<div dir="ltr">Hey mate, <div><br></div><div>Yeah there's only ever one VPN link, There's no secondary VPN currently. </div><div><br></div><div>I've managed to resolve the issue thanks to Russell Brooks pointing me in the right direction. I ended up setting up a new LB config that specifically uses the lb-local-metric-change option, this basically sets the distance of the failover gateway to be further than the primary. IPSEC doesn't respect the existing failover-only config i had in the default load balancer. </div><div><br></div><div><font face="courier new, monospace"> group LB-GCP {<br>     interface pppoe0 {<br>     }<br>     interface pppoe1 {<br>         failover-only<br>     }<br>     lb-local disable<br>     lb-local-metric-change enable<br> }</font><br></div><div><font face="courier new, monospace"><br></font></div><div><font face="arial, sans-serif">I'll consider doing dual tunnels later on, it's not a priority for now.</font></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">Cheers</font></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 30 Jul 2019 at 15:18, Jacob Taylor <<a href="mailto:me@jacobtaylor.id.au">me@jacobtaylor.id.au</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Jacob,<br>
<br>
Is there only ever one VPN link up at any given time? Or do you maintain a “hot standby” tunnel out the failover interface in addition to the primary?<br>
<br>
It’s been a while since I’ve used an ER, but from memory the IPsec was policy based and not route based. If so, you should be able to setup a specific /32 for the remote IPsec endpoint pointing out the primary PPPoE interface, and if it goes down the route should be ignored and everything will use the backup.<br>
<br>
Regards,<br>
Other Jacob<br>
<br>
Sent from my iPhone<br>
<br>
> On 30 Jul 2019, at 13:51, Jacob Gardiner <<a href="mailto:jacob@jacobgardiner.com" target="_blank">jacob@jacobgardiner.com</a>> wrote:<br>
> <br>
> Hey all, <br>
> <br>
> I'm troubleshooting an issue where we have an Edgerouter deployed with dual wan (failover only, not load balancing) with an IPSEC VPN to Google cloud platform. <br>
> <br>
> In particular, the DNS queries originating from the GCP side reach the server internally ok, but the responses seem to be load-balancing back out the pppoe0/1 interfaces, and only received sometimes on the remote side (when the response goes out pppoe0)<br>
> <br>
> If anybody's got some experience with this kind of deployment before and has a bit of spare brain capacity, feel free to email me direct to avoid spamming the list. <br>
> <br>
> I've tried various LB configs, routing table configs, DNAT configs, also have turned off the 'smart' auto-nat/firewall features.<br>
> <br>
> Cheers<br>
> <br>
> -- <br>
> Jacob Gardiner<br>
> <br>
> _______________________________________________<br>
> AusNOG mailing list<br>
> <a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>
> <a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr">Jacob Gardiner<div><br></div></div></div></div></div></div></div>