Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2194 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC fails on Primary, even though only secondary link affected

BSavage
We use dual links in multipath, with IPSEC VPN tunnels setup for uplink interface. We noticed that when our secondary link goes down, the IPSEC tunnel attempts to reestablish, even though it's up and fine on the primary. Anyone else notice this?

Our primary goal is uptime. These blips would be small, but IPSEC doesn't always reestablish itself, requiring manual intervention. So it seems to us that we have twice as much chance of going down in multipath mode, rather than in failover mode. 

I don't see this as a known issue. I can replicate this on v7 and v8. Does anyone know about the issue and can comment? Astaro support was notified, but I have had a lack of response on it.

Brian


This thread was automatically locked due to age.
Parents
  • 0
    Brian, I like the idea of having both sides set to "Initiate connection" instead of setting the DC side to "Respond only" as that also protects you from a routing failure that affects only one ISP.  I'm surprised that your IP changes though, even with DHCP; I don't see that occurring elsewhere.  In any case, it might be worth the few dollars a month needed for static IPs.

    With the 'Availability Group' and 'Initiate Connection', the only real difference between your setup and my client's is that ha has fixed IPs and uses 'Automatic monitoring' instead of defined hosts.

    Cheers - Bob
Reply
  • 0
    Brian, I like the idea of having both sides set to "Initiate connection" instead of setting the DC side to "Respond only" as that also protects you from a routing failure that affects only one ISP.  I'm surprised that your IP changes though, even with DHCP; I don't see that occurring elsewhere.  In any case, it might be worth the few dollars a month needed for static IPs.

    With the 'Availability Group' and 'Initiate Connection', the only real difference between your setup and my client's is that ha has fixed IPs and uses 'Automatic monitoring' instead of defined hosts.

    Cheers - Bob
Children
No Data