Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 9528 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internet access through specific IP address

guillerone
Good morning to everyone.

The company I work for just bought a cluster of 2 SG230, and we are having problems implementing the solution. Let me introduce you to our setup.

We have 4 WAN in Uplink balancing. 2 are default for user's internet access (WAN3 and WAN4) and the other 2 are specific for publishing services like Exchange and so on (WAN1 and WAN2). The last 2 are set to weight "0" so they are only used if the others are down, but at the same time are available for publishing services.

WAN1 and WAN2 have several IPs each, all defined under "aditional IPs".

The problem: we want to make Exchange access the internet through IP A.A.A.3, but we can only make it go out through A.A.A.1.

If we create a multipath rule, there we can only specify the interface (not the exact IP), therefore it will go out through the interface's IP: A.A.A.1.

If we remove any multipath rules and create a masquerading rule, for the network or for the exact host, it just doesn´t apply. It will go out through the "uplink interface", using a random IP from WAN3 and WAN4.

Creating a NAT rule Exchange -> Any -> Internet specifying the A.A.A.3 IP does not work either.
No site to site VPN is used anywhere.

Could someone please help us? I think we may be missing some basic concept rules but reviewed the documentation several times.

Thanks a lot in advanced [:$]


This thread was automatically locked due to age.
  • 0
    Create an SNAT:
    Source: Exchange
    Service: Any
    Destination: Internet

    Change Source to: WAN IP AAA3
    And the Service To: 
  • 0
    Thanks for replying scorpionking. As mentioned, that didn´t work either.
  • 0
    You didn't write that you also tried SNAT. [;)]

    So we will have to dig a little deeper into your configuration.

    Did you configure the additional addresses with subnet mask /32?
    Did you choose WAN1 (A.A.A.3) (Address) as translated source in your SNAT?
    Please show some screenshots of your additional addresses and NAT rules (blank out confidential parts).
  • 0
    Subnet mask is /29 in our case, and it is configured. We have about 6 IPs in the range.

    In the attachment, the blanked out item is the A.A.A.3 IP. It is an additional IP of the eth7 interface.
  • 0
    You should always define additional IPs with subnet mask /32. Otherwise you might have routing issues.
  • 0
    I set the subnet mask to /32 on all of our additional addresses, internal and external, but no luck.

    Must say the /29 is our ISPs subnet for the public range, but if it should work with /32 and we avoid routing problems it will stay that way.

    Anyhow, it still doesn´t work [:(]
  • 0
    I just tried disabling all Multipath rules, masquerading rules and static routes only leaving a single SNAT rule saying server->Any->Internet translated to A.A.A.3. And it did not work, but also the server was still able to browse the web through uplink balancing interfaces.

    This doesn´t make any sense.
  • 0
    Do you use Web Filtering in Transparent Mode?
    If yes, it makes indeed sense.
    In this case, all HTTP(S) traffic will go out with the UTM as source. That's how a proxy works.

    Did you review BAlfsons Rulz?
    Especially Rules 1-3.

    Please also describe the procedure you use to confirm the outgoing IP of your mail server.
  • 0
    That was it. I knew it was something stupid. I didn´t check the rulz until you pointed at the link. I will have to look at rule number 0 too.

    What we were doing wrong, for anyone interested:
    We were checking the IP it was going out through by accessing a website that returns your IP. As web proxy was in transparent mode, it was intercepting all HTTP(S) traffic and outputting it through it's default gateway unless we specified a multipath rule.

    So, in transparent mode we can expect that our mail server sends emails (and all other traffic except HTTP/HTTPS) through A.A.A.3. Right?

    Thanks again scorpionking for your kind help.