Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4301 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Tunnels, Uplink Balancing, Multipath rules, oh my

Jayson
Howdy

We are adding (hopefully) a second WAN connection to the mix. The connection comes from a totally different provider, in this case CABLE. With that we have turned on UPLINK BALANCING and created a couple MULTIPATH RULES to route our WEB SURFING traffic and all is well, so we thought.

The problem is we have 2 site to site VPN tunnels in the mix. These tunnels go to external partners and were working flawlessly prior to turning on UPLINK BALANCING, to add more drama to the mix on one VPN tunnel we need to have various protocals running and the other has a WEB PORTAL

Needless to say this is adding some complexity to the mix I'm just not able to wrap my head around. 

I have checked out many of the simplar threads but I've been unable to find anything that outlines what we need to do.

Do any of you by chance have some insight in to setting something like this up? Maybe know of a document that outlines this setep? Or just have a great idea you want to share?

As always, thanks for any and all help...

-Jayson

Edit --

Reading that again I feel I should add some more info.

Whats working
Uplink Balancing is working
Routing Web Surfing traffic out to the new Cable line is working

Whats not working
VPN tunnels are connected BUT are no longer usable. eg no taffic of any sort seems to be getting to or from the target host/networks


This thread was automatically locked due to age.
Parents
  • 0
    The "trick" here is to use a Multipath rule with persistence by interface on the dual-WAN side and an 'Availability Group' on the other side.

    On the dual-WAN side, change the 'IPsec Connection' to have 'Local Interface: Uplink Interfaces'.  On the other side, in the 'Remote Gateway', into 'Gateway', put an 'Availability Group' that contains the IP favored by the Multipath rule first, and the other IP second.

    Say, you have a location with WAN-1 (11.21.31.41) and WAN-2 (62.72.82.92), your Multipath rule in that location would be:

    'Uplink Interfaces -> IPsec -> Any (or specific locations) : Persistence by Interface WAN-1'



    In the other location, the 'Availability Group' above would contain, in order, Host definitions for 11.21.31.41 and 62.72.82.92.

    Cheers - Bob
  • 0 in reply to BAlfson
    The "trick" here is to use a Multipath rule with persistence by interface on the dual-WAN side and an 'Availability Group' on the other side.

    On the dual-WAN side, change the 'IPsec Connection' to have 'Local Interface: Uplink Interfaces'.  On the other side, in the 'Remote Gateway', into 'Gateway', put an 'Availability Group' that contains the IP favored by the Multipath rule first, and the other IP second.

    Cheers - Bob


    The "OTHER IP" being the IP that currently resides in the REMOTE GATEWAY | GATEWAY box?
Reply
  • 0 in reply to BAlfson
    The "trick" here is to use a Multipath rule with persistence by interface on the dual-WAN side and an 'Availability Group' on the other side.

    On the dual-WAN side, change the 'IPsec Connection' to have 'Local Interface: Uplink Interfaces'.  On the other side, in the 'Remote Gateway', into 'Gateway', put an 'Availability Group' that contains the IP favored by the Multipath rule first, and the other IP second.

    Cheers - Bob


    The "OTHER IP" being the IP that currently resides in the REMOTE GATEWAY | GATEWAY box?
Children
No Data