Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
(Weiterleitung nach UTM/NET/Cluster v12.6.2 erstellt)
Markierung: Neue Weiterleitung
(110 dazwischenliegende Versionen von 8 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Securepoint Cluster Konfiguration'''<br>
#WEITERLEITUNG [[UTM/NET/Cluster_v12.6.2]]Preview1400
'''Best Practice'''
{{Set_lang}}


{{:UTM/NET/Cluster.lang}}
{{#vardefine:headerIcon|spicon-utm}}


'''Wichtige Information'''
{{var | neu--Nicht synchronisiert Hinweise
| [[#neu--sync|Hinweise]], wenn Cluster nicht synchronisiert
| [[#neu--sync|Hints]], when clusters are not synchronised }}
{{var | neu--Neuer Assistent
| [[#Cluster-Konfiguration|Cluster Assistent]] wurde vollständig überarbeitet
|  }}
{{var | neu--Neuer Assistent--desc
| Cluster Assistent vollständig überarbeitet
|  }}


'''Aktuelle Software'''<br>
</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=2}}
Installieren sie immer die neueste Version der Software. Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten.
{{Header|14.0.0|
* {{#var:neu--Neuer Assistent}}
* {{#var:neu--Nicht synchronisiert Hinweise}}
|[[UTM/NET/Cluster_v12.6.2 | 12.6]]
[[UTM/NET/Cluster_v12.4 | 12.4]]
[[UTM/NET/Cluster_v12.1 | 12.1]]
[[UTM/NET/Cluster_11.7 | 11.7]]
|{{Menu-UTM|Netzwerk|Clusterkonfiguration}}
}}
----


Für weiterführende Informationen, kontaktieren sie unseren Support:<br>
{{Hinweis-box| '''{{#var:Aktuelle Software|  }}'''<br> {{#var:aktuell--desc}}|r|class=flex top|fs__icon=em2}}
E-Mail: [mailto:support@securepoint.de support@securepoint.de]<br>
Telefon: 04131 2401 0


Oder nutzen sie unser Support Portal:<br>
[http://support.securepoint.de/ http://support.securepoint.de]


=== {{#var:Einsatzgebiete}} ===
<div class="Einrücken">
{{#var:Einsatzgebiete--desc}}
</div>


= Einleitung zur Cluster-Konfiguration =
Die Cluster-Konfiguration dient der Absicherung geschäftskritischer Prozesse. Securepoint stellt dazu einen Aktiv/Passiv-Cluster zur Verfügung. Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Bei korrekter Konfiguration und eingesetzter Hardware ist ein manueller Eingriff des Administrators dabei nicht mehr notwendig.


==== {{#var:Einrichtung}} ====
<div class="Einrücken">
{{#var:Einrichtung--desc}}
</div>
----


[[Datei:UTM11_BP_Cluster_pic2.png|600px|Abb.: 1.1]]


==== {{#var:Voraussetzungen}} ====
<div class="Einrücken">
{{#var:Voraussetzungen--desc}}
<br>
* {{#var:Voraussetzungen--cluster-lizenz}}
<li class="list--element__alert list--element__hint">{{#var:Voraussetzungen--cluster-lizenz--Hinweis}}</li>
* {{#var:Voraussetzungen--hardware}}
* {{#var:Voraussetzungen--software}}
</div>
----




==== {{#var:funktionsweise}} ====
<div class="Einrücken">
{{Bildwechsel| {{#var:Einsatzgebiete--Bild}} |{{#var:Abb}} 1.1|{{#var:Einsatzgebiete--Abb}} | Wechselbild={{#var:Einsatzgebiete mit IP--Bild}}|class=blank |Wechselbild--cap={{#var:Abb}} 1.1 {{#var:mit IP-Adressen}}| Wechselbild-Abb=&emsp;}}
{{#var:funktionsweise--desc}}
</div><br clear=all>
----




== Voraussetzungen ==
==== {{#var:cluster-protokoll}} ====
Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig:
{{pt3|UTM11_BP_Cluster_pic6.png}}
<div class="Einrücken">
{{#var:cluster-protokoll--desc}}
</div>
----




=== Eine Cluster-Lizenz: ===
==== {{#var:Umschalten}} ====
Zur Konfiguration und den Betrieb des Clusters benötigen sie eine gültige Lizenz. Die Cluster-Lizenz beantragen sie im Securepoint Reseller Portal:
<div class="Einrücken">
{{#var:Umschalten--desc}}
<br>
{{#var:Umschalten--tabelle}}
</div>


 
{| class="sptable0 Einrücken"
[https://my.securepoint.de/index/login https://my.securepoint.de/index/login]
! {{#var:HA-Schnittstelle}} 1 !! {{#var:HA-Schnittstelle}} 2 !! UTM 1 Status !! UTM 2 Status
 
|-
 
| UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__ja"| <center>'''{{#var:Aktiv}}'''</center> || class="bc__teilweise"| <center>'''{{#var:Passiv}}'''</center>
Als Endkunde wenden sie sich bitte an einen autorisierten Securepoint Reseller:
|-
 
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 UP || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__teilweise"| <center>'''{{#var:Passiv}}'''</center> || class="bc__ja"| <center>'''{{#var:Aktiv}}'''</center>
 
|-
[http://www.securepoint.de/partnerprogramm/ http://www.securepoint.de/partnerprogramm/]
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__ja"| <center>'''{{#var:Aktiv}}'''</center> || class="bc__teilweise" | <center>'''{{#var:Passiv}}'''</center>
 
 
{|style="background-color:#FFFFFF;border:2pt solid #FF0000;padding:0.5cm;"
|-
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 UP{{mobil|<br>|, }}UTM 2 DOWN || class="bc__nein"| <center>'''{{#var:Aktiv}}'''</center> || class="bc__nein"| <center>'''{{#var:Aktiv}}'''</center>
|'''Achtung!'''<br>
Die Menüpunkte zur Cluster-Konfiguration sind erst sichtbar, wenn eine v11-Cluster-Lizenz importiert wurde.
|}
 
 
 
 
=== Zwei identische Appliances mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware: ===
Im einfachsten Fall (siehe Abbildung 1.1) haben sie ein Eingangs-Interface (internes LAN) und ein Ausgangs-Interface (externes LAN). Die dritte Schnittstelle wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Diese Schnittstelle - im Folgenden auch als Hotwire-Schnittstelle bezeichnet - kann keine weitere Netzwerkfunktion übernehmen.
 
