Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 20414 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Replace ISP edge router with UTM?

billybobadoo
Good day,

I've got a weird situation on my hands and not sure how to setup the routing.
We currently have two ISPs connected to our UTM and have recent ordered a third, a 100mbit fiber.
The new ISP has NOT provided a physical Cisco router, we were told to provide our own and the ISP provided us the interconnect IP block and the usable IP info.
Can we configure the UTM to take the place of an ISP edge router?
I don't know anything really about routing.. been trying all sorts of configurations with no luck.  Any ideas on how to configure the UTM to correctly pass this traffic?  Having the usable IPs 9.123.168.106 configured to an interface and using static routes for the rest?  This is a UTM 220 with lots of free interfaces.. 

Interconnect Network IP Address: 8.145.3.116
Subnet Mask: 255.255.255.252
Interconnect Default Gateway IP Address: 8.145.3.117 (ISP's pingable gateway)
Interconnect IP Address: 8.145.3.118 (To be assigned to our "cisco" router)

Network IP Addressing Information - Usable:
Usable Network IP: 9.123.168.104 255.255.255.248
Default Gateway IP: 9.123.168.105
Usable IPs: 9.123.168.106 - 9.123.168.110
Broadcast IP: 9.123.168.111

Thank you!! [:$]


This thread was automatically locked due to age.
  • 0
    You should be able to just plug and go if they are giving a straight Ethernet handoff.  Are they asking you to do RIP or BGP or none?  What model routers are you using on the other interfaces?

    also a 220 might not be able to move enough traffic fast enough to keep up with the amount of WAN bandwidth you have available.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Agreed with William - an SG 210 or 230 would be more likely to keep up with 100Mbps. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I'm not concerned about keeping up with the 100mbit, right now we can't use any of it.
    The other two ISP connections are cable modems, both statically assigned.
    No information was given about routing protocols... no BGP for sure.
    I made a drawing that might help.  What would need to be configured on the UTM to take out the cisco router?
    Thank you.
    Link to drawing (JPG)
  • 0
    Hi,

    Configure a new External interface with the 8.145.3.118 address, network mask, and .117 gateway.


    Interconnect Network IP Address: 8.145.3.116
    Subnet Mask: 255.255.255.252
    Interconnect Default Gateway IP Address: 8.145.3.117 (ISP's pingable gateway)
    Interconnect IP Address: 8.145.3.118 (To be assigned to our "cisco" router)



    The second block of addresses
    Network IP Addressing Information - Usable:
    Usable Network IP: 9.123.168.104 255.255.255.248
    Default Gateway IP: 9.123.168.105
    Usable IPs: 9.123.168.106 - 9.123.168.110
    Broadcast IP: 9.123.168.111


    a. Can be used in a DMZ, 
    or 
    b. you can add individual addresses as "Additional Addresses" on the new External interface, and use DNAT to forward incoming traffic, and Masq or SNAT or Multipath for outbound traffic.

    Barry
  • 0
    Good day - happy new year.

    Thank you for your reply.

    This was the very first thing we tried but were unsuccessful in getting the SNAT rules to work properly.  All outbound traffic shows as if it's coming from the interconnect IP: 8.145.3.118.

    We tried all sorts of combinations with no luck.
    Any idea how a SNAT rule should be configured?
    The only way we were able to get traffic out on that interface was with a multipath rule, but as I said, it shows as coming from the first address assigned to that interface: 8.145.3.118.
    [:S]
  • 0
    Are you able to ping the (.117) gateway from the UTM that replaced your Cisco router?  Make sure you are not blocking pings on the UTM until you are done testing.  You at least want to make sure you can ping your gateway before trying anything else.  I would double check with your ISP to make sure there is no dynamic routing.  Sounds unsual to me for an ISP to not do some sort of dynamic routing on a business circuit or is it a business circuit?   In addition, does the ISP have any ACLS or MAC ACLS on their equipment that may be preventing you from doing an effective test.  I know one of our ISPs has standard and extended ACLs on their routers blocking certain traffic (which annoys me to no end).
  • 0
    SNAT example:
    source: Internal server IP
    dest: ANY or Internet IPv4 (or v6)
    change source to: one of the external ADDRESSes

    Barry
  • 0
    Did the above suggestion by Barry fix this? We just purchased a couple of 310's in active-passive and I'm looking to remove the interconnect router used for my ISP.
  • 0
    Hi, altafmawji, and welcome to the User BB!

    What problem are you having, or is the Sophos solution not in place yet?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello - I have the same scenario as well. We are adding a new ISP to existing SG230 and were provided WAN + routed IPs. I configure the interface with the WAN address/gateway and the routed as Aliases; apply SNAT using one of the routed addresses, and when I browse it shows the WAN address as my public IP. Multipath is also enabled since there are multiple ISPs (pictures attached). Would policy-routes be needed?
Unfiltered HTML