Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4295 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Tunnels, Uplink Balancing, Multipath rules, oh my

Jayson
Howdy

We are adding (hopefully) a second WAN connection to the mix. The connection comes from a totally different provider, in this case CABLE. With that we have turned on UPLINK BALANCING and created a couple MULTIPATH RULES to route our WEB SURFING traffic and all is well, so we thought.

The problem is we have 2 site to site VPN tunnels in the mix. These tunnels go to external partners and were working flawlessly prior to turning on UPLINK BALANCING, to add more drama to the mix on one VPN tunnel we need to have various protocals running and the other has a WEB PORTAL

Needless to say this is adding some complexity to the mix I'm just not able to wrap my head around. 

I have checked out many of the simplar threads but I've been unable to find anything that outlines what we need to do.

Do any of you by chance have some insight in to setting something like this up? Maybe know of a document that outlines this setep? Or just have a great idea you want to share?

As always, thanks for any and all help...

-Jayson

Edit --

Reading that again I feel I should add some more info.

Whats working
Uplink Balancing is working
Routing Web Surfing traffic out to the new Cable line is working

Whats not working
VPN tunnels are connected BUT are no longer usable. eg no taffic of any sort seems to be getting to or from the target host/networks


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Aaron, and welcome to the User BB!  Sorry I missed the posts you both put up on the 2nd.

    I think you guys lost me...

    There's not a place in the IPsec Connection where you can select the IP of an interface, so the only way to get outbound IPsec packets to leave with a source IP of an Additional Address is what Aaron found.  I don't understand how you guys were making it work before.

    Using Uplink Interfaces in your IPsec connections requires, as I explained in Post #2, that the device on the other side use an Availability Group (or the equivalent) and that you use a Multipath rule.   At present, if there were an interruption with WAN-1, the Astaro would try to establish the tunnels via WAN-2, but your correspondants would refuse the connections, or if your SNAT also applies to Uplink Interfaces, they would answer to WAN-1, and that wouldn't work.

    So, the best thing to do quickly would be to change your SNAT to apply only to WAN-1.

    Also, change the IPsec Connections back to WAN-1 instead of Uplink Interfaces if you can't get the other companies to configure so that you can come in from either WAN-1#2 or WAN-2.  If the other sides are Ciscos or other good VPN devices, they should be able to do this easily.

    I hate to offer unsolicited advice, but it's something I got unsolicited in the beginning, and I was glad I'd heard it.  I notice that you're using PSKs to authenticate.  Best practice recommends changing PSKs monthly or at least quarterly.  Any site-to-site that's intended to be used for longer than several months should be configured with RSA keys or X509 certificates.  RSA keys are easier, and, with only two tunnels, you likely don't need the PKI of certs.

    Cheers - Bob
    PS Jayson, great thread title, by the way! [:)]
  • 0 in reply to BAlfson
    Old thread but want to say thanks to all for solving a new challenge for me. Just set up a new site where the internal LAN connects to home office and internet over a T1 WAN but there is a surveillance camera system on a different subnet that connects to the world over a Cable WAN.
    This post clarified for me the proper Multipath rules to keep the traffic separate.
    Source Subnet1, Various services, Any, T1 WAN
    Source Subnet2, Various services, Any, Cable WAN
    Untick Advanced Skip Rule on Interface Error.

    PS: Note to self: Don't forget to add Subnet2 to Network Services DNS Allow and add Network Protection DNAT for Subnet2 and Firewall rule to allow required services.
Reply
  • 0 in reply to BAlfson
    Old thread but want to say thanks to all for solving a new challenge for me. Just set up a new site where the internal LAN connects to home office and internet over a T1 WAN but there is a surveillance camera system on a different subnet that connects to the world over a Cable WAN.
    This post clarified for me the proper Multipath rules to keep the traffic separate.
    Source Subnet1, Various services, Any, T1 WAN
    Source Subnet2, Various services, Any, Cable WAN
    Untick Advanced Skip Rule on Interface Error.

    PS: Note to self: Don't forget to add Subnet2 to Network Services DNS Allow and add Network Protection DNAT for Subnet2 and Firewall rule to allow required services.
Children
No Data