Question about WAN Link Balancing

No idea?

The relase notes says:

"Of note is that in the Site-to-Site VPN section, there is now a new choice for the “local interfaces” drop-down box, which allows you to select “Uplink Interfaces” which resolves to the first available interface in the available interfaces box, increasing the redundancy available to site-site VPN’s."

Does it mean, that I have no chance to use redundancy on site-to-site VPNs with using multipath rules by selecting an interface?

BuBu already posted that problem without solution here.

I made a suggestion here, but, as I said in the post, I haven't tried it. 

Cheers - Bob
PS I think BuBu's problem was IP address conflicts.  He already had routes to the other network.  When he established the VPN, he, in essence, created another network with identical IPs.

Unfortunately, Astaro ignores any multipath rules for its VPN connections.

Here are my settings:

1) I enabled Uplink balancing:

Interfaces: SDSL (Top), ADSL (Bottom)

2) I added a new VPN Connection:

Gateway type: Initiate Connection
Gateway: 1.2.3.4 (IP Remote Astaro)
Local Interface: Uplink Interfaces

3) I add a new multipath rule:

Source: Any
Service: Any
Destination: 1.2.3.4
Itf. Persistence: by Interface
Bind Interface: ADSL

Although I chose the ADSL-Interface for connections to the Remote Host, Astaro uses the first available Interface SDSL. That's what Astaro probably means in the release notes, but I can't understand the reason for it.

That's almost what I thought would work.  What if, in the Multipath rule, you replace 1.2.3.4 with the local network(s) at the other location?

Also, what if you switch the order of the uplinks and make a second rule that prioritizes the SDSL link for all other traffic?  For that, you would need an "interface definition" like a network named 'Internet' with 0.0.0.0/0.  That way, anything that doesn't get routed by the first rule should be caught by the second.

Cheers - Bob
PS If this doesn't work, and you have support, please submit a ticket and then let us know the resolution.

That's almost what I thought would work.  What if, in the Multipath rule, you replace 1.2.3.4 with the local network(s) at the other location?

I got the same problem whith that combination, Astaro strictly uses the first available interface for VPN.

Also, what if you switch the order of the uplinks and make a second rule that prioritizes the SDSL link for all other traffic?  For that, you would need an "interface definition" like a network named 'Internet' with 0.0.0.0/0.  That way, anything that doesn't get routed by the first rule should be caught by the second.

I guess that would work but it wouldn't solve my problem, because I want to use different tunnels on different interfaces. In this case all traffic (e.g. two tunnels, htttp, etc.) should use the SDSL-Interface, but one tunnel should use the ADSL-Interface dedicated. If Astaro would do, I use the SDSL-Interface as the first one and the ADSL-Interface as the second one and add just one rule which forces Astaro to use the ADSL-Interface for this special tunnel.

I will submit a ticket and inform you, of course.

Kind regards,
Christian

Hi, we need such a config too, waiting for the Astaro response :-)

I had an issue with a dual WAN VPN setup that was resolved with a support call yesterday.  I had to create an availability group in the network definitions and include both remote ASG WAN IPs as network hosts in this group.  The availability group is a new option in the network definition types for 7.4.  If you set this up and use it as your gateway in the remote gateway setup for the IPSEC VPN, it may get the multipath rules working properly.

I got bad news from Astaro:

It is not possible to manage IPSec-Connections with multipath rules because the ASG starts the VPN-Tunnels before it considers the multipath rules. They didn't inform me about the reasons for that, but I guess there are some technical reasons for it.

The idea of bryan@rcg didn't work, I set "Uplink Interfaces" as the local interface on side A and used the secondary interface as the remote gateway on side B but the tunnel didn't establish. The ASG on side A is only listening on the primary interface.

Bryan, can you show us pics of your config?  I don't think cney tried what you were saying.

Perhaps I understood him wrong, but I think I tried the way Bryan described. On Side A, which has two outgoing WAN-Interfaces, I only can set the option "Uplink Interfaces" for this VPN-Tunnel, because otherwise I have to define a specific inteface. On Side B it is possible to use the new option "availability group" for the definition of the remote gateway. I set the secondary WAN-Interface of Side A as the first remote gateway but it didn't work, because Side A only listen on the primary interface even if I activate "respond only".