Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 1900 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interfaces have to be operational in order to set up balancing/monitoring?

pesos
Hi all,

We are in the middle of migrating dozens of old Juniper SSG boxes to Sophos UTM.

Typically we pre-stage devices and then send them out to branch offices - sometimes we have onsite tech staff and other times we have to walk non-technical users through cabling/installing the devices.  Regardless we like to set them up and test them prior to shipping.

After working with support on what seemed like some very strange behavior, we were ultimately told that the interface balancing and monitoring functions will *never* function properly until both interfaces are at least set up and functional at some point in time.  This means that we can't properly test these units from our home offices that only have a single internet connection.

I find this design flaw very odd and frustrating.  What is the logic here?  Does anyone know a way around this?

Thanks!


This thread was automatically locked due to age.
  • 0
    Anyone?  Is this really the way this works?  Once both interfaces are "fully" active something will magically trip inside the box and failover will work properly?  This is what support is telling us, but it is honestly incredibly strange.  Makes it impossible to test in a lab before we actually deploy the box...
  • 0
    To be honest, I, for myself, don't understand the problem / what you're trying to do / expect.
  • 0
    Sorry, I'll try to explain better.

    We have two ISPs.  We want to use both.  We have set up uplink balancing and a few multipath rules and static routes to route traffic appropriately.  No problem there.

    We want to test this in our lab which only has a single ISP.  With every other firewall out there, we simply plug in one isp and leave the other port unplugged, simulating a failover.  Sophos support is telling us we can't do this with their product and that both ISPs have to be online and functional and then the box goes into "magic online" mode where subsequent failovers will function properly.
  • 0
    Just plug both WAN connections into a switch and the switch into your ISP.  Assign a /32 subnet on the second one using one of your IPs and the same assigned default gateway.  Unlike other brands, the Sophos doesn't require that the subnet on the interface include the default gateway.

    Just unplug one interface to force the failover.

    Cheers - Bob
  • 0
    Hi Bob, kind of along the same lines of what you're thinking, we plugged the other wan connection into a dumb switch and set up a laptop on the same switch with the default gateway ip assigned.  Sophos support ASSURED us that this was necessary because the same ip address that is set up under the monitoring section had to be pingable on both interfaces.  So in this scenario the one isp can ping the laptop with that ip, and the other isp can ping that same ip (the real one out in the world).

    However it still doesn't work and things don't properly fail over.  Support says this is because the ip has two different mac addresses (the fake one and the real one).  Sigh.
  • 0
    Have you tried my suggestion?

    Cheers - Bob
  • 0
    Sorry Bob, I'm not sure how to utilize your suggestion as this home lab's isp only has a single ip address...
  • 0
    Is it possible to ship the UTM without balancing enabled and then configure it after installation?  Just switch the second interface off.

    Not sure if that will work or not but I'd figure it wouldn't hurt to try.

    We have enabled load balancing post-deployment in the past remotely and it seems to work without issue.