Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 2777 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Question about WAN Link Balancing

redhorse2017
I read the following information in the release notes of Astaro 7.400:

Of note is that in the Site-to-Site VPN section, there is now a new choice for the “local
interfaces” drop-down box, which allows you to select “Uplink Interfaces” which resolves to the
first available interface in the available interfaces box, increasing the redundancy available to
site-site VPN’s.


Is it possible to use the "Multipath Rules"-Option to priorize the site-to-site VPNs? I want to use a specific tunel on an ADSL-Interface and the other VPNs on an Ethernet-Interface. If one Interface is not available, the VPNs should failover on the other Interface.

Kind regards,
Christian


This thread was automatically locked due to age.
  • 0 in reply to redhorse2017
    Did you use an availability group in the definition of the VPN?  Can you show us what didn't work?
  • 0 in reply to BAlfson
    Here my configuration:

    ***************************************************
    =========
    || Side A ||
    =========
    Interfaces
    ----------
    WAN1: 1.2.3.4
    WAN2: 3.4.5.6

    Uplink balancing
    ---------------
    Type: Multipath
    Priority: WAN1 (Pos. 1), WAN2 (Pos. 2)

    Site-to-site VPN
    ----------------
    Gateway type: Respond Only
    Local Interface: Uplink Interfaces

    =========
    || Side B ||
    =========
    Interfaces
    ----------
    WAN1: 5.6.7.8

    Site-to-site VPN
    ----------------
    Gateway type: Initiate connection
    Gateway: Availability group (3.4.5.6, 1.2.3.4)
    ***************************************************

    This had no success because Side A just listens on WAN1 (1.2.3.4) on new VPN-connections. Perhaps I did something wrong?

    Kind regards,
    Christian
  • 0 in reply to redhorse2017
    The advantage of a "respond only" setting is that you don't have to know the fixed IP address of the other end.  The disadvantage is that there can only be one pre-shared key for all such IPSec connections including remote access and site-to-site.  If you know the IP or can define a DynDNS address for the site, it's an advantage to use "Initiate connection."

    Thanks, Christian, for getting the detail about site-to-site VPNs establishing without considering the order in Uplink Balancing.  That sounds like a bug to me!

    Then again, I wonder if it would work "correctly" if you were to change to "Initiate connection" on Side A.  Probably not, if the Astaro Engineer had correct information, so...

    I think Side B will persist in trying to establish the VPN on the first-listed Side A address (3.4.5.6) as long as it answers a ping.  Try setting up your test just like you did before, then disconnect 3.4.5.6; I bet the VPN will establish with 1.2.3.4.  So, if you switch the order in the availability group on Side B, everything should work even though not on the connection you wanted.

    Cheers - Bob