RED - one UTM client to two UTM servers

After some trial and error it appears that it is the Tunnel ID and not the name that was causing the identifiers to be the same.  This is confusing to me since these are two completely separate SG230s running as servers.  Is it because both are provisioned with the RED service using the same email address?  I can't find any clear documentation on any of this - everything that comes up has to do with RED devices.  The only UTM to UTM documentation is very basic and has to do with setting up a tunnel (which works fine of course, but doesn't tell me what I need to know in this more complex situation).

What I've done is continue to number the tunnels on the East side from 1 and increasing (1,2,3...) and on the West I'm not using the Automatic tunnel ID and instead assigning 799, 798, 797, etc).  This seems to be working so far, but I'm guessing this cuts my number of usable tunnels in half (not that we need 400 tunnels).

Any other side effects of this approach?  Is there a better way to tackle this?

Thanks!

What is the reason to use RED tunnels between the UTMs instead of IPsec tunnels?

Cheers - Bob

Hi Bob,

We do plan to use a standard IPsec tunnel between the two datacenters.

However, when it comes to the client sites connecting in, we would like to use RED for two main reasons:

1) simplicity of configuration
2) related to #1, but since each client site has two ISPs using RED allows a single configuration to fail over between the ISPs whereas with IPsec we have to create two tunnels.  this adds up with over 100 of these to configure and migrate

I have also heard RED has improved performance over IPsec, but have yet to see any real evidence of this.

Thanks Bob!

RED tunnels with UDP protocol are faster than those with TCP, but not as fast as IPsec using AES 128 PFS.

"RED allows a single configuration to fail over between the ISPs whereas with IPsec we have to create two tunnels."  I don't think that's correct, but I'm not certain I understand what you mean.

Cheers - Bob

What I'm getting at is that an IPsec tunnel has to be bound to a particular interface (afaik) which means it's bound to one ISP.  So we have to set up a 2nd IPsec tunnel with a different routing priority in order to keep the tunneled connections up in the event of a failover.  In our case this means 4 IPsec tunnels per client site.

Whereas with RED in client mode, the tunnel is not bound to any particular wan interface (or isp) and it will happily reconnect on the 2nd surviving ISP in case the primary goes down (I've tested this by downing the primary interface and the tunnel reconnected shortly thereafter)...  This leads to significantly less configuration and maintenance as we only have to set up two RED tunnels per client site (and they don't have to be touched if we have an ISP change, ip change, etc)...

What I'm getting at is that an IPsec tunnel has to be bound to a particular interface (afaik) which means it's bound to one ISP. So we have to set up a 2nd IPsec tunnel with a different routing priority in order to keep the tunneled connections up in the event of a failover. In our case this means 4 IPsec tunnels per client site.

No, just use an Interface Group on the side with two ISPs and an Availability Group on the other.  I suspect the reconnect is much faster than the RED reconnect, but you would provide us all a service by testing that.

Cheers - Bob

Thanks Bob, happy to test things out and report back.

I get the interface group (I think) but I'm not sure about the availability group on the datacenter side?