Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multipath and site-to-site vpn

Hi,

is it correct, that ASG always uses the first interface of the interfaces for uplink balancing for site-to-site vpn? It's the following scenario:

eth0: internal
eth1: ISP1
eth2: ISP2

I enabled uplink balancing with the order ISP1 (1), ISP2 (2) and set a multipath rule which sends all http, https and ftp traffic over ISP2. Furthermore I changed the local interface for the ipsec site-to-site vpn to "uplink interfaces" and it used ISP1 for that vpn. Is that default or could it be possible, that the vpn changes to ISP2 because of load balancing?

Is it possible to use uplink balancing on both sites (e.g. when both sites have two ISPs)? Would this be correct:

Site A
====
Local Interface: Uplink Interfaces (ISP1a, ISP2a)
Remote Interface: Availibilty Group (ISP1b, ISP2b)

Site B
====
Local Interface: Uplink Interfaces (ISP1b, ISP2b)
Remote Interface: Availibilty Group (ISP1a, ISP2a)

Kind regards
Christian


This thread was automatically locked due to age.
Parents
  • Yes.  I'd think you'd want to put in multipath rules to be sure things work as expected in case someone changes the order. Traffic is, for example, 'Uplink Interfaces -> IPsec -> {Availability Group for ISP1b, ISP2b}' with 'Persistence by interface' "ISP1a". 

    Cheers - Bob
    PS You should be able to use "All" instead of "Uplink Interfaces" but that hasn't always worked in the past.
Reply
  • Yes.  I'd think you'd want to put in multipath rules to be sure things work as expected in case someone changes the order. Traffic is, for example, 'Uplink Interfaces -> IPsec -> {Availability Group for ISP1b, ISP2b}' with 'Persistence by interface' "ISP1a". 

    Cheers - Bob
    PS You should be able to use "All" instead of "Uplink Interfaces" but that hasn't always worked in the past.
Children
  • Sounds good, that's what I expected!

    I added a new question to my entry a few minutes ago so I don't know if you read it. Please excuse that I repeat that question:

    Is it possible to bind an interface for smtp proxy? I defined a multipath rule to force all outgoing smtp traffic over the first ISP (MX-Record) but I don't want to failover to the second ISP because there is no RDNS for the second ISP. Is it possible to avoid failover for smtp proxy?