Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1395 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec VPN Multipath Gateway Config

mrainey
Just added a second external interface to home site. I have configured Uplink Balancing to use both interfaces (Immediately found out I had to change internal DNS servers to use public DNS forwarders!) I have 3 branch offices connected via site to site vpn. I want them to stay connected if one of the home office wans goes down. From the forum here I see that I need a multipath rule at home office (Uplink Primary Addresses -> IPSEC -> Any -> WAN1) and on the remote offices I put an Availability Group in the Gateway field of the Remote Gateway def.
In my Remote Gateway definitions I have VPN ID TYPE as IP Address and the IP Address is entered in the optional field. Do I need to change this?
If the primary WAN goes down the IP Address would no longer be valid.


This thread was automatically locked due to age.
  • 0
    You're right, "VPN ID TYPE as IP Address" won't work.  Use "Hostname" instead.

    Did you have better luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I've been playing around with this creating a connection between 2 of my branch offices. I can successfully connect using vpn type IP ADDRESS, but if I change it to HOSTNAME no connection is made. I verified the FQDN on the Management Hostname tab, and entered that name on the RSA Key tab, and I put the FQDN of the remote box in the Remote Gateway VPN ID Field. Live log still shows Peer ID is IPV4_Addr and says No Suitable Connection for Peer, Sending message Invalid ID
  • 0
    Wondering if the problem is that the FQDN of the ASG is not the same ip address as the External Interface. It is an Additional Address of the External Interface. That's the way the admin guide for v7 recommended. Seems like that creates a mismatch in the sa definitions. WHat about the option to use email address? What email address would I use?
  • 0
    Updated both branch offices to UTM 9 last night. Noticed 1 change on the s2s ipsec local RSA Key page: Below the RSA Key it now says "VPN ID TYPE", on version 8 it says "VPN ID" So if that is now a global option, is it possible to have different VPN ID TYPES? That is, can the VPN ID TYPE to one site be IP ADDRESS, and the VPN ID TYPE to another site be HOSTNAME?
  • 0
    Your comment on the 4th about the FQDN name resolution is correct.  IPsec VPN ID Type always has been something that is selected for each connection except for those using RSA keys - with RSA keys, you have to make the same selection in the Remote Gateway as on the 'Local RSA Key' tab.  I agree that "Email address" sounds like your best choice here.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML