy routes, but I do not believe it's even making it to those rules.

    Anyone of the resident Sophos geniuses have any suggestions?

    Thanks,
    Mark