Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3258 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site IPSec With Dual WAN Connections.

support@computer-ss.com
Hi,
I'm having an issue with creating an IPSec tunnel from my DMZ to a remote site.  I have no problem creating a tunnel from my LAN to the same remote site.

My Astaro 7 config is as follows:

WAN0 = ISP#1(default gateway)
WAN1 = ISP#2

LAN = Setup to Masquerade via WAN0
DMZ = Setup to Masquerade via WAN1 + Policy Route to use WAN1's ISP gateway.

If I try to ping my remote site from a host machine on the DMZ I get
"From 67.50.8.x icmp_seq=3 Destination Host Unreachable"
which is just one hop up from our ISP on WAN1.  To me, it seems like my policy route is *messing with packets that should be using the IPSec transform.  

Any input would be appriciated.

Thanks,
Sean


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Sean,

    Is this V7.511?  In order for WAN1 to have a default gateway, you have to enable Uplink Balancing.  If you want to be able to fail over to WAN0, it is possible to configure that.  If not, just weight WAN1 at 0 and leave your IPsec Connection as is.

    Did that get it for you?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Thanks for the reply.  It's "Release 7.402".  I really don't care about fail over right now.  We just try to keep *garbage traffic on WAN0, that's why the DMZ is setup to use WAN1.

    Am I correct in thinking it's the policy route that's preventing the IPSec tunnel from working ?

    -Sean
Reply
  • 0 in reply to BAlfson
    Hi Bob,

    Thanks for the reply.  It's "Release 7.402".  I really don't care about fail over right now.  We just try to keep *garbage traffic on WAN0, that's why the DMZ is setup to use WAN1.

    Am I correct in thinking it's the policy route that's preventing the IPSec tunnel from working ?

    -Sean
Children
No Data