Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3711 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL vpn deployment with multiple remote access gateway

pasclinaui
If I need to grant failover connection for ssl vpn users, actually I have to deploy ssl vpn package and after I have to edit the .ovpn config file adding all the necessary statement "remote ***.yyy.zzz nnn" for every uplink managed by central firewall.

Ssl client will start to connect to the first remote gateway and sequentially to each other in case of fault.

Is it possible to specify, in the firewall settings, more than one "hostname" ora an HA group object overriding the built-in choice, generally equal to the utm host name ?

... something like mx record management where I can assign different priority to every record defined as mx ....

Thks in advance.


This thread was automatically locked due to age.
  • 0
    Alex, it sounds like you have two different Internet connections on the same UTM.  The only way I know of to have the FQDN resolve to the second one if the first one is down is with a specialized DNS service like Amazon's Route 53.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,

    What do you think about adopting SRV records on dns to ensure high availability / balancing for strategic services ? I read that generally SRV records is used for HA on voip / UC infrastructure ... why not for other services ?

    Frequently I have customers with multiple circuit (fiber/xdsl/wimax) and this could be the most cheaper way to obtain a good failover to grant connection in case of failure on internet circuit.

    [;)]
  • 0
    I've thought about that before, Alex, but I've never tried it.  I don't see why it wouldn't work using a TTL like 60.  Please let us know your results.

    Cheers - Bob
  • 0
    I've never utilized OpenVPN in the way you need it to be configured, however I think there's config options in the OpenVPN Man page that might work for you... I could also very well be misremembering, as it's been a while since I last read through the entire Man page.

    If there are options that would allow this, you should be able to push them to clients via push commands in the server config (/var/sec/chroot-openvpn/etc/openvpn/openvpn.conf-default)  Even if there's not, I highly recommend anyone running an OpenVPN SSL VPN to read through the OpenVPN man page, as I haven't seen a person yet who's done so not be able to lower latency and increase throughput.