 
{|style="background-color:#FFFFFF;border:2pt solid #FF0000;padding:5cm;"
|-
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || class="bc__nein"| <center>'''{{#var:Aktiv}}'''</center> || class="bc__nein"| <center>'''{{#var:Aktiv}}'''</center>
|'''Achtung!'''<br>
Die Firmware auf beiden Maschinen muss exakt den gleichen Stand haben!
|}
|}


<div class="Einrücken">
{{#var:Umschalten--tabelle--desc}}
</div>
----




===== {{#var:Fallback}} =====
<div class="Einrücken">
<li class="list--element__alert list--element__hint">{{#var:Fallback--desc}}</li>
</div>
----




=== Die eingesetzten Switches und Router unterstützen „gratuitous ARP<ref name="ftn1">[http://de.wikipedia.org/wiki/Address_Resolution_Protocol#Gratuitous_ARP http://de.wikipedia.org/wiki/Address_Resolution_Protocol#Gratuitous_ARP]</ref>: ===
==== {{#var:Hotwire-Schnittstelle}} ====
Wenn es im Cluster zum Master/Backup Wechsel kommt, entweder absichtlich oder aufgrund eines Fehlers, sendet die neu im Cluster aktive UTM, „gratuitous ARP“ Pakete an ihre Umgebung, um die neuen MAC Adresse bekannt zu geben. Unterstützen die Switches bzw. Router diese Funktion nicht, können sie erst verzögert über die neu im Cluster aktive UTM kommunizieren.
{{Bild| {{#var:Hotwire-Schnittstelle--Bild}} |{{#var:Abb}} 1.3|class=Bild-t}}
<div class="Einrücken">
{{#var:Hotwire-Schnittstelle--desc}}
<br>
{{Hinweis-box| {{#var:Hotwire-Schnittstelle--hinweis}}|r|fs__icon=em2|class=flex}}
</div><br clear=all>
----




== Funktionsweise des Clusters ==
<span id=sync-start></span>
Der Cluster verwendet eindeutige IP und MAC Adressen für die beiden Mitglieder des Clusters und virtuelle IP-Adressen für den Cluster selber. Die virtuellen IP-Adressen sind nur auf dem aktiven Mitglied des Clusters aktiv. Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, dann wechseln die virtuellen IP-Adressen auf das zweite Mitglied des Clusters.
==== {{#var:Konfiguration-abgleichen}} ====
<div class="Einrücken">
{{#var:Konfiguration-abgleichen--desc}}
{{Hinweis-box|{{#var:Konfiguration-abgleichen--Hinweis}}|r}}
<br>
{{#var:Konfiguration-abgleichen--list}}
# {{#var:Konfiguration-abgleichen--list--ip}}
# {{#var:Konfiguration-abgleichen--list--ad-account}}
<br>
{{Hinweis-box|{{#var:Konfiguration-abgleichen--hinweis}}|g|fs__icon=em2}}
</div>


Für die Clients und Server in einer Cluster Konfiguration ist die virtuelle IP-Adresse der Kommunikationspartner im Routing (also zum Beispiel das Standard Gateway, siehe Abb. 1.2).


<div id="Austausch">
===== {{#var:Konfiguration-Austauschgeräte}} =====
<div class="Einrücken">
<li class="list--element__alert list--element__hint">{{#var:Konfiguration-Austauschgeräte--desc}}</li>
<li class="list--element__alert list--element__warning">{{#var:Konfiguration-Austauschgeräte--SSH}}</li>
<li class="list--element__alert list--element__warning">{{#var:Priorität--Austausch--Hinweis}}</li>
</div>
----


[[Datei:UTM11_BP_Cluster_pic5.png|600px|Abb.: 1.2]]


=== {{#var:beispiel-konfig}} ===
<div class="Einrücken">
{{#var:beispiel-konfig--desc}}
</div>


== Das Cluster VRR Protokoll  ==
VRRP (Virtual Router Redundancy Protocol) ist das Kommunikations-Protokoll des Clusters. Es ist nur auf den Schnittstellen aktiv, die als HA-Schnittstelle konfiguriert sind. Über dieses Protokoll ermitteln die Mitglieder des Clusters, in welchem Zustand sie und ihr Partner sich befinden.


==== {{#var:Netzwerkkonfiguration}} ====
<div class="Einrücken">
{{#var:Netzwerkkonfiguration--desc}}<br>
{{#var:Netzwerkkonfiguration--virtuelle-ip}}<br>
{{Hinweis-box| {{#var:Netzwerkkonfiguration--hinweis}}<br> {{#var:Netzwerkkonfiguration--hinweis--dhcp}} |r|fs__icon=em2}}
</div>


Mit Hilfe von tcpdump können sie das Protokoll auf einer HA-Schnittstelle sichtbar machen:


==== {{#var:Vorbereitungen}} ====


[[Datei:UTM11_BP_Cluster_pic6.png|600px]]
===== {{#var:Inbetriebnahme}} =====
<div class="Einrücken">
{{#var:Inbetriebnahme--desc}}
</div>




Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.
===== {{#var:ip-hotwire}} =====


