Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 1402 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Uplink balancing and site to site VPN

Comnet
Hello all,

We attempted to setup an ASG 220 with a 2nd Internet connection.  This site currently has 2 site to site tunnels to remote offices running ASG 120's.  All sites running 7.512.
I added the 2nd connection, first on eth4 and then on eth2.  Enabled uplink balancing.  NAT was set to uplink Interfaces.
On the remote firewalls I created an availability group with the 2 IP addresses on the main firewall and used that for the remote gateway definition.
The tunnels would not come up.  I tried to set the tunnel to use the new Internet connection only, but that did not work either.
In the Live Log I was seeing an error:

ERROR: ... Errno 1: Operation not permitted (I'm omitting the IP info here)

The new Internet connection was listed first in the uplink balancing and in the Availability group.

Auto packet filter rules were enabled for the tunnels.

Not sure what I'm missing here.  Is it possible that the ASG only want to use the original WAN connection for the tunnels?

I have used uplink balancing successfully in the past, but never with a site to site tunnel.

Other traffic was working correctly, ie  web browsing, email, etc.

Thanks!

David


This thread was automatically locked due to age.
Parents
  • 0
    With Uplink Balancing, you need a multipath rule (or two) to bind the traffic to a specific interface.  This is described in VPN Tunnels, Uplink Balancing, Multipath rules.

    The other services work fine, but you will benefit by adding multipath rules for things like Web Surfing and DNS.

    Initially, you may want to bind outgoing SMTP to the interface that was once your only WAN connection. After you get your public DNS arranged to have rDNS (and possibly SPF) for the second connection, you can switch to the example suggested by Astaro.

    Cheers - Bob
Reply
  • 0
    With Uplink Balancing, you need a multipath rule (or two) to bind the traffic to a specific interface.  This is described in VPN Tunnels, Uplink Balancing, Multipath rules.

    The other services work fine, but you will benefit by adding multipath rules for things like Web Surfing and DNS.

    Initially, you may want to bind outgoing SMTP to the interface that was once your only WAN connection. After you get your public DNS arranged to have rDNS (and possibly SPF) for the second connection, you can switch to the example suggested by Astaro.

    Cheers - Bob
Children
No Data