Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3518 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dual WAN VPN and Remote FTP Access

bryan@rcg
I have been trying to setup a redundant connection between sites at a client with two locations.  Site 1 is using cable and DSL while Site 2 is using cable and an EVDO router (DSL not available, T1 is unreliable at this site).  This client has been plagued by lousy connections for the last several years over fractional T1 lines that frequently drop.  The current project is to setup a site-to-site VPN that will automatically switch to the live connection on either side in case of an outage.  There are also 30 plus notebooks and handheld devices that need SSH, FTP and web interface access to servers at the main site.  I have been waiting for 7.4 as it seemed this would be the answer to several setup issues.  

I have site 1 setup with uplink balancing.  I have a domain name tied to the two public IPs at site 1 (both static) through our DNS hosting service.  SSH and web interface access both seem to work, but FTP will not work using the domain name.  I only have the cable connection setup so far at site 2.  Site 1 has a single VPN connection setup using the uplink interfaces option.  Site 2 has two VPN connections, one to the each of the two IPs at site 1.  So far, only one of these VPN's connects at a time and they need to be manually switched over if an interface in the uplink setup goes down at site 1 to reestablish connectivity.  I am not sure what I need to do at this point to setup site 2 with uplink balancing and a single VPN that will automatically fail over.

I have also considered using SFTP in place of FTP at site 1 but this will require a significant amount of time and hands-on setup of each notebook and handheld device.   This is a setup that has grown in pieces over the last 10 or 15 years and has been a real challenge to change.  Any ideas or thoughts would be welcome.  I can provide additional details as needed.


This thread was automatically locked due to age.
Parents
  • 0
    With the caveat that WAN Uplink Balancing is new and that I have yet to configure one, following is my understanding.

    The documentation says:
    The interface list is sorted by descending priority. After activation Packet Filter and DynDNS configuration options regarding the first interface are replaced by the newly created objects Uplink Interfaces and Uplink Primary Addresses.

    My interpretation of that is that a single site-to-site VPN also should be defined at Site 2.  There's another active thread on VPN and Uplink Balancing right now that also touches on Multipathing rules.

    As of yet, there is excellent technical documentation for these features, but no examples complete with an explanation of motivations and reasons for choosing a particular approach.  I hope you'll document your solution when it's found.

    Cheers - Bob
  • 0 in reply to BAlfson
    I have DNAT entries, masquerading and the VPN connection set to use Uplink Primary Interfaces or Uplink Interfaces (as applicable) at site 1.  Site 2 is a temporary setup that will change once I get the notebook access issue figured out and the EVDO router installed.  

    I hope to get a single VPN connection setup at each site, but need to determine how to setup the remote gateway entry.  I need to test using the domain name, but I am not sure how that will work.  If I understand it correctly, our DNS hosting service uses a round robin approach to DNS requests.  For example, I currently have "test.domain.net" tied to IP "1.1.1.1" and IP "2.2.2.2" (obviously examples, not actual) and expect request one to be sent to 1.1.1.1 and request 2 to be sent to 2.2.2.2.  I am not sure what this will do to the VPN connection. If the connection dropped and tried to reconnect to the IP that is down, I would expect it to fail, retry and get connected to the IP that is up on the next attempt.  However, in practice...

    I will certainly try to document things as I move forward with the project.
  • 0 in reply to bryan@rcg
    If you have 1.1.1.1 configured first in the Astaro, I believe it will alwys try that before 2.2.2.2.  I'm guessing that your ISP has multiple DNS servers behind 1.1.1.1, and does a round-robin there.  2.2.2.2 is likely a second, redundant route into the round-robin.  Other than that, your description sounds like how I've understood it, too.

    Cheers - Bob
  • 0 in reply to BAlfson
    I tried using the DNS host as the remote gateway last night without any success.  

    This is the basic setup I am trying to achieve. Site 1:  Cable and DSL setup as Multipath Uplink Balancing to maximize bandwidth with the cable as the primary interface.  IPSEC site-to-site VPN connection setup to respond only.  Users need remote access from the road to two servers at this site.  Site 2:  Cable and EVDO setup as Multipath Uplink Balancing also maximizing bandwidth with the cable as the primary interface.  IPSEC site-to-site VPN connection set to initiate, remote gateway uses a DNS Host name tied to both Public WAN IPs at Site 1 through a DNS hosting site.  All four WAN IPs are static.  

    The VPN should be able to reconnect without any manual intervention should any one of the WAN connections on the two Astaros drop if I am reading this correctly "In case of an interface failure, open VPN tunnels can be automatically re-established over the next available interface provided DynDNS is used or the remote server accepts the IP adresses of all uplink interfaces. As a prerequisite, the IPSec rule must use the Uplink Interfaces as Local Interface."   This part that I am having trouble with as both sides have dual Public WAN IPs.  Both Astaros are setup to accept connections from either remote IP, but how do I setup the remote gateway to work with this if my DNS Host name is not working?  I am not using DynDNS at would rather not if possible.
  • 0 in reply to bryan@rcg
    There's just too much to guess at, can we start with: For both sites, please show your configurations of: Uplink Balancing, Multipathing Rules, Site-to-site VPN and Remote Access VPN.

    Cheers - Bob
  • 0 in reply to BAlfson
    I have a support call scheduled for tomorrow at 4:00EST.  I will post any resolution resulting from the call and post any applicable configuration information.  Thank you for the forum support to date.
  • 0 in reply to bryan@rcg
    Super, thanks, Bryan - Bob
  • 0 in reply to BAlfson
    I had a good support call yesterday and found the piece of the puzzle I had failed to see earlier.  The network definition setup includes a new option for availability group and allows multiple items to be added.  Essentially, I had to setup both Public WAN IPs of the remote ASG as network host definitions, then add these hosts to the availability group network device.  I was then able to use this availability group as the gateway in my IPSEC remote gateway setup.  My VPN connections came right up and this should allow automatic failover without using DynDNS or adding any other levels of complexity.
  • 0 in reply to bryan@rcg
    Thanks for reporting back, Bryan.  Any chance we could get you to show pics of your availability group definition, Uplink Balancing and MultiPath rules if any?

    Cheers - Bob
Reply Children
No Data