Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2874 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MetroE with IPsec VPN backup

beggenberger
Thanks, in advance.

Testing site-to-site VPN as backup in case primary MetroE link fails.
Core 192.168.23.0/24 - Public: x.x.x.x
Remote 192.168.1.0/24 - Public: y.y.y.y
ALL traffic from remote goes through MetroE line, to Core, and out to internet through Sophos (if not bound for core).  

Remote Router > Core Router > Sophos UTM > Internet (Primary)
Remote Router > Cisco ASA > Internet > Sophos UTM > Core Router (Backup)

Core router has IP SLA configured.  When Remote Router stops responding to ping, route is removed from Core routing table, and new route placed in table directing traffic bound for Remote network to the Sophos UTM.  Remote Router has similar config, sending traffic either to Core Router or to Cisco ASA.  

When Tunnel is Up, traffic from remote to core flows appropriately, but traffic to internet is not returned to remote subnet.  Routing table shows Remote traffic should be sent through VPN tunnel.  Core Router redistributes static route, if available, to Sophos UTM using OSPF.  This route shows up when VPN Tunnel is down or Bind to Interface is selected.  

How do I configure the Sophos such that the Local MetroE route is preferred over the IPsec VPN route?


This thread was automatically locked due to age.
Parents
  • 0
    I enabled Strict Routing for the IPsec tunnel, and this seems to have worked.  Traffic originating from the Sophos UTM to the remote router is still sent through the IPsec VPN when the OSPF route is active, meaning it's dropped, but all other traffic works appropriately.  Hosts on the remote network are able to access the core subnet and the internet both when the primary (OSPF, local) route is active, and when it is inactive and the IPsec VPN becomes the primary route.  Hopefully others find this post helpful.  If there is a better way to configure this, please let me know.
Reply
  • 0
    I enabled Strict Routing for the IPsec tunnel, and this seems to have worked.  Traffic originating from the Sophos UTM to the remote router is still sent through the IPsec VPN when the OSPF route is active, meaning it's dropped, but all other traffic works appropriately.  Hosts on the remote network are able to access the core subnet and the internet both when the primary (OSPF, local) route is active, and when it is inactive and the IPsec VPN becomes the primary route.  Hopefully others find this post helpful.  If there is a better way to configure this, please let me know.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?