This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

site-to-site VPN redundancy

Hello,
i'd like to refloat an old "issue" i've had that haven't managed to check the current v9 version support for it:
Site to site VPN with multiple uplinks.

for example: i have two sites A and B, each site has 2 separate ISPs(mix of fixed/dynamic IPs/NATted)
Tunnel must be up at all times regardless of which ISP fails, convergence time should be in seconds.

currently i have this setup with a couple of sonicwall appliances as they specifically support secondary remote gateway on the tunnel definition(you define the main one and a backup one) and has proven to work, but i find the platform itself quite crappy apart from that (it's counter intuitive and the "visibility" is quite poor).

So, does UTM support such scenario currently?.
or do i need to create 4 tunnels (A1-B1, A1-B2, A2-B1, A2-B2) and go?
and god knows what happens with traffic loops/routing/addressing in that scenario?


This thread was automatically locked due to age.
Parents
  • Bob,
    i know that ISP redundancy at the network level is easy to do(and i'm using it) with uplink balancing/monitoring, but the question is how will a site-to-site VPN work when they're defined by remote/local endpoint pair, all of which will change depending on what fails thus making the tunnel definition invalid!.
    Also tunnel definition doesn't has options to select multiple remote/local endpoints.

    Other than putting the remote gateway as "respond only" (which would work on one of the endpoints alone, otherwise how would the tunnel be ever stablished) i just fail to see how to make it redundant with only one tunnel.

    for example:
    Side A "initiate" pointing to fixed IP of site B.
    Site B as "respond only"
    All works until fixed IP ISP on site B fails, how will the tunnel be stablished then?

    looking at the context help for the connections an interesting point shows on the:
    "bind tunnel to interface" option:
    "Thus it is possible to either bypass IPsec policies with static routes or define redundant IPsec tunnels over different uplinks and use multipath rules to balance traffic over the available interfaces and their IPsec tunnels. Use cases for this setting are for example: "
    But after that it says "Note – This option cannot be used in combination with an interface group." (so how am i supposed to do a multipath target rule if i can't create an interface group with the tunnels....).

    ideas?
Reply
  • Bob,
    i know that ISP redundancy at the network level is easy to do(and i'm using it) with uplink balancing/monitoring, but the question is how will a site-to-site VPN work when they're defined by remote/local endpoint pair, all of which will change depending on what fails thus making the tunnel definition invalid!.
    Also tunnel definition doesn't has options to select multiple remote/local endpoints.

    Other than putting the remote gateway as "respond only" (which would work on one of the endpoints alone, otherwise how would the tunnel be ever stablished) i just fail to see how to make it redundant with only one tunnel.

    for example:
    Side A "initiate" pointing to fixed IP of site B.
    Site B as "respond only"
    All works until fixed IP ISP on site B fails, how will the tunnel be stablished then?

    looking at the context help for the connections an interesting point shows on the:
    "bind tunnel to interface" option:
    "Thus it is possible to either bypass IPsec policies with static routes or define redundant IPsec tunnels over different uplinks and use multipath rules to balance traffic over the available interfaces and their IPsec tunnels. Use cases for this setting are for example: "
    But after that it says "Note – This option cannot be used in combination with an interface group." (so how am i supposed to do a multipath target rule if i can't create an interface group with the tunnels....).

    ideas?
Children
No Data