Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 23377 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

multiple WAN and VPN site-to-site separation and failover

DavideBissacco
Hello,

I have one SG230 with three wan interface and I want to reserve one of these only for one VPN IPsec connection. ( we have multiple VPN IPsec connection )

On the other site I have one SG210 always with three wan interface and here I want to obtain the same result.

Reading on other post I understand that I need to configure as follow:

- enable uplink balancing for these three wan interface setting dedicated wan interface weight as 0
- create availability group with primary address of three wan interface on other site sorted by priority ( first wan interface dedicated )
- create remote gateway setting availability group as remote gateway 
- create VPN connection setting uplink interfaces as Local Interface ( no bind option enabled )
- create multipath rule as Uplink Interfaces -> IPsec -> Availability Group ->Persistence by interface' "Wan Interface Dedicated"

I want to know if this is the correct procedure and what change if I don't use Uplink Interface as Local Interface but I set the dedicated WAN interface as Local Interface with bind option enabled?
If I don't use Uplink Interface VPN failover to other WAN interface works?

Thanks in advance.


This thread was automatically locked due to age.
Parents
  • 0
    My object is that I want to obtain that one VPN Connection start with one WAN interface and failover to the other in case of fail, and another VPN connection ( to the same UTM but to another remote network ) start to another WAN connection.

    That is exactly what I understood.

    Do you mean that I have to set this Interface Group as Local Interface on VPN Connection?

    Yes, in the IPsec Connection definition for one site use one Interface Group and, in the other IPsec Connection, use the other Interface Group that has the interfaces in a different order.

    It is better if I set as Local Interface this WAN dedicated?  When this dedicated WAN fail, UTM use Uplink Balancing as failover for VPN connection?

    No, the above is a simplification of the "old" way of doing things when we used a different Multipath rule for each remote VPN endpoint.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    My object is that I want to obtain that one VPN Connection start with one WAN interface and failover to the other in case of fail, and another VPN connection ( to the same UTM but to another remote network ) start to another WAN connection.

    That is exactly what I understood.

    Do you mean that I have to set this Interface Group as Local Interface on VPN Connection?

    Yes, in the IPsec Connection definition for one site use one Interface Group and, in the other IPsec Connection, use the other Interface Group that has the interfaces in a different order.

    It is better if I set as Local Interface this WAN dedicated?  When this dedicated WAN fail, UTM use Uplink Balancing as failover for VPN connection?

    No, the above is a simplification of the "old" way of doing things when we used a different Multipath rule for each remote VPN endpoint.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML