Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2194 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC fails on Primary, even though only secondary link affected

BSavage
We use dual links in multipath, with IPSEC VPN tunnels setup for uplink interface. We noticed that when our secondary link goes down, the IPSEC tunnel attempts to reestablish, even though it's up and fine on the primary. Anyone else notice this?

Our primary goal is uptime. These blips would be small, but IPSEC doesn't always reestablish itself, requiring manual intervention. So it seems to us that we have twice as much chance of going down in multipath mode, rather than in failover mode. 

I don't see this as a known issue. I can replicate this on v7 and v8. Does anyone know about the issue and can comment? Astaro support was notified, but I have had a lack of response on it.

Brian


This thread was automatically locked due to age.
Parents
  • 0
    ASG #1 example has 2 WAN connections, with IPSEC tunnel configured for uplink interfaces in multipath mode. Cable and FIOS on eth1 and eth2 respectively. Doesn't matter if it's v7 or v8. It's initiating the connection to ASG #2 in respond only mode on only 1 WAN connection. 

    What happens is ASG#1 Eth1 on cable has IPSEC tunnel, and is fine. ASG#1 on eth2 FIOS drops, IPSEC restarts. you see the 'forgetting secrets' in the IPSEC VPN Log. 

    My question:
    If Eth1 is fine, why is ipsec restarted when eth2 fails? 

    Why it's such a big issue:
    I have 30+ ASG's that mimic ASG#1. Tunnels don't establish often. Many times I have to connect to ASG#1 on the external IP address, and toggle the tunnel. Sometimes I have to toggle the tunnel. Picture having to do this for 30+ ASG's. This is a daily annoyance. We were transitioning away from failover mode, to multipath mode hoping to maximize our bandwidth usage, but this issue makes our environment less stable, dropping our uptime numbers to new lows. Thanks
Reply
  • 0
    ASG #1 example has 2 WAN connections, with IPSEC tunnel configured for uplink interfaces in multipath mode. Cable and FIOS on eth1 and eth2 respectively. Doesn't matter if it's v7 or v8. It's initiating the connection to ASG #2 in respond only mode on only 1 WAN connection. 

    What happens is ASG#1 Eth1 on cable has IPSEC tunnel, and is fine. ASG#1 on eth2 FIOS drops, IPSEC restarts. you see the 'forgetting secrets' in the IPSEC VPN Log. 

    My question:
    If Eth1 is fine, why is ipsec restarted when eth2 fails? 

    Why it's such a big issue:
    I have 30+ ASG's that mimic ASG#1. Tunnels don't establish often. Many times I have to connect to ASG#1 on the external IP address, and toggle the tunnel. Sometimes I have to toggle the tunnel. Picture having to do this for 30+ ASG's. This is a daily annoyance. We were transitioning away from failover mode, to multipath mode hoping to maximize our bandwidth usage, but this issue makes our environment less stable, dropping our uptime numbers to new lows. Thanks
Children
No Data