Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 854 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

S2S Dual SG310s

way2fast59
Been trying to figure this one out for a while now.

HQ has two internet connections.  Each with a different ISP in two different buildings.  The two buildings are connected via SM Fiber.  SG 310 terminates each internet connection.

I have a remote office that has a single connection to the internet on an SG210 that needs to establish a S2S VPN to each of these remote HQ 310s so that if one of them goes down, the second tunnel picks up and they can access the servers.  But what happens is the remote 210 sees it has a connection already going to the primary 310 and will not enter in the route to the backup 310 as it states there is a route overlap (expected).  So, is there a way to have one VPN dormant and the other active and then flip if there is an outage at HQ?

Thanks!


This thread was automatically locked due to age.
  • 0
    I would get your reseller AND support involved on this one.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi, way, and welcome to the User BB!

    Uplink Monitoring in the 210 can be used to switch off the primary IPsec S2S and enable the backup tunnel.  It's not clear where your servers are and what the topology and routing between the 310s might be, but maybe you could choose as a custom monitoring host a device that is reachable via the primary S2S, yet not via the backup.

    But, I would skin this cat with a more-elegant approach similar to the technique that would be used if there were a single 310 with two WAN connections...

    In the 210 , use an Availability Group (primary IP first, backup second) for the Gateway in the Remote Gateway definition with "Initiate connection."  Then in the 310s, set the Remote Gateways to "Respond only."  Again, I don't know what routing issues you have when connecting to the backup instead of the primary, but you should be able to handle that in the 310s.

    Cheers - Bob
    PS You are using X509 certs instead of a PSK - right?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML