Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2135 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP IPsec on Uplink Interfaces

IngoPohlschneider
Hello
we are currently using our SDSL Interface (SDSL1) for L2TP IPsec Remote Access.

We plan to migrate to another SDSL interface(SDSL2) (with higher bandwidth)
Access happens via DNS so the plan is the following:

Add the IP of the SDSL2 line to the DNS entry and switch the ASG to "Uplink interfaces" instead of the SDSL1 interface.

In my understanding this should enable us to remove the IP of the SDSL1 interface from the DNS entry after the other IP (of the SDSL2) is sucessful deployed to the DNS servers (which might take up to 24h).

Current connections shouldn't break and newly established connections should then only connect to the new SDSL2 line.
Off course the switch from SDSL1 to Uplink Interfaces will kill all current connections (right?) but no more impact on the users should be expected?

If timed right (e.g. during maintenance windows) this should be a smooth process.

Please let me know if my interpretation of the uplink interfaces configuration in this case is correct. Thanks

best regards
chas0rde


This thread was automatically locked due to age.
  • 0
    Not sure about L2TP... but with plain IPSEC, the ASG only listens for VPN traffic / connection attempts on the "primary" uplink interface if you are using the Uplink Interfaces object in the VPN configuration.  It will start listening on the next one "in line" if the primary interface goes into a "down" state.  I suspect the same is true with L2TP, I have verified that it works that way with IPSEC and SSL VPNs on the UTM.  It also mentions this in the online help.
  • 0
    Hello again
    so since its not listening on all Uplink Interfaces (if I get you right), my plan won't work since it will either listen on SDSL1 or SDSL2 (depending on which is first and on wether or not one of them is down) right?

    Thats to bad [:(]
  • 0
    I don't believe that the Astaro implementation of L2TP/IPsec can be active on more than one interface at a time.  Maybe one of the VPN developers will chime in to tell us if that was a design choice or ???

    Cheers - Bob