VPN "Load-Balancing"

Question

Hallo zusammen, 
 ich habe folgendes Szenario: 
 
 Ziel: Die zwei Internetleitungen der UTM-2 b&uuml;ndeln um eine Site2Site VPN Verbindung zu UTM-1 (&uuml;ber nur ein WAN-Interface) herzustellen ("Load Balancing"). So das Clients dynamisch auf die beiden Leitungen aufgeteilt werden. So wie beim Uplink-Balancing, nur &uuml;ber VPN halt. 
 UTM-1 WAN1-schnell Uplink-Ausgleich Pos. 1 und Gewichtung 100 (nur zum Surfen) WAN2-synchron Uplink-Ausgleich Pos. 2 und Gewichtung 0 (nur f&uuml;r VPN) WAN3-langsam Uplink-Ausgleich Pos. 3 und Gewichtung 0 (zum Surfen falls die obere Leitung ausf&auml;llt) 
 UTM-2 WAN1-schnell Uplink-Ausgleich Pos. 1 und Gewichtung 100 (zum surfen und f&uuml;r VPN) WAN2-langsamer Uplink-Ausgleich Pos. 2 und Gewichtung 0 (soll nur f&uuml;r VPN verwendet werden) 
 Es werden zwei IPSec-VPN Tunnel aufgebaut (Auth. RSA-Key): 
 UTM-2 WAN1 zu UTM-1 WAN2 UTM-2 WAN2 zu UTM-1 WAN2 
 Der Haken &bdquo;Tunnel an lokale Schnittstelle binden&ldquo; ist bei beiden VPN-Tunneln der UTM-2 gesetzt. Die Tunnel werden auch erfolgreich aufgebaut aber es geht kein bzw. kein stabiler Traffic (massive ping Ausf&auml;lle) &uuml;ber die Tunnel. 
 Auch das Anlegen einer Multipathregel auf UTM-2 hat nicht geholfen: Lokales-LAN-UTM-2 &rarr; Any &rarr; Entferntes-LAN-UTM-1 &rarr; Uplink Interfaces nach Verbindung (auch mit nach Quelle versucht) 
 Folgendes Funktioniert stabil: 
 
 Auf UTM-2 nur einen Tunnel aktivieren jeweils ohne Haken &bdquo;Tunnel an lokale Schnittstelle binden&ldquo; 
 Auf UTM-2 nur den Tunnel aktivieren der als Gewichtung NICHT 0 hat mit Haken &bdquo;Tunnel an lokale Schnittstelle binden&ldquo; (da funktionieren beide Verbindungen einzeln wenn man die Gewichtung jeweils umstellt, also 100 auf 0 und 0 auf 100 setzt) 
 
 Was nicht funktioniert: 
 
 Auf UTM-2 beide Tunnel aktivieren mit Haken &bdquo;Tunnel an lokale Schnittstelle binden&ldquo; (Tunnel werden gr&uuml;n aber es geht kein Traffic dr&uuml;ber)

Ich habe auch schon mit RED-Tunneln experimentiert, funktioniert auch soweit aber nur &uuml;ber Policy-Route und das ist ja alles andere als "dynamisch". 
 Habt Ihr noch eine Idee dazu oder L&ouml;sungsans&auml;tze? 
 
 Vielen Dank.

DennyFischer · Answer

Hier mal der Vollst&auml;ndigkeit halber die Antwort vom Sophos SE-Team: 
 "Das binden der Tunnel an das Interface kann funktionieren, jedoch wird hier kein wirkliches Loadbalancing mit Performance Steigerung von A &ndash; B erzeugt. An sich f&auml;llt uns kein gutes Konstrukt ein, wie man diese Perfromance Steigerung beim VPN erreichen k&ouml;nnte. Man k&ouml;nnte zwei RED Tunnel bauen und diese jeweils in eine bridge zusammen fassen, k&ouml;nnte aber zu allen m&ouml;glichen Problem f&uuml;hren. Empfehlen wir auch ausdr&uuml;cklich nicht so auszuf&uuml;hren! Einzig die RED50 besitzt ein Load Balancing mit zwei Tunneln. Leider ist es nicht m&ouml;glich, dieses in einer UTM nachzubauen, was die RED in Ihrer Firmware direkt integriert macht." 
 Per IPSec geht also aktuell nur ein Failover (wie schon erw&auml;hnt). 
 Per RED-Tunnel w&auml;re ein "manuelles" Load-Balancing m&ouml;glich (Aufteilen des lokelen Subnetzes auf die RED Tunnel). 
 Per RED50 w&auml;re ein Load Balancing m&ouml;glich.