Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 8067 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Guide for redundant site-to-site VPN connections?

PeterNikolaidis
Hi all,

Does anyone have a guide on how to configure an IPSec tunnel with another tunnel, via a separate connection (IPSec or SSL) as a backup? 

We have a network with three branches, with dedicated T1 lines point to point, as well as separate Internet connections. We'd like to have traffic go through the main IPSec tunnels unless they drop, in which case the connection would automatically fall back to a secondary VPN connection via the secondary ISP link. We've tried a few things, but it seems like we need to have separate VPN pools set up, and we can't have the backup connections live, or automatically get them to fail over (making it a manual process every time the main line goes down). 

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Peter, I have a client in VA with five locations (plus a new DR site).  Each site has two WAN connections.  The T1s are primary for the interoffice VoIP VPNs and the faster connections are primary for all other interoffice VPN traffic.

    Although the following post is over 6.5 years old, nothing has changed: Hub & Spoke Site-to-Site.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Peter, I have a client in VA with five locations (plus a new DR site).  Each site has two WAN connections.  The T1s are primary for the interoffice VoIP VPNs and the faster connections are primary for all other interoffice VPN traffic.

    Although the following post is over 6.5 years old, nothing has changed: Hub & Spoke Site-to-Site.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi Bob,

    Peter's colleague Sam here. Chiming in with another wrench. One of the links - the primary connection - is a private site-to-site Ethernet Interface (Vendor calls ELAN ) and does not (currently) have access to the Public Internet. What we are trying to do is setup a tunnel on this private interface and if it goes down re-route the tunnel over the Public Internet for failover. I think if we solve the issue on one of the tunnels it can be replicated for the others we need, so I'm going to keep it simple and only refer to one tunnel.

    The above site-to-site info helped, we have setup a new VPN connection between sites using the interface and availability groups you indicated.  

    I currently have the following:

    Site A - Site B tunnel:

    Site A:

        VPN Group = ELAN-Site-A, WAN-Site-A
        Remote Gateway for Site B uses a Gateway that is an Availability Group with, in order, ELAN-Site-B, WAN-Site-B

    Site B:

        VPN Group = ELAN-Site-B, WAN-Site-B
        Remote Gateway for Site A uses a Gateway that is an Availability Group with, in order, EAN-Site-A, WAN-Site-A

    Issue arises when the ELAN-Site-B connection goes down:

    Site A detects (ping) that the Remote Gateway ELAN-Site-B is unreachable and fails over to trying to bring the VPN back up via WAN-Site-B. This connection is not currently reachable from the ELAN-Site-A interface.

    If we disable ELAN-Site-A interface the tunnel comes up between WAN-Site-A and WAN-Site-B as expected.

    I suspect if we define a route to WAN-Site-B everything will work. But not sure what the appropriate route we need is, or if we also need Masquerade and/or firewall rules in addition.

    Thanks for the help,

    Sam
Unfiltered HTML