Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 2540 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Redundancy - Multiple ISP

josdar
We have configured redundancy with 2 ISP. Both ISP's have given us a Primary IP, and an additional subnet. ISP1 is the Active, and ISP2 is the Standby interface. The additional subnet are added to the Interface as additional ip addresses.

NAT (Masquerade) is "Uplink Interfaces" for one Network, And an Additional Ip Address from each ISP to each of the other networks.

The VPN tunnel source is set to UPLINK interfaces, and the Remote router is also configured with backup tunnel. The issue is that although with both ISP's the Tunnel SA is established, the primary isp is not letting traffic reach the remote subnet. If we use the secondary ISP, tunnel traffic is allowed. The Local Network for the Tunnel is a Network, which is using a Masquerade to one of the Additional Ip's of each ISP. All services failover perfectly. We cannot understand why with the connection of one ISP, traffic to the remote tunnel is blocked, and with the other not.

I hope I managed to explain the setup clearly.

Thanks
Josef


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Josef, and welcome to the User BB!

    It sounds like you have two, active tunnels between the same subnets, and that can't work.

    In addition to using "Uplink Interfaces" in the IPsec VPN definition, if the ISP2 connection is not in 'Standby interfaces', you need to have a Multipath rule binding "IPsec traffic to the remote site" to the ISP1 connection.

    At the remote site, if there is also a UTM, in the 'Gateway' of the Remote Gateway definition, use an Availability Group with the IP of the main location ISP1 connection listed first and the IP of ISP2 listed second.  If it's not a UTM, define the VPN as the equivalent of "respond only" in the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hi, Josef, and welcome to the User BB!

    It sounds like you have two, active tunnels between the same subnets, and that can't work.

    In addition to using "Uplink Interfaces" in the IPsec VPN definition, if the ISP2 connection is not in 'Standby interfaces', you need to have a Multipath rule binding "IPsec traffic to the remote site" to the ISP1 connection.

    At the remote site, if there is also a UTM, in the 'Gateway' of the Remote Gateway definition, use an Availability Group with the IP of the main location ISP1 connection listed first and the IP of ISP2 listed second.  If it's not a UTM, define the VPN as the equivalent of "respond only" in the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML