Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multipath and site-to-site vpn

Hi,

is it correct, that ASG always uses the first interface of the interfaces for uplink balancing for site-to-site vpn? It's the following scenario:

eth0: internal
eth1: ISP1
eth2: ISP2

I enabled uplink balancing with the order ISP1 (1), ISP2 (2) and set a multipath rule which sends all http, https and ftp traffic over ISP2. Furthermore I changed the local interface for the ipsec site-to-site vpn to "uplink interfaces" and it used ISP1 for that vpn. Is that default or could it be possible, that the vpn changes to ISP2 because of load balancing?

Is it possible to use uplink balancing on both sites (e.g. when both sites have two ISPs)? Would this be correct:

Site A
====
Local Interface: Uplink Interfaces (ISP1a, ISP2a)
Remote Interface: Availibilty Group (ISP1b, ISP2b)

Site B
====
Local Interface: Uplink Interfaces (ISP1b, ISP2b)
Remote Interface: Availibilty Group (ISP1a, ISP2a)

Kind regards
Christian


This thread was automatically locked due to age.
Parents
  • Looks perfect to me, Christian!

    Cheers - Bob
  • Thanks for your reply, Bob!

    Just two more questions: 

    Will ip-sec site-to-site vpn allways use the first interface and only switch to second interface when the first fails?

    Is it possible to bind an interface for smtp proxy? I defined a multipath rule to force all outgoing smtp traffic over the first ISP (MX-Record) but I don't want to failover to the second ISP because there is no RDNS for the second ISP. Is it possible to avoid failover for smtp proxy?
Reply
  • Thanks for your reply, Bob!

    Just two more questions: 

    Will ip-sec site-to-site vpn allways use the first interface and only switch to second interface when the first fails?

    Is it possible to bind an interface for smtp proxy? I defined a multipath rule to force all outgoing smtp traffic over the first ISP (MX-Record) but I don't want to failover to the second ISP because there is no RDNS for the second ISP. Is it possible to avoid failover for smtp proxy?
Children
No Data