{| class="sptable2 pd5 zh1 Einrücken"
|- class="Leerzeile"
| colspan="3" | <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}} | {{#var:Netzwerkkonfiguration}}}} {{ic|LAN3}} → {{Button||w}} {{Reiter| {{#var:IP-Adressen}} }}
|-
| class=mw8 | {{b|{{#var:IP-Adressen}} }} || class=mw15 | {{ic|{{cb|192.168.180.2/24}} |cb}} <i class="host utm">Master</i>|| {{#var:ip-adressen--desc}}
| rowspan="5" class="Bild" | {{Bild|1={{#var:cluster-schnittstelle--bild}}|2={{#var:Hotwire IP der}} <i class="host utm">Master</i>|3=|4={{#var:Ethernet-Schnittstelle bearbeiten}}|5={{#var:Netzwerk}}|6={{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|- class="Leerzeile"
|
|- class="Leerzeile"
|  colspan="3" | <i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}} }} {{ic|LAN3}} → {{Button||w}} {{Reiter|{{#var:IP-Adressen}} }}
|-
| {{b|{{#var:IP-Adressen}} }} || {{ic|{{cb|192.168.180.3/24}} |cb}} <i class="host utm">Spare</i> || {{#var:ip-adressen Spare--desc}}
|- class="Leerzeile"
|
|}


== Umschalten des Clusters ==
Das Umschalten innerhalb des Clusters kann unter folgenden Bedingungen passieren:


===== {{#var:Hotwire-Schnittstelle verbinden}} =====
<div class="Einrücken">
{{#var:inbetriebnahme--hotwire--desc}}
</div>
----


* Das aktive Mitglied eines Clusters wird neugestartet oder ganz heruntergefahren.
* Ein oder mehrere HA-Interfaces haben keinen physikalischen Link mehr.
* Der Link eines HA-Interfaces ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an.


* Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.
{{Bild|{{#var:Cluster-Konfiguration--Bild}} |{{#var:beispiel-konfig}} {{#var:Cluster-Konfiguration--cap}}||{{#var:Clusterkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}}
==== {{#var:Cluster-Konfiguration}} ====
{{Hinweis-box|{{#var:neu--Neuer Assistent--desc}}|gr|14.0.0|status=update}}
<div class="Einrücken">
{{#var:Cluster-Konfiguration--desc}}
</div>


Falls sie mehr als zwei HA Interfaces aktiviert haben, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Interfaces nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Interfaces einen Link haben, solange sich die UTMs über wenigstens ein HA-Interface noch sehen. Sehen sich die UTMs auf keinem Interface mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden aktiv im Cluster.
{| class="sptable2 pd5 zh1 Einrücken"
 
|+ {{#var:Cluster-Konfiguration}}
 
|- class="noborder"
Tabelle, Verhalten im Cluster, Beispiel zwei HA Interfaces:
| colspan="4" | {{#var:wizard1--head}} {{Host|Master}} {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}} }} {{#var:Schaltfläche}} {{Button-dialog|{{#var:Cluster Assistent}}|fa-wand-magic-sparkles}}
 
|- class="Leerzeile"
{| style="border-spacing:0;"
| colspan="3" |
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 1|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 1}}
|-
| colspan=3 class=noborder | {{#var:Wizard Schritt 1--desc}}
| class="Bild" | {{Bild|{{#var:Wizard Schritt 1--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 1|{{#var:Cluster Assistent}}|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}} }}
|- class="Leerzeile"
| colspan="3" id="{{#var:Schritt}}3" | {{mobil|<hr>|<br>}}
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 2|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 2}}
|-
| {{b|{{#var:Hotwire-Schnittstelle}}: }} || {{ic|LAN3|dr|class=available}} || <li class="list--element__alert list--element__warning">{{#var:wizard1--hotwire--desc}}</li>
| rowspan="4" class="Bild" | {{Bild|{{#var:Wizard Schritt 2--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 2}}
|-
| {{b|{{#var:lokale-ip}} }}<br>{{#var:Nur wenn Schnittstelle ohne IP gewählt}} || {{ic|192.168.180.2|rechts|icon=/24 |iconw=x|class=available}} || {{#var:wizard1--lokale-ip--desc}}
|-
| {{b|{{#var:remote-ip}} }} ||  {{ic|192.168.180.3|rechts|icon=/--- |iconw=x|class=available}} || {{#var:wizard1--remote-ip--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" id="{{#var:Schritt}}S2" | {{mobil|<hr>|<br>}}
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 3|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 3}}
|-
| {{b|{{#var:Schnittstelle}} }} || {{Button|LAN2|dr|class=available}} || {{#var:wizard2--schnittstelle--desc}}
| rowspan="4" class="Bild" | {{Bild|{{#var:Wizard Schritt 3--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 3}}
|-
| {{b|{{#var:wizard2--virtuelle-ip}} }}<br>{{#var:Nur wenn Schnittstelle ohne IP gewählt}} || {{ic|192.168.200.1|rechts|icon=/24 |iconw=x|class=available}} || {{#var:wizard2--virtuelle-ip--desc}}
|-
| colspan="3" | <li class="list--element__alert list--element__warning">{{#var:wizard2--hinweis--dhcp}} {{info| {{#var:wizard2--hinweis--info}} }}</li>
<li class="list--element__alert list--element__hint">{{#var:wizard2--hinweis--ha}}</li>
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 4|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 4}}
|-
| colspan="2" | {{b|{{#var:wizard3--deaktivierte}} }} <br>{{ic| {{cb|wan0|-}}|cb|class=available}} || {{#var:wizard3--deaktivierte--desc}} {{info| {{#var:wizard3--deaktivierte--info}} }} {{#var:Wizard Schritt 4-WireGuard--desc}}
| rowspan="3" class="Bild" | {{Bild|{{#var:Wizard Schritt 4--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 4}}
|-
| colspan="2" | {{b|{{#var:wizard4--deaktivierte}} }}{{ic| {{cb|Clientless VPN|-}} {{cb|DHCP Server|-}} {{cb|Greylisting Filter|-}} {{cb|HTTP Proxy|-}} {{cb|IPSEC|-}} {{cb|L2TP VPN|-}} {{cb|Mailrelay|-}} {{cb|POP3 Proxy|-}} {{cb|Routing Daemon|-}} {{cb|SPF Filter|-}} {{cb|SSL-VPN|-}} {{cb|Spamfilter|-}} {{cb|WLAN Server|-}} |pd=5px}}<small>'''Default'''</small>  || {{#var:wizard4--deaktivierte--desc}}<br> {{Einblenden2| {{#var:Hinweis für Installationen vor}} 12.4.0 | {{#var:hide}} |true|info tolltip|{{#var:Wireguard Cluster-Hinweis}} }}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 5|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 5}}
|-
| {{b|Passphrase:}} || {{ic|insecure|class=available}} || {{#var:wizard5--Passphrase--desc}}
| rowspan="2" class="Bild" | {{Bild|{{#var:Wizard Schritt 5--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 5}}
|- class="Leerzeile"
|
<!--
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 6|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
|-
| {{b|Passphrase:}} || {{ic|insecure|class=available}} || {{#var:wizard5--Passphrase--desc}}
| rowspan="2" class="Bild" | {{Bild|{{#var:Wizard Schritt 6--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
|- class="Leerzeile"
|
-->
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 6|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
|-
| {{b|{{#var:Einstellung für die Spare}}:}} || {{ic|[Master]<br>Hotwire Interface: LAN3<br>Remote UP adress: 192.168.180.3<br>...|tr-odd|class=available}} || {{#var:Einstellung für die Spare--desc}}
| rowspan="2" class="Bild" | {{Bild|{{#var:Wizard Schritt 6--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 1|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 1}}
|-
| colspan=3 class=noborder | {{#var:Wizard Spare Schritt 1--desc}}
| class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 1--Bild}}|{{#var:Beispiel DSL}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 1}}
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 2|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 2}}
|-
| colspan=3 class=noborder | {{#var:Wizard Spare Schritt 2--desc}}
| class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 2--Bild}}|{{#var:Beispiel DSL}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 2}}
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 3|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 3}}
|-
| {{b|{{#var:Einstellung des Masters}}:}} || {{ic|[Master]<br>Hotwire Interface: LAN3<br>Remote UP adress: 192.168.180.3<br>...|class=available}} || {{#var:Einstellung des Masters--desc}}
| rowspan=2 class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 3--Bild}}|{{#var:Beispiel DSL}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 3}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 4|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 4}}
|-
| colspan=3 class=noborder | <li class="list--element__alert list--element__positiv">{{#var:Werte automatisch gesetzt--Hinweis}}</li>
| rowspan=4 class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 4--Bild}}|{{#var:Beispiel DSL}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 4}}
|-
| {{b|{{#var:lokale-ip}} }} || {{ic|192.168.180.3|rechts|icon=/24 |iconw=x|class=available}} || {{#var:spare wizard4--lokale-ip--desc}}
|-
| {{b|{{#var:remote-ip}} }} ||  {{ic|192.168.180.2|rechts|icon=/--- |iconw=x|class=available}} || {{#var:spare wizard4--remote-ip--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 5|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 5}}
|-
| colspan=3 class=noborder | <li class="list--element__alert list--element__positiv">{{#var:Werte automatisch gesetzt--Hinweis}}</li>
| rowspan=4 class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 5--Bild}}|{{#var:Beispiel DSL}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 5}}
