IPSEC fails on Primary, even though only secondary link affected

Latest test is v8.103 ASG #1 to v8.103 ASG#2. 
ASG#1 is the remote unit with FIOS and cable, setup in multipath mode, set to establish IPSEC to 1 IP address.

ASG#2 is the Data Center high bandwidth static IP on one interface, now set in initiate mode, availability group has dns host configured for domain names that resolve properly to eth1 and eth4 on ASG#1. I noticed the availability group, you can set the order of the hosts. I have them set to same order on each side. Meaning availability group on ASG#2 has eth1 at the top, then eth4 of ASG#1, and ASG#1's multipath has ETH1 at top, and Eth4 below it under multipath/uplink balancing/active interfaces.

When I pull the plug on ASG#1 eth1, the IPSEC tunnel fails over to eth4. So a layer 2 test failure shows it will work fine. If I use manual checkip, set the checkip to my personal firewall at home that won't return a ping, the tunnel won't fail over. This is regardless of the multipath rule. I appreciate your time Bob. We are at the point now where no matter what configuration or version the ASG's are on, I can't stabilize IPSEC failover. If I can find a configuration that would allow IPSEC tunnels to failover, wether it's layer 2 failure, checkip failure, I could die a happy man. I tried the multipath rule, and couldn't get the checkip test to failover. Is it possible that the ASG#2 knows eth1 is up, and won't establish a tunnel with eth4 on ASG#1? Could it be that stringent? I'm still confused why respond only mode doesn't work. I tried the multipath rule, and it didn't seem to build a tunnel until I manually toggled. Thank you for your attention on this. I really appreciate it.

Brian

Brian

Latest test is v8.103 ASG #1 to v8.103 ASG#2. 
ASG#1 is the remote unit with FIOS and cable, setup in multipath mode, set to establish IPSEC to 1 IP address.

ASG#2 is the Data Center high bandwidth static IP on one interface, now set in initiate mode, availability group has dns host configured for domain names that resolve properly to eth1 and eth4 on ASG#1. I noticed the availability group, you can set the order of the hosts. I have them set to same order on each side. Meaning availability group on ASG#2 has eth1 at the top, then eth4 of ASG#1, and ASG#1's multipath has ETH1 at top, and Eth4 below it under multipath/uplink balancing/active interfaces.

When I pull the plug on ASG#1 eth1, the IPSEC tunnel fails over to eth4. So a layer 2 test failure shows it will work fine. If I use manual checkip, set the checkip to my personal firewall at home that won't return a ping, the tunnel won't fail over. This is regardless of the multipath rule. I appreciate your time Bob. We are at the point now where no matter what configuration or version the ASG's are on, I can't stabilize IPSEC failover. If I can find a configuration that would allow IPSEC tunnels to failover, wether it's layer 2 failure, checkip failure, I could die a happy man. I tried the multipath rule, and couldn't get the checkip test to failover. Is it possible that the ASG#2 knows eth1 is up, and won't establish a tunnel with eth4 on ASG#1? Could it be that stringent? I'm still confused why respond only mode doesn't work. I tried the multipath rule, and it didn't seem to build a tunnel until I manually toggled. Thank you for your attention on this. I really appreciate it.

Brian

Brian