Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 6448 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Uplink Monitoring Action to Enable backup IPSec Tunnel

joel.alfredo
Hello,
We have two Sites with an Internet Connection and a WAN connection each one. Right now, we have there two Cisco ASA FW routing the internal network traffic through the WAN link, and, in case of a WAN failure, a "track" detects that failure, turns off the static route, and the traffic goes to the other site through a S2S IPSec tunnel permanently established. 

Now we want to replace the main office ASA with a Sophos UTM 220, and we have a lab testing this scenario. I have attached a diagram describing this  lab.
We have configured the tunnel and it works fine. We also have configured Uplink balancing using WAN (Internal interface) and External (Internet interface) with Multipath Rules to route traffic to the branch office through the Internal interface (WAN), and Uplink Monitoring to detect WAN failure with an action to enable the S2S tunnel in case of failure.

The uplink monitoring detects when the WAN is OFFLINE, but the configured action does not enable the tunnel. If I manually enable the S2S IPSec tunnel then the traffic goes through the tunnel as it should.

Could you please tell me what I'm doing wrong. 

Thank you very much.

Regards.


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob, after installing the UTM in the client network it doesn't work as I expected. In lab, both FW internet interfaces (ASA and Sophos) were in the same network. In that situation, even if the "Internet" interface went to Error state it was able to establish the tunnel because it has a directly connected route. In real life it is not the case, and, if the internet interface goes to Error state, Sophos looses the routes to the ASA and it can't establish the tunnel. I even tried to specify a static route to the ASA, and it established the tunnel, but it didn't allow to pass traffic. I think it established the tunnel using the DMZ interface, that was the only one not in Error state. I saw this routes when the tunnel was Up.

    10.0.102.0/23 dev eth0  proto ipsec  scope link  src 192.168.20.1 
    10.0.115.0/24 dev eth0  proto ipsec  scope link  src 192.168.20.1 
    10.0.117.0/24 dev eth0  proto ipsec  scope link  src 192.168.20.1 
    10.0.118.0/24 dev eth0  proto ipsec  scope link  src 192.168.20.1 

    Sophos support tells me it won't work, because I'm monitoring an Internal interface, not an Internet interface, but to me, both are Uplink interfaces. Do you see any solution to this situation? I just want to enable the tunnel automatically when I detect connectivity issues in the WAN. I have attached a network diagram to try to clarify the scenario.

    Thank you very much.

    Regards.
Reply
  • 0
    Hi Bob, after installing the UTM in the client network it doesn't work as I expected. In lab, both FW internet interfaces (ASA and Sophos) were in the same network. In that situation, even if the "Internet" interface went to Error state it was able to establish the tunnel because it has a directly connected route. In real life it is not the case, and, if the internet interface goes to Error state, Sophos looses the routes to the ASA and it can't establish the tunnel. I even tried to specify a static route to the ASA, and it established the tunnel, but it didn't allow to pass traffic. I think it established the tunnel using the DMZ interface, that was the only one not in Error state. I saw this routes when the tunnel was Up.

    10.0.102.0/23 dev eth0  proto ipsec  scope link  src 192.168.20.1 
    10.0.115.0/24 dev eth0  proto ipsec  scope link  src 192.168.20.1 
    10.0.117.0/24 dev eth0  proto ipsec  scope link  src 192.168.20.1 
    10.0.118.0/24 dev eth0  proto ipsec  scope link  src 192.168.20.1 

    Sophos support tells me it won't work, because I'm monitoring an Internal interface, not an Internet interface, but to me, both are Uplink interfaces. Do you see any solution to this situation? I just want to enable the tunnel automatically when I detect connectivity issues in the WAN. I have attached a network diagram to try to clarify the scenario.

    Thank you very much.

    Regards.
Children
No Data