Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 3119 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Access L2TP Ipsec VPN with redundant external interfaces

lewis.kirkaldie@gmail.com
We have a UTM120, and I have configured and been working happily with L2TP IPsec remote access connections for a couple of months.

However, I have finally decided to try to set up a secondary ISP input to act as a backup VPN line to the system.

We have a single public-facing IP on an interface presented via Ethernet, and a second public-facing IP on an interface using PPPoE (so the logs show eth1 and ppp0 interfaces active).

Individually, the VPN will establish on either of these connections (we have vpn.companyname.com and vpn2.companyname.com set up to point at each connection).

However, in order to tie these two interfaces to listen on L2TP connection at once, I created a group with the two adapters contained.

Once I assign the group as the interface, only the highest-order adapter gets used. Whatever is lower down, complains:

initial Main Mode message received on x.x.x.109:500 but no connection has been authorized with policy=PSK

I guess, should the primary line go down, that the secondary VPN link will actually work - but it strikes me as odd that I can't actually connect via either connection (since I was tempted to try and use DNS round-robin to balance between both adapters).

Anyone else got the L2TP remote access VPN to bind to more than one input adapter at once?


This thread was automatically locked due to age.
  • 0
    Hi, Lewis, and welcome to the user BB!

    You can accomplish your goal by using Uplink balancing and then choosing Uplink Interfaces in L2TP over IPsec. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sorry to resurrect an old thread, but I'm having the exact same issue and can't seem to make this work. I have both my WAN interfaces set to active in Uplink Balancing, and I have Uplink Interfaces selected in Remote Access. (Screen shots of both attached.) I can connect via my primary WAN interface only; the secondary WAN interface doesn't respond to my connection attempts. What am I missing?
  • 0
    GJ, there are different ways to resolve this depending on what you have on the other end.  The easiest is to configure the other side to the equivalent of "Respond only" so that it only listens for the UTM to connect to it, and that it does not "call" the UTM.  You also will want to bind IPsec traffic to the UTM's primary interface on the 'Multipath Rules' tab.

    If you were to look at the IPsec logs from both devices, you would see that the connection fails as Main Mode is attempted.  This is because the IP address of the UTM's second WAN interface is different from what the remote device is configured for.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML