Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4297 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Tunnels, Uplink Balancing, Multipath rules, oh my

Jayson
Howdy

We are adding (hopefully) a second WAN connection to the mix. The connection comes from a totally different provider, in this case CABLE. With that we have turned on UPLINK BALANCING and created a couple MULTIPATH RULES to route our WEB SURFING traffic and all is well, so we thought.

The problem is we have 2 site to site VPN tunnels in the mix. These tunnels go to external partners and were working flawlessly prior to turning on UPLINK BALANCING, to add more drama to the mix on one VPN tunnel we need to have various protocals running and the other has a WEB PORTAL

Needless to say this is adding some complexity to the mix I'm just not able to wrap my head around. 

I have checked out many of the simplar threads but I've been unable to find anything that outlines what we need to do.

Do any of you by chance have some insight in to setting something like this up? Maybe know of a document that outlines this setep? Or just have a great idea you want to share?

As always, thanks for any and all help...

-Jayson

Edit --

Reading that again I feel I should add some more info.

Whats working
Uplink Balancing is working
Routing Web Surfing traffic out to the new Cable line is working

Whats not working
VPN tunnels are connected BUT are no longer usable. eg no taffic of any sort seems to be getting to or from the target host/networks


This thread was automatically locked due to age.
Parents
  • 0
    Keep in mind that we do not have administrative control of the remote side of the tunnel nor are the remote peers ASG appliances.  The WAN links (WAN-1 and WAN-2 are simply our connections to the internet.
     
    Also of note is that without uplink balancing enabled we are translating traffic on different external IP’s based on whether it is destined for the “internet” vs. one of the protected networks (VPNs).  

    For example, all unprotected web traffic (http/s) is proxied and the source is translated to WAN-1 = 222.111.000.123 (also the interface IP).  While traffic destined for the protected networks source is translated to WAN-1 = 222.111.000.125

    The “Local Networks” on each VPN configuration is set to a single IP on the External Interface (WAN-1 222.111.000.125)
    When the second uplink is added it seems to want to route traffic out the interface IP rather than sourcing it from the WAN-1 second IP which happens to be eh ONLY IP that the remote peer network will accept traffic from.

    BTW, I work with Jayson.
Reply
  • 0
    Keep in mind that we do not have administrative control of the remote side of the tunnel nor are the remote peers ASG appliances.  The WAN links (WAN-1 and WAN-2 are simply our connections to the internet.
     
    Also of note is that without uplink balancing enabled we are translating traffic on different external IP’s based on whether it is destined for the “internet” vs. one of the protected networks (VPNs).  

    For example, all unprotected web traffic (http/s) is proxied and the source is translated to WAN-1 = 222.111.000.123 (also the interface IP).  While traffic destined for the protected networks source is translated to WAN-1 = 222.111.000.125

    The “Local Networks” on each VPN configuration is set to a single IP on the External Interface (WAN-1 222.111.000.125)
    When the second uplink is added it seems to want to route traffic out the interface IP rather than sourcing it from the WAN-1 second IP which happens to be eh ONLY IP that the remote peer network will accept traffic from.

    BTW, I work with Jayson.
Children
No Data