Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3256 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site IPSec With Dual WAN Connections.

support@computer-ss.com
Hi,
I'm having an issue with creating an IPSec tunnel from my DMZ to a remote site.  I have no problem creating a tunnel from my LAN to the same remote site.

My Astaro 7 config is as follows:

WAN0 = ISP#1(default gateway)
WAN1 = ISP#2

LAN = Setup to Masquerade via WAN0
DMZ = Setup to Masquerade via WAN1 + Policy Route to use WAN1's ISP gateway.

If I try to ping my remote site from a host machine on the DMZ I get
"From 67.50.8.x icmp_seq=3 Destination Host Unreachable"
which is just one hop up from our ISP on WAN1.  To me, it seems like my policy route is *messing with packets that should be using the IPSec transform.  

Any input would be appriciated.

Thanks,
Sean


This thread was automatically locked due to age.
  • 0
    Hi, Sean,

    Is this V7.511?  In order for WAN1 to have a default gateway, you have to enable Uplink Balancing.  If you want to be able to fail over to WAN0, it is possible to configure that.  If not, just weight WAN1 at 0 and leave your IPsec Connection as is.

    Did that get it for you?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Thanks for the reply.  It's "Release 7.402".  I really don't care about fail over right now.  We just try to keep *garbage traffic on WAN0, that's why the DMZ is setup to use WAN1.

    Am I correct in thinking it's the policy route that's preventing the IPSec tunnel from working ?

    -Sean
  • 0
    If your policy route is 'DMZ (Network) -> Any -> Internet : via {ISP's gateway}', then it seems like it should work, Sean, but I may be confused.  Is this a site-to-site between the Astaro and another device?  I thought it was a client-server VPN from a device in your DMZ, or ???

    Cheers - Bob
  • 0
    Sorry for the delay Bob. My pol route is DMZ->Any->Any-> : via ISP's gateway.

    I have higher priority routes so that the DMZ can talk to the VoIP network etc.

    I can't seem to find a definition for "Internet", what is the proper way to create it?  I bet your method would solve my problem with the IPSec site-to-site problem and I can get rid of a bunch of *hack routes too.

    Yeah, site-to-site(Astaro - Cisco1760).

    Thanks again,
    Sean
  • 0
    Since about V7.4, there's been a built-in "Internet" definition.  If that's gone, you should be able to create "Internet on WAN1" = 0.0.0.0/0 with 'Interface: WAN1'.  You shouldn't ever bind any other definitions to an interface, as that can cause mysterious issues including strange routing problems.

    But, I don't think that's your issue.  For doing a site-to-site with the Astaro, if you don't want to activate Uplink balancing so WAN1 can have a default gateway, you need a policy route 'WAN1 (Address) -> Any -> Any : via {ISP's gateway}'.  If your VPN is configured correctly, that should solve the problem.

    Cheers - Bob
  • 0
    "that can cause mysterious issues including strange routing problems."
    Thanks, I'll keep that in mind.

    "if you don't want to activate Uplink balancing"
    I'm concerned about polluting WAN1 with garbage traffic and don't want to jeopardize QOS. Maybe reading up on how the balancing works would alleviate my concerns. 

    I think it's a routing issue because the same IPSec config works from the same remote site connected to our man LAN.

    RemoteSite         MainOffice
    LAN           ==    LAN(WAN0 *out)
    LAN           ==    DMZ(WAN1 *out)

    Thanks,
    Sean
  • 0
    Right, but the point is that the VPN traffic does not originate in the DMZ - it originates from the primary IP of the 'Local interface' indicated in the IPsec Connection.

    Cheers - Bob