RED on an Interface NOT used as default gateway route

Additional Information:

I can see arp entries for the other red interface (arp -i red3 for example)...but no arp entries at all for the new red.

AND in the red log:

2014:06:23-15:23:08 astaro-1 red_server[31321]: SELF: New connection from 84... with ID A3... (cipher RC4-SHA), rev1
2014:06:23-15:23:08 astaro-1 red_server[31321]: A3...: already connected, releasing old connection.
2014:06:23-15:23:08 astaro-1 red_server[30532]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3..." forced="1"
2014:06:23-15:23:08 astaro-1 red_server[30532]: A3... is disconnected.

Not sure what you're trying to achieve, is it possible that you post a drawing of what you want?

Hi, Bjoern, and welcome to the User BB!

In addition to apijnapels' request, please describe the problem you want to solve with a Policy Route (I doubt that will work anyway).

Cheers - Bob

Good morning,

so a more detailed describtion of our UTM:

We used the UTM in the past only for static VPN tunnels. Our company policy forced us to configure the default route on the UTM to the LAN connected interface. The internet connected interface was only used with static routes to the VPN sites that had to use static public ip addresses. Also the Red devices had to use static addresses to be able to get a connection.

For that reason I added an additional ip address to the internet connected interface with the policy, that each packet from this ip, any serve to any destination should use the next hop that is the router address of our internet access. The additional address on the internet connected interface is in a different subnet than the ip address that i use for the static routed VPNs. We do have no choice of using a seperate physical interface..

So what happened after the policy: the RED did not connect to the UTM the first time. The reason was that the policy route used as source interface the physical ethernet interface of the internet connection. After i changed the setting to ">"  the red connected properly coming from a non static internet connection at my homeplace.

BUT the problem is now: we can reach/ping the ip of the red device but nothing behind this ip...so the switching seems to be broken.

Is that more clear?

I'm not able to make a drawing from your description.  Is it as follows?

{ISP Gateway IP}{LAN}

Our company policy forced us to configure the default route on the UTM to the LAN connected interface.

Do you mean that the interface with a default gateway is the LAN interface?

After i changed the setting to ">" 

The setting for what?

Cheers - Bob

Good Day!

OK..so here's my drawing:

Internet:
ISPGatewayIP(212.9.w.x) for IPsec
                                              UTMeth1(IP212.9.w.2/IP212.9.y.2)
ISPGatewayIP(212.9.y.z) for the RED

LAN:
UTMeth0(10.6.10.5)LAN-Gateway

Special Settings are:
-LAN Gateway is the default gateway of the UTM.
-IPsec Tunnels are configrued with static routes to the ISP Gateway.

To the questions:
>>The setting for what?
I mean the settings of the policy route mentioned in the text part.

>>Do you mean that the interface with a default gateway is the LAN interface?
Yes, that's right!

Our company policy forced us to configure the default route on the UTM to the LAN connected interface

I'm still confused by all this as I've never heard of such a requirement.  Nonetheless, if I've understood correctly, you only can reach Layer-2 devices if you're in the same Ethernet segment. This would require a bridge.  Check out my Coach story.

Cheers - Bob

Ok...just to make it more clear:

We used our UTM9 only for static routet IPsec tunnesl and static routet ReD connections to fixed public ip addresses in the internet. So we configured our UTM in that way, that the ETH1 internet connected interface is not holding the default route. It operates only over static gatewy routes to our VPN partners fixed public VPN Gatewayadresses or to our fixed RED devices. Everything works fine that way. Teh Default route goes to the LAN  that is connected to ETH0. So we do have IPsec AND Red connections static up and running fine.

What we want to have is to be able to connect RED devices the come from nonstatic public ip addresses without changing the default route settings on the UTM.

So the idea: we add a secondary subnet to the internet interface eth1 AND we add a gateway route for any traffic from this new ip address over the ISPs router to the internet. This seems to work, the nonstatic RED connect to the UTM over this rule. BUT now we cannot ping any device connected to the RED switch...we can only ping the RED interface...nothing else.

Thanks, I see now.  I don't see why you would need to add any routes for the RED connections, fixed public IP or dynamic.

As for pinging, can you ping behind the other REDs?

Explanations: When you configure a RED in WebAdmin, the UTM sends the configuration to a service in the cloud.  When the RED is connected to the Internet at the remote site, it does a DHCP request and then "calls" the cloud service to ask for its configuration.  Once it loads its configuration, it calls the UTM.  That's why the route and extra public IP shouldn't be needed.

Pinging is regulated on the 'ICMP' tab.  Since you have the default gateway on the Internal interface, I guess that you can't ping from there to any of the other RED subnets as that would require a firewall rule.

Cheers - Bob

Hello,

for better debugging I changed the setup.

So now we do have our UTM as it was.

eth0 connected to the LAN side (DEFAULT ROUTE!)
eth1 connected to the internet using static routes to the ipSEC Tunnels and to some static RED devices
eth2 connected to the internet

To let the new RED devices connect I tell the RED config to use the IP of the eth2. And to make the traffice from eth2 able to travel to any public ip address in the internet I added the policy route "source interface ANY, source network (ETH2REDINTERFACE-IP), traffic ANY, destination ANY, Gateway (NEXTHOP-IP-ISP)

Still the same: RED devices from random public IP-Adreses in the internet connect. BUT I can't reach any to the red switch connected devices. tcpdump shows nothing on interface reds8, but there ist a printer with stic settings connected to the red.