Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 14644 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PTP Wireless network and WAN Connection Failover

cleight
Good evening everyone,

I am trying to setup a network that I feel is fairly simple, yet having issues on figuring out the best method to complete the task.

I have the following scenario:

Primary Site:
ISP --> External WAN Int (50.203.X.X)
PTP --> PTP WAN Int (10.10.10.1)
LAN --> Internal LAN Int (192.168.2.0/24)

Secondary Site:
ISP --> External WAN Int (50.204.X.X)
PTP --> PTP WAN Int (10.10.10.3)
LAN --> Internal LAN Int (192.168.1.0/24)

What I am trying to accomplish it two things, one send all traffic between the sites over the PTP Link unless the link is down. Second send Internet traffic through PTP in the event ISP is down.

I have setup the interfaces in UTM and have them both being monitored with uplink monitoring. Where I am stuck is how to route the traffic from the LAN through the PTP.

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    Hi,
    to quote BobA a pretty picture will help. Your explanation is not very clear regarding the PTP. Where does the UTM fit into this network?

    Ian

    XG115W - v20.0.2 MR-2 - Home

    XG on VM 8 - v21 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0
    Here is a picture of how the Network will look when completed.

  • 0

    Cleight, the only virus I've gotten in over ten years was when I clicked on an infected picture file here in the User BB six years ago. [:O]  The best way to attach pictures here is to click on [Go Advanced].

    Based on your description, I would use Static Routing, Uplink Balancing with Multipathing, Uplink Monitoring and an IPsec VPN.

    For example, in the Primary site:

      • Gateway Route {192.168.1.0/24} -> 10.10.10.3

    1. Firewall rule: Allow : {192.168.0.0/22} -> Any -> Any
    2. Activate Uplink Balancing with PTP WAN and External WAN
    3. Add 10.10.10.3 as Default gateway to the PTP WAN interface
    4. Create a Multipath Rule: {192.168.2.0/24} -> Any -> Internet : Bind to External WAN interface
    5. Create an IPsec VPN : 192.168.2.0/24=10.10.10.110.10.10.3=Internet and do not enable it; use "Initiate Connection" in this site and "Respond Only" in the other
    6. Set Uplink Monitoring to enable the VPN if the ISP is down
    7. One site only: Create an IPsec VPN : 192.168.2.0/24=50.x.x.x50.y.y.y=192.168.1.0/24 and do not enable it; use "Initiate Connection" on both sides
    8. One site only: Set Uplink Monitoring to enable the VPN if the PTP is down


    Except for the last two steps, do the complementary config on the other side.  Note  that there are thus three different VPN tunnels created; one lets Primary get to the world via the Secondary's WAN connection, another lets Secondary get to the world via the Primary's WAN connection and the third allows the two sites to communicate with each other if the PTP is down.  Any luck with that?

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Cleight, the only virus I've gotten in over ten years was when I clicked on an infected picture file here in the User BB six years ago. [:O]  The best way to attach pictures here is to click on [Go Advanced].

    Based on your description, I would use Static Routing, Uplink Balancing with Multipathing, Uplink Monitoring and an IPsec VPN.

    For example, in the Primary site:
      Gateway Route {192.168.1.0/24} -> 10.10.10.3
    • Firewall rule: Allow : {192.168.0.0/22} -> Any -> Any
    • Activate Uplink Balancing with PTP WAN and External WAN
    • Add 10.10.10.3 as Default gateway to the PTP WAN interface
    • Create a Multipath Rule: {192.168.2.0/24} -> Any -> Internet : Bind to External WAN interface
    • Create an IPsec VPN : 192.168.2.0/24=10.10.10.110.10.10.3=Internet and do not enable it
    • Set Uplink Monitoring to enable the VPN if the ISP is down

    Do the complementary config on the other side.  Note  that there are thus two different VPN tunnels created; one lets Primary get to the world via the Secondary's WAN connection and the other lets Secondary get to the world via the Primary's WAN connection.  Any luck with that?

    Cheers - Bob


    BAlfson,

    I appolagize for the way I uploaded the Image. I have re-uploaded it through this forum. Thanks for your insight, the only thing I forgot to mention in my initial post is I would like the existing IPsec VPN tunnel used in the event the PTP link is down.
  • 0
    Thanks - no apology required! [:)]

    Your last post and the picture confuse me as it looks like you intend to have two, active paths to the same subnets.  That will cause routing problems.  I also don't understand what an existing IPsec tunnel might o.

    The approach recommended above sends traffic between the two sites over the PTP if it's up.  If it's down, an IPsec tunnel is enabled between the two sites.  Traffic to the Internet from each LAN goes out its local ISP connection.  If the ISP connection is down, the traffic goes through the PTP to the other site and out via its ISP.  Isn't that your goal?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks - no apology required! [:)]

    Your last post and the picture confuse me as it looks like you intend to have two, active paths to the same subnets.  That will cause routing problems.  I also don't understand what an existing IPsec tunnel might o.

    The approach recommended above sends traffic between the two sites over the PTP if it's up.  If it's down, an IPsec tunnel is enabled between the two sites.  Traffic to the Internet from each LAN goes out its local ISP connection.  If the ISP connection is down, the traffic goes through the PTP to the other site and out via its ISP.  Isn't that your goal?

    Cheers - Bob


    Balfson:

    Thanks for your last reply I am trying to do exactly what you thought and outlined in your first post. Not sure about the Specifics on the ipsec VPN Tunnel. Can you verify the screenshots attached look correct?

    Thanks,
    Chris
  • 0
    I added a third tunnel in my post above to address the situation where the PTP connection dies.  Perhaps it will be clearer now.

    On this side, for a tunnel to be initiated when our Internet connection dies, we want:

    Interface: PTP
    Local networks: {LAN at this site}
    "Initiate Connection"
    Remote networks: Any


    The configuration on the other side to allow this is:
    Local networks: Any
    "Respond Only"
    Remote networks: {LAN at other site}


    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Is it possible to have the PTP connection and my Primary ISP Connection share the same physical NIC on my box if I VLAN it?
  • 0
    Yes, that is possible.  VLAN 1 is reserved, and, before V9.3, you can't have a tagged and untagged VLAN on the same interface.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Bob,

    I'm attempting basically the same thing, however, I'm experiencing issues with the ISP failover VPNs over the PTP interface. They say Error: No connection and I notice the VPN ID's are different on each connection

    Also, with uplink monitoring, how do you differentiate between the ISP connection and the PTP connection going down. How do you specify that the UTM needs to enable the Site to Site VPN over the internet connection, or the one over the PTP to redirect internet traffic?

    I'm running UTM 9.403-4

    Thanks,

    JR

Unfiltered HTML