Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 12689 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multipath rules for 2 ISP links

Chrislangford
Hello,

We have 2 Dedicated WAN links. One wan link is 12 MB and another is 4 MB:

Following is our scenario:

ISP1 : 12 MB
ISP2 :  4  MB

We want to divert all the Internet traffic to ISP1 and We have mapped ISP2 for IPSec site to Site VPN for branch locations. But the issue is Internet traffic like Email, Web surfing is diverting over ISP2 4 MB wan link.  We want to use ISP2 only for IPSec site to Site VPN purposes only. Can we force ISP1 to take all the Internet traffic ? [:S]


Following are the multipath rules I created but it will not work:

Rule 1: HTTP [by Interface] [persistence by combination of SRC and DST IP address

any ->Web Surfing->any->ISP1

Rule 2: Exchange [by Interface]

any->Email Messaging->any->ISP1

Rule 3: DNS [by Interface][balance DNS request individually]

any->DNS->any->ISP1


I am using SOPHOS UTM 425 and I have bind interface for all the rules to ISP1 and I have deselected Skip rule on interface error.


This thread was automatically locked due to age.
Parents
  • 0
    The suggestion I made above should do what you ask if you do not use an Interface Group in the IPsec Connection.  Both interfaces stay in 'Active Interfaces'.

    If you want the site-to-site VPN to be able to fail over to ISP1, you should use the Interface Group.  There is a change to be made in each of other locations.  For the 'Gateway' in the Remote Gateway, you must use an Availability Group with the IP for ISP2 first and that for ISP1 second.  Either that or use a new Default Gateway in "Respond only" mode.

    Cheers - Bob
Reply
  • 0
    The suggestion I made above should do what you ask if you do not use an Interface Group in the IPsec Connection.  Both interfaces stay in 'Active Interfaces'.

    If you want the site-to-site VPN to be able to fail over to ISP1, you should use the Interface Group.  There is a change to be made in each of other locations.  For the 'Gateway' in the Remote Gateway, you must use an Availability Group with the IP for ISP2 first and that for ISP1 second.  Either that or use a new Default Gateway in "Respond only" mode.

    Cheers - Bob
Children
No Data