Branch office down if UTM down?

No, if you configure transparent/split, the "virtual nic" in the utm is using an static/dynamic ip from the remote subnet.

If the tunnel goes down, the red will forward all packets, who are not destined for the hq/utm-subnet to the branch-gateway (cable/dsl/wlan/fiber-router).
The main-dns and gateway is the server/router in the branch office, for internal/hq-name resolution you can define an split-dns server or availability group.

I've configured several branch-offices an it works fine.

At the beginning, i also read that if the tunnel goes down, the branch is offline too, no matter which mode i'm using, but thats wrong.

Hi, interesting to hear this. I've deployed many reds some years ago, and everytime the utm stops working (or no internet) the reds have started a reboot loop until the utm is back online, regardless which configuration i have used for. So i think this has changed over time?!

Hmmm... good question; we've mostly deployed them in unified mode, so of course when the link to the UTM fails (ISP problems on either side/in between, power issues, etc.) after the RED tunnel is down long enough, it does reboot (assuming it's being reassigned/redeployed)... so yeah, I think even in split network mode, you will lose connectivity through the RED appliance as it will be rebooting, etc.

If you need a site to run independently of a main UTM, etc. --- I suggest implementing a small UTM at that site instead of a RED.

Umpf, so it sounds like your branch PCs use the cable router as their default gateway instead of the RED and you've got static routes on the router to point HQ traffic to the RED. Correct?

@JGolden:

Yes, thats correct. The RED itself isn't the gateway, it's just a "pass-thru" device which extracts the traffic destined for the hq-utm via ip-header from all packets that are flowing through.

The branch-office main-router do dns(-forwarding) and dhcp (from that the red gets the "wan"-ip which is showing up in the utm-webadmin).

An SG 105 with 3-yr Network Protection is cheaper than a RED 50.  If you need a RED tunnel, that also can be done with this setup.  In addition, the hardware warranty doesn't expire after a year like the RED 50.

Cheers - Bob

An SG 105 with 3-yr Network Protection is cheaper than a RED 50.  If you need a RED tunnel, that also can be done with this setup.  In addition, the hardware warranty doesn't expire after a year like the RED 50.

Cheers - Bob

Yes, that's true for the hardware Bob, but they'll have to add-on the network protection to get the RED/VPN capability, and if they want web filtering, they'll have to purchase a license for the main office and a license for the branch office.

JG, here in the US, it's still $6 cheaper with two successive 3-year Network Protection subscriptions.  If you were to purchase warranty extensions for the RED 50, it would always be cheaper to have the SG 105.

Today, with a RED, the only choice for Web Filtering is to send the traffic through the tunnel to the UTM.  This could be done more efficiently with an IPsec tunnel, plus, unlike with a RED tunnel, you can do QoS in an IPsec tunnel.  Having an SG means that you could either send the traffic through a RED/IPsec tunnel or add a Web Filtering subscription to the SG.

The folks that manufacture the REDs need to find a way to make them less expensive and more reliable.

Cheers - Bob