Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2800 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 Site 2 Site VPN Connections to same subnet

Der_Stift
Hi all,

I have some trouble to handle two IPSec-Site-2-Site VPN connections to the same subnet over 2 differnet GW. 

Scenario:
- GW A is default gateway
- GW B is the backup gateway

If GW A crashes it should switch the route to GW B but if GW A is up again it should switch the VPN Route to GW B off.

The error message from the VPN Live Protocol is:
 
.... cannot route -- route already in use for ....

Any idea how to set a GW A as default route and GW B as backup route?

Looking forward for any help [:)]

Cheers and regards


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for your answer. As far as i understand this, we need to setup an availability group. So I did. Setting the primary remote gw on the first possition and the backup gw as the second. Now, if we try to swap from backup to primary, it wont work [:(]. Enclose some informtion from our Log file. If you need more, just let me know. 

    Swapping back to the backup GW works [:)]  

    Primary Remote GW = 200.200.200.200

    2012:08:07-16:04:25 SDS pluto[6035]: "S_for SuperAdmins"[37]
    200.200.200.200 #3299: Dead Peer Detection (RFC 3706) enabled

    2012:08:07-16:04:25 SDS pluto[6035]: "S_for SuperAdmins"[37]
    200.200.200.200 #3299: sent MR3, ISAKMP SA established

    2012:08:07-16:04:26 SDS pluto[6035]: "S_for SuperAdmins"[37]
    200.200.200.200 #3299: cannot respond to IPsec SA request because no
    connection is known for
    INTERNAL-NETWORK===ASG-GW[ASG-GW]...200.200.200.200[200.200.200.200]:0/%any==={REMOTE-NETWORK}

    2012:08:07-16:04:26 SDS pluto[6035]: "S_for SuperAdmins"[37]
    200.200.200.200 #3299: sending encrypted notification
    INVALID_ID_INFORMATION to 200.200.200.200[:P]ORT

    2012:08:07-16:04:26 SDS pluto[6035]: "S_for SuperAdmins"[37]
    200.200.200.200 #3299: received Delete SA payload: deleting ISAKMP
    State #3299

    2012:08:07-16:04:26 SDS pluto[6035]: "S_for SuperAdmins"[37]
    200.200.200.200: deleting connection "S_for SuperAdmins"[37] instance
    with peer 200.200.200.200 {isakmp=#0/ipsec=#0}
  • 0
    Are you doing the uplink balancing and the availabiliity group in the same Astaro?

    Site#1 - Astaro with two WAN connections, A & B

    Uplink Balancing enabled for A & B
    A Multipath rule binds 'Any -> IPsec -> Any' to A



    Site#2 - Astaro with one WAN connection

    An Availabilty group with the IPs of A & B lists A at the top



    Is that what you have?

    Cheers - Bob
  • 0 in reply to BAlfson
    Oh no. Sorry for that!

    Site 1: Astaro GW
    Site 2: Cisco Router

    The Astaro creates the Site to site VPN (IPSec-VPN) with the Cisco Router. On the cisco site we do have 2 IP Adresses (peers) we want to use. One as usual and one as backup.
  • 0
    I know that Cisco's VPN can be configured to work with this - there is some way to use an alternate/backup IP.

    If you also have two different WAN connections in site 2, just add mirrored settings.  Again, I don't know how to do that with Cisco, but I know that it's possible.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks a lot, Balfson! I'll send this hint to the cisco admin.