Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 7134 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

vpn failover

utm_kid
Hello Friends !

i have two isp @home 

1st isp is static ip  (wan interface has public ip from isp  )and 2nd isp has dynamic ip (pppoe) 

my 1st has FQDN and web site and ftp is running on this domain ,vpn override is configure with this domain (vpn.abc.xyz -1st isp)

if 1st isp fail then  how the remote use and s2s site will work ,how do i configure it (as the client has configuration with isp1 )

thanks


This thread was automatically locked due to age.
  • 0
    There's just one little trick to this, and it's not in your home Astaro where you probably already have selected "Uplink Interfaces" for the Local interface' in the 'IPsec Connection' definition...

    At the client site, in the 'Remote Gateway' definition, for 'Gateway:', use an 'Availability Group' that contains both host definitions for your home public IPs.

    Cheers - Bob
  • 0
    OK, maybe that was too brief:

    Let's assume:
      Site#1 = Astaro with two ISPs
    • Site#2 = Astaro with a single ISP

    Site#1:
    • Configure Uplink Balancing with the two ISP connections in multipath (not failover) mode.
    • Configure the 'IPsec Connection' for the VPN to Site#2 with "Uplink Interfaces" selected for the 'Local interface:'

    Site#2:
    • Create a host definition for each public IP at Site#1 
    • Create an 'Availability Group' (call it "Site#1 IPs") and list the two host definitions just created in the same order as the interfaces are listed in Uplink Balancing on the Astaro in Site#1
    • In the VPN definition to connect to Site#1, configure the 'Remote Gateway' with 'Gateway:' = "Site#1 IPs"

    Cheers - Bob
  • 0 in reply to BAlfson
    What should be used for the VPN ID
    Email seems the logical option.

    I have a modified version of this, 2 ISPs at both ends.
    Is the above assumption correct?

    Did the uplink and availability group for both sides.
  • 0
    Yes, "Uplink Interfaces" in the 'IPsec Connections' and 'Availability Group' in the 'Gateway' definition on each side.

    Usually, I think the VPN ID is fetched from the certificate used.

    Cheers - Bob
  • 0 in reply to BAlfson
    I was able to get it working by leaving the VPN ID type set to IP address and not entering anything in the IP address field.

    First test, established tunnel, disabled primary interface, 5 minutes with no tunnel re-established, after re-enabling the primary interface, it still wouldn't re-establish.  Disabled and re-enabled the VPN tunnel and all seems to work correctly now.

    FYI: I was not able to get the tunnel to establish at all until the availability groups interface order matched the uplink balancing order (under network -> interfaces).  
    I have uplink set to multipath not failover.

    ASG version is: 7.507 on both.
    Hope this helps someone
  • 0
    FYI: I was not able to get the tunnel to establish at all until the availability groups interface order matched the uplink balancing order (under network -> interfaces).

    I had noted that in Post #3.
    I have uplink set to multipath not failover.

    Thanks! Everyone here knows I appreciate people pointing out things I've screwed up or forgotten. I'll edit Post #3 to make this clear.

    Cheers - Bob
  • 0
    I would also like to point out that the multilink order must be matched on both sides, otherwise, it won't work.