This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

site-to-site VPN redundancy

Hello,
i'd like to refloat an old "issue" i've had that haven't managed to check the current v9 version support for it:
Site to site VPN with multiple uplinks.

for example: i have two sites A and B, each site has 2 separate ISPs(mix of fixed/dynamic IPs/NATted)
Tunnel must be up at all times regardless of which ISP fails, convergence time should be in seconds.

currently i have this setup with a couple of sonicwall appliances as they specifically support secondary remote gateway on the tunnel definition(you define the main one and a backup one) and has proven to work, but i find the platform itself quite crappy apart from that (it's counter intuitive and the "visibility" is quite poor).

So, does UTM support such scenario currently?.
or do i need to create 4 tunnels (A1-B1, A1-B2, A2-B1, A2-B2) and go?
and god knows what happens with traffic loops/routing/addressing in that scenario?


This thread was automatically locked due to age.
Parents
  • On both sides, use Uplink Interfaces as 'Local interface' in the IPsec Connection definition.

    NOTE: see my post below for an alternative approach possible with V9.2 and later

    Assume WAN interfaces: WAN-Site-A-1, WAN-Site-A-2, WAN-Site-B-1, WAN-Site-B-2.

    Site A:

    Multipath Rule binds IPsec to WAN-Site-A-1
    Remote Gateway for Site B uses a Gateway that is an Availability Group with, in order, WAN-Site-B-1, WAN-Site-B-2



    Site B:

    Multipath Rule binds IPsec to WAN-Site-B-1
    Remote Gateway for Site A uses a Gateway that is an Availability Group with, in order, WAN-Site-A-1, WAN-Site-A-2



    Notice that the first Host in each Availability Group must be the IP of the WAN interface in the Multipath rule on the other side.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • On both sides, use Uplink Interfaces as 'Local interface' in the IPsec Connection definition.

    NOTE: see my post below for an alternative approach possible with V9.2 and later

    Assume WAN interfaces: WAN-Site-A-1, WAN-Site-A-2, WAN-Site-B-1, WAN-Site-B-2.

    Site A:

    Multipath Rule binds IPsec to WAN-Site-A-1
    Remote Gateway for Site B uses a Gateway that is an Availability Group with, in order, WAN-Site-B-1, WAN-Site-B-2



    Site B:

    Multipath Rule binds IPsec to WAN-Site-B-1
    Remote Gateway for Site A uses a Gateway that is an Availability Group with, in order, WAN-Site-A-1, WAN-Site-A-2



    Notice that the first Host in each Availability Group must be the IP of the WAN interface in the Multipath rule on the other side.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • I know this is an old thread, but I am just getting started with configuring VPN's for redundancy. I am following this guide: How to configure multipath uplinking for IPsec with a Sophos UTM
    Dealing with a Home Office with Uplink Balancing to a Branch with a single interface (I will deal with Home to Home double multipath later). At step 5 of the guide I get an error that you cannot bind the local interface to a group, ie: Uplink Interfaces. That's problem number 1.
    Number 2, is I don't really understand multipath rules: My current rule is: Uplink Primary Addresses, IPSEC to Any, Persistance by Interface, Bind to Interface #1
    It seems like this forces all of the IPSEC traffic over a single interface with no failover? Should that be changed to Persistence by Connection with Advanced Balanced to Uplink Interfaces selected?
    Problem #3 can I have different sites primarily connect to different interfaces? That is, Branch 1 connects to home over Interface 1 unless there is failover, while Branch 2 connects to home over Interface 2 unless there is failover?