Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 3002 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two internet connections trouble

davorin
Hello,

I have connected two ISP providers on Astaro ASG120 V8.312 and I have trouble accessing interface connected to first internet provider from second internet provider network.

Interface config:
Eth0 - internal network 192.168.0.0/24
Eth1 - ISP1 provider x.x.x.x/30 with default GW
Eth2 - internal guest network 192.168.1.0/24
Eth3 - ISP2 provider x.x.x.x/16 !!!

Currently ISP2 is used only for site-to-site VPN, but maybe it will be used for dial-in VPN in future.
All other traffic goes thru ISP1. On ISP1 I have published web and mail server...

The problem is that nobody can ping (or send mail to) from directly attached ISP2 network to IP address defined on ISP1 connected interface.

The ISP2 network is big - /16. And I suspect that when somebody tries to access from this network the ISP1 interface, Astaro sends answer from ISP2 connected interface. If I disable ISP2 interface, then everything is working fine.

There is configured no uplink balancing, no multipath rules, no policy routes. There is only one additional static route for site-to-site VPN (Interface route, remote internal network, ISP2 interface, metric 5)

Do you have any idea, how I can solve this problem?

Thank you very much!

Best regards
Davorin


This thread was automatically locked due to age.
  • 0
    firewall rules.  by default the firewall will not allow interfaces to talk to each other.  however DO NOT put a blanket allow rule for traffic between the two it will lead to serious issues.  have your partner configure so the traffic you want to pass does while the rest stays blocked as it should.
  • 0
    Thank you for fast answer.
    I have checked firewall rules, but I don't see any that would explicitly allow traffic between two ISP interfaces. BUT it is also true, that I don't see any "deny anything else" rule at the end of the list. Is it necessary?

    Best regards, Davorin
  • 0
    deny is by default so unless you misconfigure the firewall(it is easy to do..) then cross interface traffic will be blocked.
  • 0
    There are just 17 FW rules:
    - some ports (SMTP, DNS) are allowed from servers LAN to any
    - some ports (HTTP, HTTPS, VPN,...) are allowed from LAN and guest LAN to any
    - some additional ports are allowed from Guest LAN to LAN servers
    - SMTP is allowed from any to a list of external SMTP server
    - some traffic is allowed from remote VPN site to LAN and vice-versa

    That it is.
    What type of rule mistakes normally make FW misconfigured?
    I can post printed configuration of FW rules.

    Davorin
  • 0
    To test out FW configuration, I have disabled all firewall rules, Masquerading, DNATs SNATs, IPS,... - I have disabled everything in firewall except expect settings on ICMP tab. The problem is still there.
    Now I am not so sure that this is FW misconfiguration problem.

    As I understand, on ICMP tab you can enable/disable ICMP replays on all interfaces at the same time. So when you are pinging IP address of the eth1 interface you are getting replays from the router. But when the router sees that the source IP address is directly connected on the eth3 interface it probably will choose to reply to ping from eth3 instead from eth1. On directly conneced networks you don't need routes and the  metric is 0. But source IP ignores the answer, because it is waiting a replay from other path.
    Have you ever had the case of two networks connected to Astaro while trying to ping from first network the second astaro interface over another router, which connects both networks?

    Davorin
  • 0
    Regarding my previous post I have decided to temporary use a workaround by changing mask from /16 to /32 on eth3 interface. At the moment that interface can not be used for anything except VPN, which is for now working because of additionaly defined static route.

    The main ISP interface eth1 is also working correctly.
    Can the IPv4 default gateway be enabled on multiple interfaces even if I don't have enabled uplink balancing?
    I would kindly ask for suggestions how to configure Astaro in best possible way.

    Best regards,
    Davorin