|-
| {{b|Passphrase: }} || {{ic|insecure|class=available}} || {{#var:wizard5--Passphrase--desc}}
|-
| {{b|{{#var:Schlüssel der Gegenstelle}}:}} ||  {{ic|ssh-rsa AAAABNza...|cb|class=available}} || {{#var:spare wizard 5-Schlüssel der Gegenstelle--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 6|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
|-
| {{b|{{#var:Einstellung für den Master}}:}} || {{ic|[Spare]<br>Local SSH Key: ssh-rsa AAAAB3Nza...|tr-odd|class=available}} || {{#var:Einstellung für den Master--desc}}
| rowspan=2 class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 6--Bild}}|{{#var:Beispiel DSL}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 7|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 7}}
|-
| colspan=3 class=noborder | <li class="list--element__alert list--element__warning">{{#var:Wechsel zur Master--Hinweis}}</li>
| rowspan=3 class="Bild" | {{Bild|{{#var:Wizard Schritt 7--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 7}}
|-
| {{b|{{#var:Einstellung der Spare}}:}} || {{ic|[Spare]<br>Local SSH Key: ssh-rsa AAAAB3Nza...|class=available}} || {{#var:Einstellung der Spare--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 8|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 8}}
|-
| colspan=3 class=noborder | <li class="list--element__alert list--element__warning">{{#var:Wechsel zur Master--Hinweis}}</li>
| rowspan=3 class="Bild" | {{Bild|{{#var:Wizard Schritt 8--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 8}}
|-
| {{b|{{#var:Schlüssel der Gegenstelle}}:}} || {{ic|ssh-rsa AAAAB3Nza...|cb|class=available}} || {{#var:Master Wizard9-Schlüssel der Gegenstelle--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
{{h5|Master & Spare {{#var:Cluster Assistent}} {{#var:Abschluss}}|{{Host|Master & Spare}} {{#var:Cluster Assistent}} {{#var:Abschluss}} }}
|-
| rowspan=2 colspan=3 class=noborder | {{#var:Wizard Abschluss--desc}}
| class="Bild" | {{Bild|{{#var:Wizard Schritt 9--Bild}}|{{#var:Beispiel DSL}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 9}}
|-
| class="Bild | {{Bild|{{#var:Wizard Spare Schritt 7--Bild}}|{{#var:Beispiel DSL}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 7}}
|- class="Leerzeile"
| colspan="3" | {{hrzeile}}
====== {{#var:Status der Clusterkonfiguration}} ======
|- class="Leerzeile"
| colspan="3" | <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|{{#var:Schnittstellen}} }}
|-
| LAN2 || {{#var:cluster-schnittstellen--eth1}} || {{#var:cluster-schnittstellen--eth1--desc}}
|rowspan="6" class="Bild" | {{Bild|1={{#var:cluster-schnittstellen--bild}}|2={{#var:Beispiel DSL}}|3=<i class="host utm">Master</i>  {{#var:Clusterkonfiguration}}|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save}}
|-
| LAN3 || {{#var:cluster-schnittstellen--eth2}} || {{#var:cluster-schnittstellen--eth2--desc}}
|-
| wan0 || {{#var:cluster-schnittstellen--wan0}} ||
|-
| {{b|{{#var:Virtuelle IP-Adressen}} }} || {{Kasten|192.168.200.1/24|blau}} || {{#var:Virtuelle IP-Adressen--desc}}
|-
| {{b|{{#var:Remote IP-Adressen}} }} || 192.168.180.3 || {{#var:Remote IP-Adressen--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3"| {{mobil|<hr>|<br>}}
<!--
################################################################ ALT: ################################################################
====== {{#var:Einstellungen für die Clusterkonfiguration}} ======
|- class="Leerzeile"
| colspan="3" | <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|{{#var:Einstellungen}} }}
|-
| {{b|Cluster}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Cluster-aus--desc}}
| rowspan="7" class="Bild" | {{Bild|{{#var:cluster--einstellungen--bild}} |2={{#var:Beispiel DSL}}|3=<i class="host utm">Master</i>  {{#var:Bereich Einstellungen}}|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save}}
|-
| {{b|{{#var:Priorität}} }} || {{Button|{{#var:Hoch}}|dr|class=available}} || {{#var:Priorität Master--desc}}
|-
| {{b|Passphrase}} || {{ic| |class=available}} || {{#var:Passphrase ändern}}
|-
| {{b|Virtual Router ID Offset:}} || {{ic|50|c|class=available}} || {{#var:Virtual Router ID Offset--desc}}
|-
| rowspan="2" | {{b|{{#var:lokaler-ssh-schlüssel}} }} || {{Button||renew}} <p><span class=Hover>{{#var:cluster--ssh-button}}</span></p> || {{#var:cluster--ssh-button--desc}}
|-
| {{ic|<nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''|tr-odd|class=available}} || {{#var:cluster--einstellungen--ssh--desc}}
|- class="Leerzeile"
| {{h5|Spare-UTM}}
|- class="Leerzeile noborder"
| colspan="4" | <hr>
|-
! colspan="3" | <span class="fc__giftgrün">'''Spare UTM'''</span> </td><td class="noborder" style="border-top: 0;">
|- class="Leerzeile"
| colspan="3" |
====== {{#var:Konfiguration der Schnittstelle}} ======
|- class="Leerzeile"
| colspan="3" class="Leerzeile" | {{#var:spare--login}}<br><i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}}| {{#var:Clusterkonfiguration}} | {{#var:Schnittstellen}} ||w }}
|-
| {{b|Name:}} || {{ic|LAN3|tr-odd|class=available}} || {{ic|LAN3}} {{Button| |w}} {{#var:interface--edit}}
| rowspan="5" class="Bild" | {{Bild|{{#var:interface--edit--bild}}|2={{#var:Beispiel DSL}}|3=<i class="host utm">Spare</i> {{#var:interface--edit--cap}}|4={{#var:Schnittstelle bearbeiten}}|5={{#var:Netzwerk}}|6={{#var:Clusterkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| {{b|{{#var:Verwendung}} }} || {{Button|{{#var:Verwendung--val}}|dr}} || {{#var:Verwendung--desc}}
|-
| {{b|{{#var:lokale-ip}} }} || {{ic|192.168.180.3|rechts|icon=/24 |iconw=x|class=available}} || {{#var:spare--lokale-ip--desc}}
|-
| {{b|{{#var:remote-ip}} }} || {{ic|192.168.180.2|rechts|icon=/--- |iconw=x|class=available}} || {{#var:spare--remote-ip--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}
====== {{#var:Einstellungen für die Clusterkonfiguration}} ======
|- class="Leerzeile"
| colspan="4" | <i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|{{#var:Einstellungen}} }}
|-
| {{b|{{#var:wizard5--priorität}} }} || {{Button|{{#var:Priorität--Spare}} |dr|class=available}} || {{Alert}} {{#var:Priorität--Spare--desc}}
| rowspan="7" class="Bild" | {{Bild|{{#var:lokaler-ssh-schlüssel--spare--bild}} |2={{#var:Beispiel DSL}}|3=<i class="host utm">Spare</i> {{#var:Bereich Einstellungen}}|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save}}
|-
| {{b|Passphrase:}} || {{ic|insecure}} || {{#var:wizard5--Passphrase--desc}}
|-
