Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4414 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Backup Internet Through Wireless Link

Waterboy550_01
I have 2 firewalls located in 2 building 500 yards apart. Each has their own internet connection. Also each has another card attached to a wireless unit bridging the two buildings. 

The two firewalls are setup with an IPsec tunnel with the interfaces connected to the wireless bridges as the gateway in the remote gateway setup of the tunnel. This causes all traffic between the two networks to be routed over the wireless connection. We do this because we send large backups to and from these locations every night.

How do I setup location 1 as a backup internet connection for location 2? Meaning if the internet drops at location 2, how can I route all internet traffic over the wireless connection and out the firewall at location 1? 

Can my interface connected to the wireless devices be considered a gateway and then I could use uplink balancing? I have tried a few different things with no success.


This thread was automatically locked due to age.
  • 0
    No thoughts on this still? It would be similar to having two Sophos firewalls linked with an Ethernet cable between buildings. I'm a little disappointed I can't find a solution to something that I figured wouldn't be too complex.
  • 0
    You were correct in your assumption that this is done with Uplink Balancing and can enable both buildings to have a failover option.  In each UTM, you will, at the least, need firewall rules and a masq rule for the subnet(s) in the other building.

    Cheers - Bob
  • 0 in reply to BAlfson
    Any more directions? Please see the network diagram I have uploaded with this post. This is a very basic diagram with fictitious IP information.
  • 0
    Well, I didn't say it was easy if you don't have experience with it.  I think I billed about two hours the last time I did this.  If you have time, just get started and ask specific questions as you run into road blocks.

    Cheers - Bob
  • 0 in reply to BAlfson
    I have tried the following things and have had no success.

    I tried to simply add the "Internet" network definition to both sides of the VPN that travels over the wireless link. I added it as a local network on 1 side and as a remote network on the other side. This did not seem to pass any "outside" traffic through the tunnel and also killed the connection to the local networks on each side. This solution would not be ideal as the firewall could not automatically switch this setup on or off based on the the default internet connection.

    I also tried to enable the "Default Gateway" on the interface on one side of the tunnel. For the interface defined as 192.168.11.1, I put a default gateway of 192.168.11.2 (referencing the diagram in the last post). This allowed me to use the uplink balancing. I put both interfaces as active and then disabled the main external connection. The external traffic did not route over the wireless bridge. I even added some multipath rules, still no luck. 

    I think I'm on the right track with the 2nd setup. Should the default gateway for the wireless interface be the interface connected to the other firewall? Also what multipath rules would I need to setup?
  • 0
    Yes, the default gateway and Uplink Balancing on both sides gives you failover for both sides.

    The traffic bound for the Internet will go outside the tunnel over the wireless connection.   Since the normal internet connection is not encrypted, this should not be an issue.  You can't push it through a VPN without using Uplink Monitoring and defining a second IPsec Connection on both sides.

    Cheers - Bob
    PS One of our unwritten rules here is "one topic per thread."  Please open a new thread in the Network Protection forum for the Multipath question.  Once you've done the Uplink Balancing, your situation is no different than someone with two ISPs.
    PPS That makes me realize that this should be in that forum, too, so I'll move it there.
  • 0 in reply to BAlfson
    Will the masquerading rules on each end need to have the others main network listed (192.168.1.x/24 and 192.168.2.x/24) or will the rule need the wireless bridge network (192.168.11.x/24)? 

    Also I'm assuming simple firewall rules should be in place like the following on each unit. This being a starting point for testing and can tighten it down after proving that it works.

    Source: Other main network and wireless bridge network
    Service: Any 
    Destination: Any 
    Action: Allow  

    See the attachment in the earlier post for the network diagram.
  • 0
    Your firewall rules look good as is since the UTM for the "Other main network" already stops what shouldn't go out.  You're right about the masq rules.

    Cheers - Bob
    PS In the last week, I learned that a new capability for IPsec Connections was introduced without mention in V9.1.  This would allow you to have instantaneous failover via the Internet should the IPsec tunnel over the wireless go down.  That's unrelated to this topic, so you would want to start a new thread after you've conquered this topic if that interests you.
  • 0
    Hi Bob,

    I would like to know more about that undocumented feature! I started a new thread  here

    Sam
  • 0 in reply to samf@paradigmcc.com
    This setup worked amazing! Setup the wireless interface on both sides as a default gateway with the opposing interface as the gateway. Needed to add masquerading rules for both sides of the connection. Made the appropriate multipath rules, and bingo! When I bring the main external connection down at ether location all the network traffic shifts to go over the wireless link and out the other's external connection.

    Thanks a ton for the guidance!