Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2236 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN using Backup interface

D_Deal
I currently have a Site-to-Site VPN (on the primary interface)setup with a remote office. Is there a way to make this work with the backup interface (automatically) when the primary goes down?


This thread was automatically locked due to age.
Parents
  • 0
    If the primary interface is down and the backup interface starts to work, all definitions like interface, network and broadcast are set to to the new value. Consequently, your NAT rules, routing table and packet filters are gonna be refreshed and so, your VPN should come up again over the backup interface without any hands on!
    /bagira
  • 0 in reply to bagira
     [ QUOTE ]
      your VPN should come up again over the backup interface without any hands on! 

    [/ QUOTE ] 

    Really?  I would have thought the backup interface would have different IP addresses than the primary one, and since site-to-site VPN is based on IP address, in the absence of DynDNS I don't see how the connection could be re-established.  Please enlighten me as I would like to do something like this myself!

    Dan
  • 0 in reply to martindw
    Dan Martin,
    the VPN is based on definions not on IP addresses. If a failover takes place, all three (interface, network and broadcast) definitions regarding the interface (e.g. External) will change. With this information, the tunnel is able to come up.
    Cheers bagira
Reply
  • 0 in reply to martindw
    Dan Martin,
    the VPN is based on definions not on IP addresses. If a failover takes place, all three (interface, network and broadcast) definitions regarding the interface (e.g. External) will change. With this information, the tunnel is able to come up.
    Cheers bagira
Children
  • 0 in reply to bagira
    Bagira,

    The way I have IPSEC set up, both ends have to have a definition for a tunnel to make it work (or at least that's how I understand it), and those definitions are authenticated by a key that is based on IPV4.  It seems to me that if site A failed over to a connection with a dynamic IP (such as a DSL or POTS dialup), site B wouldn't be able to detect an appropriate endpoint for it's half of the tunnel.  How does this work?

    Dan
  • 0 in reply to martindw
    Thanks for the replys. After giving this some thought, I have to agree with Dan. The remote office (or site B) would need VPN failover for this to work. The Astaro Box located at site A might be able to switch the routes to the secondary interface. But the remote firewall would require the IP for the secondary interface to be setup already and switch over to it when the primary IP (for site A) fails. After looking at other options, some firewalls (Sonicwall) have this option and will let you enter a backup IP for the VPN.
  • 0 in reply to D_Deal
    Which would mean that you also can't have a dynamic IP for the failover connection unless your failover VPN uses DynDNS to find the remote endpoint.
Cookie Information Banner