| rowspan="2" | {{b|{{#var:lokaler-ssh-schlüssel}}① }} || {{Button||renew}} <br><span class=Hover>{{#var:cluster--ssh-button}}</span>|| {{#var:lokaler-ssh-schlüssel--spare--desc}}
|-
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || {{Alert}}{{#var:dont-copy-ssh}}
|-
| {{b|SSH&#8209;{{#var:gegenstelle--ssh-schlüssel}} }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || {{#var:gegenstelle--ssh-schlüssel--desc}}
|-
| {{b|{{#var:lokaler-ssh-schlüssel}} ②}} || colspan="2" | {{#var:spare--copy-ssh}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>|<br>}}<li class="list--element__alert list--element__positiv">{{#var:wechsel-auf}} <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|{{#var:Einstellungen}} }}</li>
|-
| {{b|SSH&#8209;{{#var:gegenstelle--ssh-schlüssel}} }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || colspan="2" | {{#var:spare--paste-ssh}} {{info|{{#var:spare--paste-ssh--info}} }}
############################################################################### ALT ENDE ############################################################################### -->
|- class="noborder"
| colspan="4" | {{mobil|<hr>}}{{#var:ssh-auf-beiden-seiten}}
|-
| id=neu--sync | {{b|{{#var:Synchronisationsstatus}} }} || <i class="fas fa-clock fc__hint"></i> <span class=Hover>pending</span>||colspan="2" |  {{#var:Synchronisationsstatus--gelb--desc}}
<li class="list--element__alert list--element__hint">{{#var:Status aktualisieren}}</li>
<li class="list--element__alert list--element__warning">{{#var:Manuelle Syncronisation--Hinweis}}</li>
|- class="Leerzeile"
| colspan="3" | <li class="list--element__alert list--element__positiv">{{#var:Bereich Management--Hinweis}}</li>
<!--
|- class="Leerzeile"
| colspan="3" | <i class="host utm">Master</i> {{#var:Bereich Management}}
|-
|-
! style="background-color:#A4A4A4;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;" |HA Interface 1
| {{b|{{#var:konfig-sync}} }} || {{Button| |class=fas fa-retweet icon2 }} || {{#var:Konfiguration synchronisieren--desc}}
! style="background-color:#A4A4A4;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;" |HA Interface 2
| class="Bild" rowspan="3" | {{Bild|{{#var:Offline-synchronized--Bild}} |l=<span class="small inline-start">{{#var:Beispiel DSL}}</span>  <i class="host utm">Spare</i> {{#var:Offline-synchronized--cap}} }}
! style="background-color:#A4A4A4;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;" |UTM 1 Status
-->
! style="background-color:#A4A4A4;border:1pt solid #000000;padding:0.176cm;"|UTM 2 Status
|-
|-
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 UP, UTM 2 UP
| {{b|{{#var:Synchronisationsstatus}} }} || <i class="fas fa-check-circle fc__up"></i> <span class=Hover>synchronized</span>||  {{#var:Synchronisationsstatus--success}}
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 UP, UTM 2 UP
<li class="list--element__alert list--element__hint">{{#var:Synchronisationsstatus--success--hinweis}}</li>
| style="background-color:#8ce390;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| <center>'''Aktiv'''</center>
| class="Bild" rowspan=2 | {{Bild|1={{#var:Offline-synchronized--Bild}}|2={{#var:Beispiel DSL}}|3=<i class="host utm">Spare</i>|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save}}
| style="background-color:#f5ffa1;border:1pt solid #000000;padding:0.176cm;"| <center>'''Passiv'''</center>
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>}}<br>
====== {{#var:cluster-aktivieren}} ======
|- class="Leerzeile"
| colspan="3" | <i class="host utm">Master</i> & <i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | {{#var:Einstellungen}} }}
|-
|-
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 DOWN, UTM 2 UP
| colspan="3" | <li class="list--element__alert list--element__hint">{{#var:externe-schnittstelle--dsl}}</li>
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 UP, UTM 2 UP
| class="Bild" rowspan="5" | {{Bild|1={{#var:cluster-konfig--ergebnis-master--bild}}|2={{#var:Beispiel DSL}}|3=<i class="host utm">Master</i>  Status nach Aktivierung des Clusters|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save|firewall-user={{#var:aktiver Pfad}}}}<br>
| style="background-color:#f5ffa1;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| <center>'''Passiv'''</center>
{{Bild|1={{#var:cluster-konfig--ergebnis-spare--bild}}|2={{#var:Beispiel DSL}}|3=<i class="host utm">Spare</i> Status nach Aktivierung des Clusters|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save|firewall-user={{#var:passiver Pfad}}|dialog-class=passiv|class=mt1em}}
| style="background-color:#8ce390;border:1pt solid #000000;padding:0.176cm;"| <center>'''Aktiv'''</center>
|-
|-
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 DOWN, UTM 2 DOWN
| {{b|Cluster:}} || {{ButtonAn|{{#var:ein}} }} → {{Button-dialog||fa-save|hover={{#var:Speichern}} }} || {{#var:cluster-aktivieren--ein--desc}}
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 UP, UTM 2 UP
| style="background-color:#8ce390;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| <center>'''Aktiv'''</center>
| style="background-color:#f5ffa1;border:1pt solid #000000;padding:0.176cm;"| <center>'''Passiv'''</center>
|-
|-
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 DOWN, UTM 2 DOWN
| rowspan="2" | {{b|{{#var:Clusterstatus}} }} || {{#var:cluster--master}} <i class="fas fa-check-circle fc__up"></i> || {{#var:cluster--master--desc}}
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 UP, UTM 2 DOWN
| style="background-color:#d85568;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| <center>'''Aktiv'''</center>
| style="background-color:#d85568;border:1pt solid #000000;padding:0.176cm;"| <center>'''Aktiv'''</center>
|-
|-
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 DOWN, UTM 2 DOWN
| class="no1cell" | {{#var:cluster--spare}} <i class="fas fa-clock fc__hint"></i> || {{#var:cluster--spare--desc}}
| style="background-color:#ffffff;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| UTM 1 DOWN, UTM 2 DOWN
|- class="Leerzeile"
| style="background-color:#d85568;border-top:1pt solid #000000;border-bottom:1pt solid #000000;border-left:1pt solid #000000;border-right:none;padding:0.176cm;"| <center>'''Aktiv'''</center>
| colspan=3 | {{Hinweis-box|{{#var:Manuelle Syncronisation--Hinweis}} }}
| style="background-color:#d85568;border:1pt solid #000000;padding:0.176cm;"| <center>'''Aktiv'''</center>
|}
|}


<div class="Einrücken">
{{#var:status--desc}}
</div>
----


Hierbei ist zu beachten, dass UTM 1 eine höhere Priorität als UTM 2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Cluster Mitglieder sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt.


=== {{#var:konfig--extern}} ===
<div class="Einrücken">
{{#var:konfig--extern--desc}}
</div>


== Hotwire-Interface ==
Das Hotwire-Interface ist ein exklusives Interface, welches nur zum synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Dieses Interface hat keine weitere Funktion und sollte bei der Auswahl der Appliance entsprechend einkalkuliert werden.


Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection Tracking wird über den Port 3780 (UDP) abgeglichen. Ist ein Ethernet-Interface als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Cluster Mitgliedern erfolgen. Das Connection-Tracking wird immer automatisch von dem Master im Cluster zum Backup übertragen (Abb. 1.3).
==== {{#var:Netzwerkkonfiguration}} ====
<div class="Einrücken">
{{#var:extern--nk--desc}}
<br>
{{#var:Netzwerkkonfiguration--extern--virtuelle-ip}}
<br>
{{Hinweis-box| {{#var:Netzwerkkonfiguration--hinweis}}
<br>
{{#var:Netzwerkkonfiguration--hinweis--dhcp}}|class=top|fs__icon=em2}}
</div>




[[Datei:UTM11_BP_Cluster_pic7.png|600px|Abb.: 1.3]]
==== {{#var:Vorbereitungen}} ====


===== {{#var:Inbetriebnahme}} =====
<div class="Einrücken">
{{#var:Inbetriebnahme--desc}}
</div>


{|style="background-color:#FFFFFF;border:2pt solid #FF0000;padding:5cm;"
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|'''Achtung!'''<br>
Die Hotwire Verbindung sollte immer über eine direkte Kabelverbindung erfolgen (kein Switch etc. dazwischen). Stellen sie bitte sicher das niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem sie synchronisieren wollen.
|}


===== {{#var:ip-hotwire}} =====


 
{| class="sptable2 pd5 zh1 Einrücken"
== Konfiguration abgleichen ==
|- class="Leerzeile"
Über die Hotwire-Schnittstelle wird die Konfiguration synchronisiert. Änderungen die auf der einen Maschinen im Cluster gemacht wurden, können über diese Schnittstelle auf das andere Gerät übertragen werden. In der Regel ist die Konfiguration nach der Inbetriebnahme des Clusters also nur noch auf einer Maschine notwendig. Wir empfehlen, dazu die Master zu verwenden. Der Abgleich erfolgt immer manuell. Der Administrator entscheidet, wann er die Konfiguration im Cluster abgleichen möchte.
| colspan="3" | <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}} | {{#var:Netzwerkkonfiguration}} }} {{ic|LAN3}} → {{Button||w}} {{Reiter| {{#var:IP-Adressen}} }}
 
|-
 
| class=mw8 | {{b|{{#var:IP-Adressen}} }} || class=mw15 | {{ic|{{cb|192.168.180.2/24}} | cb|class=available}} <i class="host utm">Master</i>|| {{#var:ip-adressen--desc}}
Folgende Konfigurations-Punkte werden nicht abgeglichen:
| rowspan="4" class="Bild" | {{Bild|1={{#var:cluster-schnittstelle--bild}}|2={{#var:Hotwire IP der}} <i class="host utm">Master</i>|3=|4={{#var:Ethernet-Schnittstelle bearbeiten}}|5={{#var:Netzwerk}}|6={{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 
|- class="noborder"
 
| colspan="3" | <br><i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}} }} {{ic|LAN3}} → {{Button||w}} {{Reiter|{{#var:IP-Adressen}} }}
# IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden. Das sind die IP-Adressen, die Sie im WebInterface unter dem Punkt Netzwerk -> Netzwerkkonfiguration einstellen. Wenn Sie ein Ethernet- oder VLAN-Interface neu erzeugen, wird dies sehr wohl übertragen, aber nicht die Information über die IP-Adressen dieser Schnittstelle. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden und sind immer eindeutig einer UTM zugewiesen. Verwechseln sie diese IP-Adressen nicht mit virtuellen IPs auf einem HA-Interface, die sich beide Maschinen im Cluster teilen.
# Active-Directory-Appliance-Account. Dieser Account ist immer eindeutig im AD. Erstellen sie unterschiedliche Namen auf beiden Maschinen und melden sie sich getrennt am Active Directory an.
 
{|style="background-color:#FFFFFF;border:2pt solid #FF0000;padding:5cm;"
|-
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
| {{b|{{#var:IP-Adressen}} }} || {{ic|{{cb|192.168.180.3/24}} |cb|class=available}} <i class="host utm">Spare</i>|| {{#var:ip-adressen Spare--desc}}
|'''Achtung!'''<br>
|- class="Leerzeile"
Es ist nicht zwingend notwendig eindeutige IP-Adressen auf Schnittstellen zu konfigurieren auf dem sie ein HA Interface mit virtuellen IP-Adressen betreiben wollen. Möchten sie aber über diese Schnittstelle das Mitglied des Clusters eindeutig identifizieren, ist dies erforderlich, da sie sonst nur (über die virtuelle IP-Adresse) auf die Maschine gelangen, die gerade Master ist.
|
|}
|}


= Beispiel-Konfiguration: Externes DSL Modem =
In diesen Beispiel wird eine Konfiguration aufgezeigt, mit der sie einen UTM Cluster an einer DSL Leitung betreiben können. Die Einwahl erfolgt direkt durch die UTM.


