Wechseln zu:Navigation, Suche
Wiki

SSL-VPN Site-to-Site Fallback

Aus Securepoint Wiki












































De.png
En.png
Fr.png








Konfiguration des Fallback für den Site-to-Site Tunnel
Letzte Anpassung zur Version: 12.2.5.1
Neu:
  • Layoutanpassungen
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.7 11.6.12

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → VPN →SSL-VPN


Einleitung

Szenario

In diesem Wiki Artikel wird beschrieben, wie für ein SSL-VPN Site-to-Site Tunnel ein Fallback eingerichtet werden kann. Für die Einrichtung des Fallback ist ein vorhandener SSL-VPN Site-to-Site Server vorausgesetzt.


Der Aufbau gestaltet sich dann wie folgt:
In der Außenstelle ist eine Internetverbindung vorhanden und auf der Firewall in der Hauptstelle ist ein Multipathrouting über zwei Internetleitungen konfiguriert.
Der Tunnel wird nun so konfiguriert, dass die Außenstelle über eine der beiden Leitungen der Zentrale einen Site-to-Site-Tunnel initiiert.



Konfiguration der Zentrale

Beispielkonfiguration des Site-to-Site Server

In der Zentrale muss ein Multipathrouting konfiguriert sein, es gibt also zwei Schnittstellen mit jeweils einer öffentlichen IP und zwei Default-Routen.
Die Konfiguration des OpenVPN-Servers, falls noch nicht erfolgt, kann wie im Artikel SSL-VPN Site-to-Site erfolgen.

Beim Einrichten muss darauf geachtet werden, dass unter Erweitert die Option Multihome aktiviert ist!



Konfiguration der Außenstelle

IP-Adressen getrennt durch ein Komma

Der Site-to-Site-Client wird wie gewohnt eingerichtet, jedoch mit einer Besonderheit:
In Schritt 5 in dem Feld Host(s): müssen nun beide IP-Adressen der Zentrale eingetragen, und durch ein Komma getrennt werden.

198.51.100.2,203.0.113.2



IP-Adressen mit Doppelpunkt und Portangabe

Wenn der SSL-VPN Server in der Zentrale die Verbindungen nicht auf 1194 entgegennimmt, muss der Port durch ein Doppelpunkt getrennt, direkt hinter der IP eingetragen werden.

198.51.100.2:1195,203.0.113.2:1195



Ablauf im Falle eines Ausfalls

  1. Site-to-Site-Tunnel ist aufgebaut (Außenstelle <-> Zentrale - Leitung 1).
  2. Leitung 1 in der Zentrale verliert die Verbindung.
  3. Die Außenstelle versucht zwei Minuten lang einen Tunnel über Leitung 1 der Zentrale aufzubauen.
  4. Die Zentrale antwortet auf Leitung 1 zwei Minuten lang nicht.
  5. Die Außenstelle wechselt und versucht nun den Tunnel über die Leitung 2 der Zentrale zu initiieren.
  6. Der Tunnel ist nun über Leitung 2 der Zentrale aufgebaut.



Wann wird der Tunnel wieder auf Leitung 1 umgeschaltet?

Der Tunnel wird nicht ohne Weiteres wieder auf die Leitung 1 initiiert. Dies geschieht erst, wenn Leitung 2 der Zentrale die Verbindung verliert oder der SSL-VPN-Dienst auf der Außenstelle neu gestartet wird.


Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S-Fallback&oldid=84974