Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 12689 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multipath rules for 2 ISP links

Chrislangford
Hello,

We have 2 Dedicated WAN links. One wan link is 12 MB and another is 4 MB:

Following is our scenario:

ISP1 : 12 MB
ISP2 :  4  MB

We want to divert all the Internet traffic to ISP1 and We have mapped ISP2 for IPSec site to Site VPN for branch locations. But the issue is Internet traffic like Email, Web surfing is diverting over ISP2 4 MB wan link.  We want to use ISP2 only for IPSec site to Site VPN purposes only. Can we force ISP1 to take all the Internet traffic ? [:S]


Following are the multipath rules I created but it will not work:

Rule 1: HTTP [by Interface] [persistence by combination of SRC and DST IP address

any ->Web Surfing->any->ISP1

Rule 2: Exchange [by Interface]

any->Email Messaging->any->ISP1

Rule 3: DNS [by Interface][balance DNS request individually]

any->DNS->any->ISP1


I am using SOPHOS UTM 425 and I have bind interface for all the rules to ISP1 and I have deselected Skip rule on interface error.


This thread was automatically locked due to age.
Parents
  • 0
    I might take a slightly different approach.  I assume that you want to allow traffic to failover when one or the other WAN connections is out of service.
      On the 'Interfaces' tab, create an Interface Group for the VPN and add, in order, ISP2 and ISP1.
    • In your IPsec Connection, change the 'Local Interface' to the new Interface Group.
    • On the 'Uplink Balancing' tab, click on the wrench icon at the top of 'Active Interfaces', set the weight for ISP2 to 0 (zero) and for ISP1 to 100.  You may want to change the 'Persistence Timeout' that determines the minimum amount of time before a fail-back to the preferred interface is attempted.
    • Delete your Multipath Rules.

    Now, when both WAN connections are working, all IPsec traffic will go out ISP2 and all other traffic will go out ISP1.  In case one fails, all traffic will be over the other.

    Cheers - Bob
Reply
  • 0
    I might take a slightly different approach.  I assume that you want to allow traffic to failover when one or the other WAN connections is out of service.
      On the 'Interfaces' tab, create an Interface Group for the VPN and add, in order, ISP2 and ISP1.
    • In your IPsec Connection, change the 'Local Interface' to the new Interface Group.
    • On the 'Uplink Balancing' tab, click on the wrench icon at the top of 'Active Interfaces', set the weight for ISP2 to 0 (zero) and for ISP1 to 100.  You may want to change the 'Persistence Timeout' that determines the minimum amount of time before a fail-back to the preferred interface is attempted.
    • Delete your Multipath Rules.

    Now, when both WAN connections are working, all IPsec traffic will go out ISP2 and all other traffic will go out ISP1.  In case one fails, all traffic will be over the other.

    Cheers - Bob
Children
No Data