Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 5164 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

uplink balancing with 3 ISPs and weight issue

mitsolutions
hi,

we have 3 internet connections
ISP1 (fast internet)
ISP2 (backup internet)
ISP3 (site to site and remote access with static ip)

we want to use the ISP1 connection for everythink, the ISP2 connections is a "backup only" connection i only want to use if ISP1 is not available. 
ISP3 should theoretically never be used but i need to put it in uplink balancing otherwise the default gateway cannot be set and the connection is useless. 

i set up uplink balancing with weight to use all connections with default GW:
according to help weight "0" means: "use it only if no higher item in list is available".

ISP1 (weight: 100)
ISP2 (weight: 0) 
ISP3 (weight: 0)

but now if ISP1 is down, the connections are balanced between the 2 ISP2 and ISP3. thats not what i thought, i wanted UTM to only use ISP2 and ISP3 ONLY if ISP1 and 2 are down.

has anyone an idea how to solve this?


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    ISP3 (site to site and remote access with static ip) [...]
    ISP3 should theoretically never be used but i need to put it in uplink balancing otherwise the default gateway cannot be set and the connection is useless.

    If it's only to be used for "site to site and remote access with static ip," you don't need a default gateway if the Remote Gateways of your site-to-sites are in "Respond Only" mode. Either that or put it in 'Standby Interfaces' where it only will be used if both of the other connections are down.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    hey, thanks! [[:)]]

    without default gateway we cant host services like reverse proxys and some of our branch offices dont have static ips (the small offices [;)]) so the first one is not an option for me, sadly [:(]

    if i put it in standby interfaces, the interface gets disabled in den dashboard, i'm not 100% sure but i think last time i tried the interface was not reachable from the internet.
    do you have an idea how to "work around" that? [[:)]]

    thanks for your help,
    greetings
  • 0
    without default gateway we cant host services like reverse proxys and some of our branch offices dont have static ips (the small offices 

    Agreed, you would need a gateway for proxied traffic, but not necessarily a default gateway.  The VPNs would work fine as the branches would initiate the tunnels.  In your UTM at HQ, the Remote Gateway definitions would be in "Respond Only" mode.

    I don't think a Standby Interface is disabled as I think I used a Standby Interface for an IPsec VPN before.  Can you confirm that one way or another?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    so i just tried to add the ISP3 interface to standby list, but that disables the interface completly. all our branch offices went offline (they are connected with REDs). i tried to imagine how to add a route that would take care of this, but i dont think this can work with routes, can it?
    the requests to our static ip addresses are transferred to utm but utm cannot reply, because theres no gateway. 
    how would you define a route / gateway in UTM to support this scenario?

    thanks for your help! [:)]
    greetings
  • 0
    Thanks for testing.  It's been two years since I thought I tested that.

    I think the simplest way to do what you want will be to make two Multipath rules, in order:
    [LIST=1]Any -> Any -> Internet : bind to ISP1
    • Any -> Any -> Internet : bind to ISP2
    [/LIST]
    Also, on the 'Uplink Balancing' tab, uncheck 'Automatic monitoring', add Host definitions for the two Google name servers to 'Monitoring Hosts' and click on the wrench to set 'Monitoring type: TCP', 'Port: 53', 'Interval: 15' and 'Timeout: 5'.  This should be a better setting than the default ones in your situation.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML