Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 50040 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

site-to-site VPN redundancy

Mast_01
Hello,
i'd like to refloat an old "issue" i've had that haven't managed to check the current v9 version support for it:
Site to site VPN with multiple uplinks.

for example: i have two sites A and B, each site has 2 separate ISPs(mix of fixed/dynamic IPs/NATted)
Tunnel must be up at all times regardless of which ISP fails, convergence time should be in seconds.

currently i have this setup with a couple of sonicwall appliances as they specifically support secondary remote gateway on the tunnel definition(you define the main one and a backup one) and has proven to work, but i find the platform itself quite crappy apart from that (it's counter intuitive and the "visibility" is quite poor).

So, does UTM support such scenario currently?.
or do i need to create 4 tunnels (A1-B1, A1-B2, A2-B1, A2-B2) and go?
and god knows what happens with traffic loops/routing/addressing in that scenario?


This thread was automatically locked due to age.
Parents
  • 0
    Not sure what you mean. The only place I know I can create an Interface Group is on a Multipath rule, if I change persistence to Connection, then on the advance tab I can create a new Interface group that I can use elsewhere. If I use the new Interface group in the Site 2 Site Connections dialog, I still get the cannot bind tunnel to group error. Does that matter? The guide says that is what turns on the failover behavior? In you post above, you state that the Multipath rule for IPSEC should bind to 1 interface, so I am assuming that is a persistence by Interface rule like I currently have. I guess I am missing how failover works if the service is bound to a single interface? You also state in the NOTICE above that the branch office availability group must have the first host ip match the interface on the Multipath rule. Does that mean I cannot spread the branches around to use different interfaces and still have redundancy?
Reply
  • 0
    Not sure what you mean. The only place I know I can create an Interface Group is on a Multipath rule, if I change persistence to Connection, then on the advance tab I can create a new Interface group that I can use elsewhere. If I use the new Interface group in the Site 2 Site Connections dialog, I still get the cannot bind tunnel to group error. Does that matter? The guide says that is what turns on the failover behavior? In you post above, you state that the Multipath rule for IPSEC should bind to 1 interface, so I am assuming that is a persistence by Interface rule like I currently have. I guess I am missing how failover works if the service is bound to a single interface? You also state in the NOTICE above that the branch office availability group must have the first host ip match the interface on the Multipath rule. Does that mean I cannot spread the branches around to use different interfaces and still have redundancy?
Children
No Data
Unfiltered HTML