Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5502 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dual WAN Connection -- IPSEC Site2Site & Remote Access

snooty
Hello,

I currently have an astaro setup with 1 Internal Interface and 1 External WAN Interface (WAN1). They were created by the installation wizard.
I have multiple IPSEC tunnels and Remote Access users connecting to this WAN interface.

There is no other traffic (i.e. http etC) on the system - just remote ipsec sites connecting to this astaro unit for access to network resources.
All works fine.

I would like to have a second WAN interface and get some of the ipsec tunnels and remote access users connect to this new WAN interface (WAN2).

This would balance my incoming ipsec tunnels across 2 internet connections giving me better resilience in case 1 connection went down.
(At least half the sites would still be able to connect!)

To test this idea:

I created a new network interface called it WAN2 and gave it the static ip address.
I did not select the "IPv4 Default GW" option as that remains with WAN1

I then went to remote access - ipsec and edited a connection:
Changed the interface from "External (WAN) to "WAN2" and saved.

However when the remote user tries to connect using the new want ip address he is unable to do so.
All other settings remain the same.
(If I change back to "External (WAN)" then user is able to connect without issue.

I assume I am being a naive in thinking that is all the changes I need to do on the astaro.  [[:)]]

I am not concerned with load balancing as such i.e. if WAN1 went down and my local users did not have internet connectivity this would not be an issue.
My only concern is that remote users can connect to the head office site using either WAN1 or WAN2.

I would appreciate any help to guide me as to what other changes I need to make.

** Since my last message as a test I set the firewall to "Firewall is ping visible"
I found that from the internet I could ping WAN1 but not WAN2
Which I assume confirms that the issue is due to my failure to set the WAN2 properly as a second WAN interface.
Any guidance appreciated [[:)]]


Thank you.


This thread was automatically locked due to age.
Parents
  • 0
    Version of UTM?  Are these all Remote Access tunnels, Site-to-Site or a mixture?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Version of UTM?  Are these all Remote Access tunnels, Site-to-Site or a mixture?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi Bob,

    Thank you for your reply.
    The UTM version is 8.3111

    The tunnels are a mixture (6 Site2Site and 1 Remote Access)
    All tunnels are working fine with WAN1 (Default Interface)


    For the moment I am only testing the Remote Access tunnel with WAN2


    On Astaro I created a WAN2 Interface.
    I Remote Access tunnel I changed the Interface from WAN1 to WAN2

    As the remote user on seperate internet connection I tried to log in using the new WAN2 public address.
    I could not connect (Greenbow gives up with message "giving up on message 01687A00)

    On Astaro on Remote Access tunnel if I change Interface back to WAN1
    then as remote user I use the WAN1 public address, I can connect fine.

    ----------------
    As a separate test I put enabled uplink balancing and put both WAN1 and WAN2 into the active interface.
    With this done I from internet I could ping both WAN1 and WAN2 public addresses.
    (Although on the UTM dashboard the link displays as Error for Both WAN1 and WAN2)

    However I find I still have exactly the same situation as above
    i.e. Remote access tunnel is fine using WAN1 public address but does not establish using WAN2 public address.

    To make sure it was not a firewall issue, I temporarily allowed Any>any but still no luck

    -------------------

    Thanks
  • 0 in reply to snooty
    From What I can work out so far the issue is due to one or a combination of the the following: (Although I could be wrong [:S] )
    Uplink Balancing / Multipath Rules / Gateway

    Gateway
    When I create WAN2 I cannot create a second gateway, but I do/(did?) not think this an issue because I am not bothered about the internal traffic using WAN2 to reach the internet.
    All I am concerned about is that a remote IPSEC site/user can connect using WAN2 instead of WAN1

    Uplink Balancing
    If I enable "Uplink Balancing" and place both WAN1 and WAN 2 in active interfaces - I find that from the internet I can ping both WAN1 and WAN2 public address.
    (Oddly on the dashboard the link for both WAN1 and WAN2 shows as error instead of UP when this is enabled.)
    Tunnels via WAN1 continue to work as normal but same problem via WAN2

    Multipath Rules 
    I am not sure if this is relevant to what I am trying to achieve (which is to allow some remote vpn sites/users to connect via WAN1 and others via WAN2).
    From what I understand of multipath rules this is so that I can tie a particular service to a particular route/wan.


    Thanks
Unfiltered HTML