Multiple WAN, multiple Site-to-Site VPN, need help !

Here is the case , we have recently turned to Sophos :

1) Head office : 2 x Sophos SG 450 in HA mode active-passive
2) 4 Branch offices : 4 x Sophos SG 125 with site-to site VPN for each branch office with Head office

Requirement 1 :

We have recently added a new WAN link to HO , so we have WAN 1 and WAN 2 in place. We have a single internal LAN network with no VLANS or DMZ.
Want both the WAN links in uplink balancing mode with multipath.
a) We have our set of servers in the same LAN network... traffic of which I want through WAN 1.
b) Traffic for rest of our users on the LAN should route through WAN 1
c) Failover : If WAN A goes down WAN B will route all the traffic and vice versa.

Requirement 2 :

All the 4 site-to-site VPN tunnels should be up , iresspective of the failover at HO.

I have read various posts regarding multipath , WAN link wieghtage , but I am confused a bit.
Clarity of configuration on the above setup would help me a great bit

No double posting allowed.  You get to ask the same question once.  I've merged your other post into this same thread.

Hi, Jeet, and welcome to the User BB!

To find a thread that might answer your VPN question, google site:astaro.org ipsec failover BAlfson.

Like Scott says, the rules here include "No double posting," but we also have "One topic per thread."  I will move this thread to the VPN forum.  Please Edit your first post above to limit it to the VPN failover issue, delete your redundant post and create a new post in the Hardware forum with the question about Uplink Balancing/Multipath Rule.

Cheers - Bob

Thanks Bob for the guidelines !

Have removed the redundant post and changed the one above.
Also , will post my WAN related query in the relevant section.




Regards JeetJ,
Network Admin.

Thanks Jeet.

Hello Guys ,

Post is a bit long (I know reading it iself is a bit boring) ,but interesting and would appreciate if you join my configuration fun[:D].
With all the above terms revolving around my head like the saturn's rings,I would like to get things clarified, set and running.

Following is the setup I have :

Head Office : Sophos SG 450
4 Branch offices : Sophos SG 125

Now Whats on :

1) Branch office has 2 WAN links (WAN-1 & WAN-2), wanted traffic routing with specific traffic going over specific link.

Configuration :
1 subnet with users and servers.

Multipath Rules :

i) Server Group -->Any-->Any -->WAN 1 (by interface)
ii) LAN Network -->Any-->Any--> WAN 2 (by interface)

Read in a post i.e. routing specific traffic over specific WAN link , use uplink Balancing , multipath rule and weightage.

Uplink Balancing :

i) WAN 2 (Weight - 0)
ii) WAN 1 (Weight - 100)

The above config is perfectly routing my server traffic via WAN 1 and LAN traffic via WAN 2 with failover.

2) S-2-S VPN with Branch offices :

4 x S2S IPSEC VPN connections created , with the following config :

Head Office :

Remote Gateway :
Gateway Type : Initiate connection
Remote Network :Branch Office Network

IPSec Connection :
Remote gateway : Added as created above
Local interface : WAN1

Similar configuration for Branch office.

This is the current setup and working all good.

But , following is my requirement :

1) VPN failover for MultiWAN at HO (if link fails tunnel should failover -tunnel should work on WAN1)
    Note : We have only a single WAN link at Branch office
    Tried : Availiblity Group at Branch office and Uplink Interfaces as Local Interface at Head office
               but failed , please help.

2) We have our internal LAN network at Head office which is configured for VPN with branch offices.
    Now, we have a separate network for our biometric security at Head office.
    How to add a different network to VPN tunnel such that the biometric network is accessible from branch offices via VPN tunnel created

Please help me out !!! [[:(]][[:(]]

Use the ideas in Auto-Failover IPsec VPN Connections and Hub and Spoke help.

Cheers - Bob

Hello Bob ,

Thanks for the reply , I referred the thread but I am not yet clear.
Let me put my problem clearly.

At Head Office : 
I have a network of 192.168.0.0/21 and UTM is allowing traffic outside only for this network.
I have another network for biometrics 192.168.10.0/24

At branch office :

The network is 192.168.30.0/24 and UTM is allowing traffic outside only for this network.


I have a VPN established between HO and BO with 192.168.0.0/21 network talking to 192.168.30.0/24 network.

What I want is , if I add a device at branch office with 192.168.10.0/24 IP , it should communicate with 192.168.10.0/24 network at head office via the VPN tunnel.

I hope I have made myself clear.

Kindly reply with the solution as ever and thanks in advance ![:$]

What I want is , if I add a device at branch office with 192.168.10.0/24 IP , it should communicate with 192.168.10.0/24 network at head office via the VPN tunnel.

Although this is technically possible, everything should be done to avoid it.  Doing this will create a confusing situation that you might not understand a year later.  The HO and the BO will both have the same access to the device via an IP that belongs in the BO.

Cheers - Bob

Hey Bob ,

I got to realize that though technically possible , it should be avoided .
Thanks for all the guidance and help.

Also I figured out what was missing.
In fact I sucessfully created a VPN for 192.168.10.0/24 network from HO to 192.168.30.0/24 network at BO.
The most basic thing that was missing was I did not add a gateway for 192.168.10.0/24 network in the firewall , I added an additional interface on my LAN interface and  things started working fine .[:$]

I could sucessfully connect both the networks.
Though quite basic , but worth it , Sophos has provision for everything and I have started loving it.

Sorry Bob ,for all the trouble and thanks for all the guidance, God bless !
I love this user forum.