Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 6131 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MPLS configuration not working

mrainey
No real guidance in the manual about using MPLS. I currently have several branches connected with site to site vpn. Our vendor says we will get greater efficiency if we use MPLS. I'm willing to try.

Not clear on how to get from here to there. The vendor is Cisco literate and their suggestions don't always translate to Sophos.

The MPLS does not have a separate subnet. It is Sprint MPLS and the vendor says that the traffic from the internal domains to the branch offices cannot be natted to the external address. They mean masqueraded. The traffic from Internal to Branch and from Branch to Internal must not look like it is coming from the External Interface. It needs to be transparent to the MPLS.

Branch office has a simple T1. Home office has pair of bonded T1's plus uplink balancing to a 2 mps air band service. Multipath rules send ipsec traffic over the T1's and Internet traffic over the air band.

Testing MPLS to one branch, Sophos support suggested a Gateway Policy Route: Internal Network, Any Service, Branch Network, Remote Gateway on Home office UTM. Internal, Any, Home Network, Home Gateway on Branch UTM. That doesn't seem right because the MPLS should be handling the gateways. Interface Route doesn't seem to work either. Static routes don't seem to do it either.

This has not worked. Waiting for a senior support tech to get back to me.


This thread was automatically locked due to age.
  • 0
    The only thing that MPLS offers over RED is the ability to do QoS in the internet.  If you aren't having problems with real-time protocols like VoIP, I don't see the value. Even then, the issues I've seen with VoIP related to problems caused by the VoIP provider's on-site equipment or, less often, a mis-configuration in the UTM of Intrusion Prevention or QoS.

    Say that you have internal subnets 172.16.1.0/24 in Site A and 172.16.2.0 in Site B and that the sites are not already connected by RED or VPN tunnel.  Say that, in Site A, the MPLS router has an internal IP of 172.16.1.254.  In the UTM in Site A, create a Gateway Route to 172.16.2.0/24 via 172.16.1.254.

    There are other ways to do this using IPsec and Multipathing if that is required.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Well after pulling my hair out for a couple of days, our vendor finally realized there was an error in their MPLS routing rules so that my test office had no way to find home. Once that was sorted out, it is a really simple config on the UTM's. Only 3 rules using Network Groups for all branch offices:
    a NO NAT rule for Home Internal Subnets for Services to All Branch Offices (Tick automatic firewall rule.
    a Firewall Rule that allows All Branch Office for Services to Internal Subnets.
    a Multipath Rule by Destination for Internal Subnets for Services to All Branch Offices over MPLS Interface

    On the branch office UTM's it's just 2 rules, the NO NAT and the Firewall rule that allows Home Office Subnets to Branch Office Subnets because they only have one external interface.
    Thanks for the feedback.
  • 0
    Glad to see you got it working.

    MPLS is an interesting beast I've been reading up on the last while. There's more to MPLS then just QoS which makes for some really interesting options for the ISP's service wise.

    Also, the client facing side of the MPLS implementation can make a difference. On our end, the ISP supplies a separate interface on the router with an IP we give them on whatever network we wish, so routing over MPLS at each site is as simple as providing static routes in our gateways.
  • 0
    Drew, outside of QoS in the public network, what advantage do you see of MPLS over RED connections?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML