This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED site to site ignores multipath rule

Hi all,

in my setup one UTM with two uplinks acts as RED server and another UTM with two uplinks as RED client. Both systems are connected by RED site to site tunnel.

I want the RED tunnel to use a specific uplink on the client side. I tried multipath rule ANY → ANY → WAN IP of RED server bound to the interface I want it to use, but it did not work. When the uplink interface goes down, the tunnel switches to the second uplink, but never switches back to the primary uplink after it's up again.

I also tried policy routes, but it did not work either. All UTMs are version 9.411-3.

Do you have any suggestions?


This thread was automatically locked due to age.
  • IGNORE - Dirk nailed it below.

    Felix, please show pics of the Edits of your Multipath rule and of the Services used in it.

    Cheers - Bob

    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Unknown said:
    but never switches back to the primary uplink after it's up again

    only new connections (all TCP/UDP connections) are established over the primary uplink after it's up again.

    existing connections keep the used link. 



    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Thanks for this information.

    I tried some more configurations. I unchecked the box Skip this rule on interface failure to avoid the red tunnel to use the secondary uplink at all. The setting seemed to be ignored, as about one minute after link failure, the tunnel was up again on the secondary interface.

    Here's a picture of my multipath config:


  • Hi Felix,

    can you please show the (anonymized) Screenshot of your RED configuration?

    Viele Grüße / Best Regards,

    - CISO -
    - Sophos SCA & Partner-

  • Hi Manuel,

    here's a screenshot of my red and interface config:


  • Felix, wieso brechen wir uns einen auf Englisch ab? :-p

    @Bob: you are the only one that I think can't speak german in this post. All other replies are from german users. Is it OK that we switch here to german? It would be easier to us. Hope you say yes. Perhaps it's possible to move this thread to the german forum.

    So, zurück zu Dir Felix ;-)

    Die UTM versucht scheinbar immer eine Verbindung aufzubauen. Egal über welchen Weg. Ich habe hier zu Hause ein ähnliches "Problem". Zwei Provider. UnityMedia mit 125/6 MBit, Telekom mit 100/40 MBit. Natürlich will ich, dass die VPN-Verbindungen über die Telekom wegen dem höheren Upstream laufen. Fällt die Telekom aus (IP-Wechsel oder was auch immer), baut sie über UM eine Verbindung auf, trotz Multipath-Regel Telekom. Ist wohl eine "Überlebens-Regel". Besser eine andere Verbindung, als gar keine...

    Wenn einmal eine Verbindung da ist, dann wird die auch beibehalten von der UTM. Da hatte Dirk weiter oben was zu geschrieben. Da hilft nur eins: Verbindung trennen und wieder aufbauen. Wenn dann der Provider (in meinem Beispiel die Telekom) wieder/noch online ist, dann wird der Weg über diesen aufgebaut.

    Viele Grüße / Best Regards,

    - CISO -
    - Sophos SCA & Partner-

  • Wann und wo habe ich sowas geschrieben, Manuel?  Daß ich ofters auf Deutsch technische Ideen nicht mehr creiren kann ist so, aber lesen kann ich immer so gut als Englisch. [;)]

    Ich kann diesen Faden zum deutschen Forum verschieben wenn ihr beide möchtet.

    MfG - Bob

    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • "I unchecked the box Skip this rule on interface failure to avoid the red tunnel to use the secondary uplink at all. The setting seemed to be ignored, as about one minute after link failure, the tunnel was up again on the secondary interface."

    How long after making that change did you wait before testing?  WebAdmin is a GUI that manipulates databases of objects and settings.  A single change there can cause the Configuration Daemon to rewrite hundreds of lines of the code used to run the UTM.

    Cheers - Bob

    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob und Manuel,

    ist es möglich, dass die UTM für die RED-Tunnel noch zusätzliche Backup-Ports nutzt?

    Habe nämlich noch ein bisschen getestet. Es stellte sich heraus, wenn ich nur die RED-Ports TCP/UDP 3400 und 3410 an die Schnittstelle binde, dann baut sich nach ein paar Minuten Ausfallzeit der Tunnel trotzdem wieder auf. Wird hingegen als Dienstdefinition ANY genutzt, kommt die Verbindung nicht zustande, so wie es sein soll.

    Der Thread kann auch gern ins deutsche Forum verschoben werden.

    Viele Grüße,

  • Hi Felix,

    die RED nutzt die Ports TCP 3400 + UDP 3410 für die SSL-Verbindung (Ausnahme RED10, da nur TCP/UDP 3400). Das hat aber so nichts mit Deinem Problem zu tun, über welchen Uplink die dann raus geht. Die Ports werden da lediglich für die Client-Server-Verbindung genutzt. Ähnlich dem SSL-VPN auf Port 443 (wenn nicht selbst anders definiert).

    Warum das da besser funktionieren soll, als mit ANY, kann ich grad nicht nachvollziehen bzw. simulieren. Bisher haben sich hier die Tunnel immer wieder aufgebaut. Habe insg. 5 an der Home-UTM hängen, da ich erst anfangen kann zu "spielen", wenn alle unsere Offices Feierabend haben (22 Uhr).

    Viele Grüße / Best Regards,

    - CISO -
    - Sophos SCA & Partner-