Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 2600 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

remote VPN access vs. multilink

wyocowboy
We are using ASG 8.3 We have had PPTP VPN working (yes, we will be going with a more secure method soon) back when we had a single DSL internet link. We now have a second cable internet link from a second ISP and have multilink configured with the cable as primary and DSL as standby. Each link has an IP address associated with the respective ISP. Multilink is working as expected: if the primary link goes down, it activates the backup link and vice versa.

Since going with the multilink, remote VPN will not work when using the IP associated with the cable link, which is active most of the time, and at the time of my testing. Wireshark on the client computer shows that ASG is issuing a TCP Reset in response to each frame that is sent by the client. 

As a test, I disabled the interface in ASG associated with the cable connection and this forced the DSL link to become active. I then addressed the VPN client to the IP associated with that interface and it worked.

I looked through the various webadmin options and the manual and don't see anything that would be causing this problem. Am I missing something, or is this a known issue?

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    I think you may have run into a bug, so I hope you can have your reseller submit a support request.  I'm not much of a fan of failover mode as a similar effect occurs with multipathing.  Multipath mode works much better with VPNs and Mail Security, so I second Barry's implication...

    Try changing your Uplink Balancing mode, and then using Multipath rules to bind specific traffic to a specific interface.  The trick here is that Multipath rules only can determine the interface used for outbound traffic; inbound traffic targets are determined by the sender.  We rarely use PPTP, so I don't know that this will avoid the bug (my guess) you're seeing, but I guess it might; it works fine with L2TP over IPsec.

    Cheers - Bob
  • 0 in reply to BAlfson
    I do not have any multipath rules set up. We are stuck with PPTP at the moment because the DSL modem is operating in DMZ mode and L2TP over IPsec doesn't seem to like the NAT aspect of that. We are supposed to be getting fiber after that ISP gets it to our side of the gorge, so both interfaces should be directly addressable at that point.

    I agree that it looks like a bug, but in the meantime I need a workaround, so I'll try playing with the multipath rules.
Reply
  • 0 in reply to BAlfson
    I do not have any multipath rules set up. We are stuck with PPTP at the moment because the DSL modem is operating in DMZ mode and L2TP over IPsec doesn't seem to like the NAT aspect of that. We are supposed to be getting fiber after that ISP gets it to our side of the gorge, so both interfaces should be directly addressable at that point.

    I agree that it looks like a bug, but in the meantime I need a workaround, so I'll try playing with the multipath rules.
Children
No Data