RED as default gateway but no DHCP server

Hi Stephan,

The RED's DHCP server is just like any other one in the UTM so is found under "Network Services" >> "DHCP"

We're running a similar setup in two offices except that we use an Essentials Edition as the default gateway with static routing to the RED. We do that because the RED's 'fail close' when they lose communications with the host UTM and while our offices can afford to lose their link to HQ, they can't lose the internet

Hello,

thanks a lot for the answer. I thought this is a strict setting because it is not mentioned anywhere that you can change it.

I will try it as soon as i come home. 

Greets
Stephan

Hi Stephan,

The RED's DHCP server is just like any other one in the UTM so is found under "Network Services" >> "DHCP"

We're running a similar setup in two offices except that we use an Essentials Edition as the default gateway with static routing to the RED. We do that because the RED's 'fail close' when they lose communications with the host UTM and while our offices can afford to lose their link to HQ, they can't lose the internet

Hi TheDrew,

Could you please share with us how did you go around achieving this setup ! The default behaviour of 'Fail Close' of the RED is giving us a lot of grief. We've got 2012 R2 Server at the branch office which i wish to configure as the DHCP/DNS server for that remote site.

I still wish for content filtering to go thru our UTM in HO. Is that possible ?

What andrew is referencing is the old method of doing split, before it was added to the RED configuration options.  It's simply passing the clients traffic at the remote site to whatever router is there.  On that router you create a static route  to the RED for any traffic addressed to the network behind the UTM.  There wouldn't be a good way to use the UTM web filtering directly through the red with this method though.

A couple of alternatives that you may want to look into though are to get smaller UTM units for the remote sites, or use the UTM integrated Endpoint clients with Web Control on the systems at the remote sites.

Scott: Has that behavior changed in recent UTM versions? We went that route because even with Split-Mode, we had instances where the RED's would lose their link to the controlling UTM and fail closed, knocking several branches offline. Moot point now as with the cost structure of the SG series, we ended up dropping 125's into those branches for the web filtering and use the regular VPN tunnels.

I wish Sophos would change the Fail Close behavior for the RED devices.. Even if its only for the RED 50 as the cost and management of a RED device is far better than smaller UTM's specially considering the number of bugs with all of Sophos firmwares and the headache of managing many smaller UTM's !

I'll start investigating the cost of an MPLS network with our ISP as well and see where we stand.

@Andrew:  Nope, still the same.  Fail-close.