Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 12684 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multipath rules for 2 ISP links

Chrislangford
Hello,

We have 2 Dedicated WAN links. One wan link is 12 MB and another is 4 MB:

Following is our scenario:

ISP1 : 12 MB
ISP2 :  4  MB

We want to divert all the Internet traffic to ISP1 and We have mapped ISP2 for IPSec site to Site VPN for branch locations. But the issue is Internet traffic like Email, Web surfing is diverting over ISP2 4 MB wan link.  We want to use ISP2 only for IPSec site to Site VPN purposes only. Can we force ISP1 to take all the Internet traffic ? [:S]


Following are the multipath rules I created but it will not work:

Rule 1: HTTP [by Interface] [persistence by combination of SRC and DST IP address

any ->Web Surfing->any->ISP1

Rule 2: Exchange [by Interface]

any->Email Messaging->any->ISP1

Rule 3: DNS [by Interface][balance DNS request individually]

any->DNS->any->ISP1


I am using SOPHOS UTM 425 and I have bind interface for all the rules to ISP1 and I have deselected Skip rule on interface error.


This thread was automatically locked due to age.
  • 0
    I might take a slightly different approach.  I assume that you want to allow traffic to failover when one or the other WAN connections is out of service.
      On the 'Interfaces' tab, create an Interface Group for the VPN and add, in order, ISP2 and ISP1.
    • In your IPsec Connection, change the 'Local Interface' to the new Interface Group.
    • On the 'Uplink Balancing' tab, click on the wrench icon at the top of 'Active Interfaces', set the weight for ISP2 to 0 (zero) and for ISP1 to 100.  You may want to change the 'Persistence Timeout' that determines the minimum amount of time before a fail-back to the preferred interface is attempted.
    • Delete your Multipath Rules.

    Now, when both WAN connections are working, all IPsec traffic will go out ISP2 and all other traffic will go out ISP1.  In case one fails, all traffic will be over the other.

    Cheers - Bob
  • 0
    Hello,

    I want to keep both the WAN connections in Active Interfaces Mode. ISP1 should take over Internet traffic and ISP2 should allowed only IPSec Site to Site VPN traffic. For branch locations in peer IP address I have configured ISP2 IP address. At the moment all branch locations are connected to head office ISP2 IP address in IPSec VPN configuration. But the problem which I am facing is, Bandwidth is utilizing to full and there are lots of packet drops for ISP2, as Internet traffic is also being utilizing with ISP2.  

    Could you please let me know can we define such rules? 

    Following will be our tasks:

    1. ISP1 should take all the Internet tarffic.
    2. I assume 2nd task I have completed by configuring ISP2 IP address in branch locations UTMs.
  • 0
    The suggestion I made above should do what you ask if you do not use an Interface Group in the IPsec Connection.  Both interfaces stay in 'Active Interfaces'.

    If you want the site-to-site VPN to be able to fail over to ISP1, you should use the Interface Group.  There is a change to be made in each of other locations.  For the 'Gateway' in the Remote Gateway, you must use an Availability Group with the IP for ISP2 first and that for ISP1 second.  Either that or use a new Default Gateway in "Respond only" mode.

    Cheers - Bob
  • 0
    Hi,

    Thank you for the valuable reply. I have made amendments as as you told. At the moment our office working hours are finished. I have also created high availability group for remote location UTMs and Set ISP2 at top followed by ISP1 in the REMOTE GATEWAY high availability group list. 

    I will update you tomorrow.
  • 0
    Hello,

    You are awesome and Genius. Now all the Internet traffic is being diverted over ISP1 and IPSec Site to Site VPN traffic is been diverted over ISP2. This configuration is success. I will even bookmark it for future.

    Now I don't see a single packet drop [:D]
  • 0
    Hello,

    Please I need help urgently. Everything was working fine after the amendments I made according to you 2 days back and configuration worked for 2 days. Now again we face same issue. Internet traffic is also being diverted over ISP2.
  • 0
    I would guess that this is a different issue.  When ISP1 fails, even momentarily, all traffic fails over to ISP2.  The default is to not apply the Uplink Balancing configuration for one hour.  You can change this on the 'Uplink Balancing' tab.  Click on the open-end wrench at the top of the 'Active Interfaces' box to set the 'Persistence Timeout'.  I wouldn't set it to less than 5 minutes except to test.  Any luck with that?

    Cheers - Bob
  • 0
    Hello,

    Yes! It was for 1 hour. But I set it to 5 minutes during the time of amendments which is 2 days back. Everything was working fine. Everything worked fine till 2 days. Suddenly today ISP2 started to consume even Internet traffic. Then pain started again.

    I didn't even change configuration. Your configuration was perfect. Is there any extra config which we are missing??? I just cannot imagine the configuration which worked 2 days back is not working now.
  • 0
    This is not supposed to happen.  If you're not seeing any reason for this, you probably should get Sophos Support to take a look inside.

    Cheers - Bob
  • 0
    Hello,

    Now again everything is back to normal. Now I have set scheduler persistence time out from 300 "5 minutes" to 86400 i.e 1 day. 

    If I see this issue again I will definitely contact SOPHOS Support. 

    Thank you for helping me out in worst high response time and packet drops time