Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2168 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Failover IPSEC VPN from internal to external IPs

BSavage
We have our primary hub ASG with Internal adressing on Eth4, and Internet addressing on Eth1. Our remote Astaro has same setup, with Eth1 on the internal IP addressing, and Eth2. We currently only have the One IPSEC tunnel configured over the private IP link, with the hub side at respond only, but would prefer failover to the external link. I'm not sure if I can do this with the one IPSEC config, can I? 

Can I use the Availability groups on jsut the remote ASG's IPSEC gateway config along with the failover/uplink option? I'm not familiar with using the availability group in the IPSEC gateway, and don't want to set this up incorrectly. Thanks

Brian


This thread was automatically locked due to age.
  • 0
    Brian, Are you saying that you have a dedicated line that connects to a separate interface with its own public IP on each side?

    If yes, then you have it right.  Setup an availability group on each end with the host definition of the other side's dedicated IP first, and the host definition for the other side's "External (Address)" in the second position.  The easiest is to setup uplink failover on both ends with the dedicated line first, then change the IPsec Connection interface to "Uplink interfaces."

    Cheers - Bob
  • 0
    I'm saying that we have a dedicated line that connects to a separate interface with its own PRIVATE IP on each side, and would like to failover to the other separate interfaces with the public IP's. Thanks Bob
  • 0
    I don't know if it will make any difference with one side in "Respond only."  In any case, since you know all of the IPs, there's no reason not to make both sides "Initiate connection."

    Cheers - Bob
  • 0
    DHCP on remote firewall on the External interface. But all the other IP's are known. Thanks
  • 0
    In that case, how about configuring DynDNS (the service is free for up to five hosts) in 'Network Services >> DNS'?  That would allow you to have a defined target and so avoid "Respond only" mode.

    Cheers - Bob