Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 611 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

S2S with IPSec and 2x2 ISP using Astaro and Cisco

UrsG
Hi,
we would like to connect 2 sites over IPsec. Each site has 2 ISP to achieve failover solution. The configuration looks like this:

Site A: 2x ASG120, 2 ISP, HA, load-balancing, 2 VPN to Site B, uplink monitoring on
Site B: 1 Cisco 1812, 2 ISP (2. ISP only for failover), 2 VPN to Site A

On Cisco (Site B), both VPN tunnels are shown as connected. On Cisco we use SLA objects (ping) to switch the route to Site A over ISP 2 to ISP 2, if ISP 1 on Site A or ISP 1 on Site B is not working.

On Astaro (Site A) we see one VPN tunnel as fully connected (2 green lights) and 1 VPN tunnel with the information "route is already in use ..." (one green and one red light). Ping from inside Site A to inside Site B is working.

Problem 1: If the ISP on Site B, over which the VPN is fully connected, goes down, then Cisco switches the route to the other ISP. Unfortunately, Astaro is not doing the same. How can we achieve this?

Problem 2: if  ISP 1 on Site A, over which the VPN is fully connected, goes down, then Cisco and Astaro switch to the other VPN which runs over ISP 2. As soon, as ISP 1 comes up again, Cisco switches the route back (that's how we would like to have it) to ISP 1 and it's VPN, but Astaro keeps going on routing over ISP 2. How can we tell Astaro to have a primary route over ISP 1?

Best regards
Urs


This thread was automatically locked due to age.
  • 0
    Hi, Urs, and welcome to the User BB!

    How about pictures of your IPsec and Remote Gateway connections in Astaro?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,
    here is the physical setup. IPSec tunnel shown by dashed grey line in the attachment work fine if we enable only one of them.
    How can we configure some sort of fail over?
    I found an interesting solution, define only one IPSec tunnel using "uplink interfaces" as a source and "availibity group" as destination: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53916 
    But the example is using only one isp at the remote site. Can we use it too?
    EDIT: I also added image of one of the remote gateways and IPSec tunnels

    Best regards,
    Urs
  • 0
    There are two "tricks" you need.  First, in the 'Remote Gateway' definition, the 'Gateway' should be an 'Availability Group' with the IPs of the Cisco listed in the order of the priority you want to connect to them.

    Second, in 'Uplink Balancing', make a multipath rule to bind the connection to the first-choice interface.  Then, in the 'IPsec Connection', set 'Local interface' to "Uplink interfaces" instead of a specific one.

    The folks on the Cisco side should know how to configure so that only a single tunnel is active at any time.

    Did that do it for you?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank You Bob for You great tips. It works as suggested. On Cisco, instead of two tunnels, there is now only one tunnel, with two addresses, same way as on Astaro.

    We also thank Annexnet, our partner mr. Kotmel, who helped immensly to refine the IPSec configuration.