Distributing Remote Access SSL VPN IP Range in OSPF

Hey Bob - The best I can tell is that Michael's network seems to be using the RED circuits to keep connectivity between sites, in his demo/test network.  My client's network had a private point to point and a UTM RED site to site vpn, but effectively whether its a UTM RED or a physical circuit, in the UTM, they are very much treated the same, so from that point of view, the networks are close enough for this discussion. 

I initially used static routes and used Availability Groups on the next hop to select routes. The down side was that I had expect that when the preferred route became available again, both the UTM's didn't cut over to the preferred circuit at the same time, which could present a problem. I never configured OSPF on a UTM but have in many Cisco routers, so I thought I would give it a try.

Using OSPF, resulted in a very quick routing convergence like you suggested, but also let me redistribute the default route (with a higher metric).  This is useful when you have a non-internet based site to site circuit, like we do have in this example. While it wasn't a deliverable defined in the scope of work, redistribution of the default route over the point to point let us back feed internet access in the case when one campus internet access goes down.

Here's a network sketch.


What I like is the simplicity of the design. The fact that testing showed that the UTM's did not swap back to the preferred circuit at the same time just gave me a "bad feeling" about unintended consequences of traffic taking paths with different latency figures.

My conclusion - OSPF + UTM RED circuits - a great combination!

Hey Bob - The best I can tell is that Michael's network seems to be using the RED circuits to keep connectivity between sites, in his demo/test network.  My client's network had a private point to point and a UTM RED site to site vpn, but effectively whether its a UTM RED or a physical circuit, in the UTM, they are very much treated the same, so from that point of view, the networks are close enough for this discussion. 

I initially used static routes and used Availability Groups on the next hop to select routes. The down side was that I had expect that when the preferred route became available again, both the UTM's didn't cut over to the preferred circuit at the same time, which could present a problem. I never configured OSPF on a UTM but have in many Cisco routers, so I thought I would give it a try.

Using OSPF, resulted in a very quick routing convergence like you suggested, but also let me redistribute the default route (with a higher metric).  This is useful when you have a non-internet based site to site circuit, like we do have in this example. While it wasn't a deliverable defined in the scope of work, redistribution of the default route over the point to point let us back feed internet access in the case when one campus internet access goes down.

Here's a network sketch.


What I like is the simplicity of the design. The fact that testing showed that the UTM's did not swap back to the preferred circuit at the same time just gave me a "bad feeling" about unintended consequences of traffic taking paths with different latency figures.

My conclusion - OSPF + UTM RED circuits - a great combination!