Netzwerkkonfiguration:
===== {{#var:Hotwire-Schnittstelle verbinden}} =====
<div class="Einrücken">
{{#var:inbetriebnahme--hotwire--desc}}
</div>
----


== Erstes Mitglied des Clusters (UTM 1) ==
Interne IP-Adresse: 192.168.175.2/24<br>
Externe DSL Verbindung mittels PPPoE.<br>
Hotwire-IP-Adresse:192.168.180.2/24


== Zweites Mitglied des Clusters (UTM 2) ==
{{Bild|{{#var:Beispiel Router default--Bild}} | {{#var:konfig--extern}} {{#var:Cluster-Konfiguration--cap}}||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}}
Interne IP-Adresse:192.168.175.3/24<br>
==== {{#var:Cluster-Konfiguration}} ====
Externe DSL Verbindung mittels PPPoE.<br>
<div class="Einrücken">
Hotwire-IP-Adresse:192.168.180.3/24
{{#var:Cluster-Konfiguration--desc}}
</div>


Als virtuelle IP-Adresse wird 192.168.175.1/24 definiert. Diese IP-Adresse ist das Standard-Gateway des internen Netzwerks.
{{h5|Master-UTM}}
 
{| class="sptable2 pd5 zh1 Einrücken"
 
|+ {{#var:Cluster-Konfiguration}}
== Inbetriebnahme der UTMs ==
|- class="noborder"
Verwenden Sie für die Inbetriebnahme den Installations-Wizard der UTM. Stellen sie sicher, dass das externe Interface noch nicht am DSL Modem angeschlossen ist, um eine evtl. Doppel-Einwahl zu verhindern. Die Konfiguration der beiden UTMs sollte sich bis zu diesem Zeitpunkt nur durch die interne IP-Adresse unterscheiden. Importieren sie die erworbene Cluster-Lizenz im letzten Schritt des Wizards und starten sie die Maschinen nach Abschluss des Assistenten neu.<br>
| colspan="4" | {{#var:wizard1--head}} {{Host|Master}} {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}} }} {{#var:Schaltfläche}} {{Button-dialog|{{#var:Cluster Assistent}}|fa-wand-magic-sparkles}}
Sind die beiden UTMs mit dem internen Switch verbunden, sollten sie nun von ihrem administrativen Client auf beide Geräte gelangen.
|- class="Leerzeile"
 
| colspan="3" |
 
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 1|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 1}}
== Hotwire-Interface ==
|-
Verbinden sie nun beide UTMs physikalisch mit dem von ihnen ausgewählten Hotwire Interface. Dieses muss auf den Maschinen der selbe Port sein, zum Beispiel LAN 3.
| colspan=3 class=noborder | {{#var:Wizard Schritt 1--desc}}
 
| class="Bild" | {{Bild|{{#var:Wizard Schritt 1--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 1|{{#var:Cluster Assistent}}|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}} }}
 
|- class="Leerzeile"
== Cluster-Konfiguration ==
| colspan="3" id="{{#var:Schritt}}3" | {{mobil|<hr>|<br>}}
Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität. Die höhere Priorität hat der Master, die Niedrigere das Backup-System. In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.175.2 Master sein. Loggen sie sich auf diese Maschine mittels des Web-Interfaces ein.
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 2|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 2}}
 
|-
Öffnen sie nun den Netzwerk Dialog, zu finden unter dem Menüpunkt Netzwerk -> Netzwerkkonfiguration. Dort fügen sie die IP-Adresse des zukünftigen Hotwire-Interfaces hinzu. In unserem Fall bekommt LAN3 (eth2) die IP-Adresse 192.168.180.2/24.
| {{b|{{#var:Hotwire-Schnittstelle}}: }} || {{ic|LAN3|dr|class=available}} || <li class="list--element__alert list--element__warning">{{#var:wizard1--hotwire--desc}}</li>  
 
| rowspan="4" class="Bild" | {{Bild|{{#var:Wizard Schritt 2--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 2}}
 
|-
[[Datei:UTM11_BP_Cluster_pic10.png|600px|Abb.: 1.4]]
| {{b|{{#var:lokale-ip}} }}<br>{{#var:Nur wenn Schnittstelle ohne IP gewählt}} || {{ic|192.168.180.2|rechts|icon=/24 |iconw=x|class=available}} || {{#var:wizard1--lokale-ip--desc}}
 
|-
 
| {{b|{{#var:remote-ip}} }} ||  {{ic|192.168.180.3|rechts|icon=/--- |iconw=x|class=available}} || {{#var:wizard1--remote-ip--desc}}
 
|- class="Leerzeile"
Im nächsten Schritt öffnen sie den Cluster-Dialog (Netzwerk -> Clusterkonfiguration) und starten sie den Cluster Setup Wizard, wählen die Hotwire-Schnittstelle aus und geben die IP-Adresse der Hotwire Gegenstelle an.
|
 
|- class="Leerzeile"
 
| colspan="3" id="{{#var:Schritt}}S2" | {{mobil|<hr>|<br>}}
[[Datei:UTM11_BP_Cluster_pic11.png|600px|Abb.: 1.5]]
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 3|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 3}}
 
|-
 
| {{b|{{#var:Schnittstelle}} }} || {{Button|LAN2|dr|class=available}} || {{#var:wizard2--schnittstelle--desc}}
In Step 2 des Wizards wählen sie das zukünftige HA-Interface aus. In unserem Fall ist das die interne Schnittstelle. Die Virtuelle IP-Adresse soll 192.168.175.1 sein. Sie können auf eine HA-Schnittstelle auch mehrere virtuelle IP-Adressen setzen. Diese IP-Adressen müssen nicht in der gleichen Broadcast Domain<ref name="ftn2">[http://de.wikipedia.org/wiki/Broadcast_Domain http://de.wikipedia.org/wiki/Broadcast_Domain]</ref> der anderen IP-Adressen liegen. Nachdem sie den Wizard durchlaufen haben, können auch weitere HA Schnittstellen konfiguriert werden.
| rowspan="4" class="Bild" | {{Bild|{{#var:Wizard Schritt 3--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 3}}
 
|-
 
| {{b|{{#var:wizard2--virtuelle-ip}} }}<br>{{#var:Nur wenn Schnittstelle ohne IP gewählt}} || {{ic|192.168.200.1|rechts|icon=/24 |iconw=x|class=available}} || {{#var:wizard2--virtuelle-ip--desc}}
[[Datei:UTM11_BP_Cluster_pic12.png|600px|Abb.: 1.6]]
|-
 
| colspan="3" | <li class="list--element__alert list--element__warning">{{#var:wizard2--hinweis--dhcp}} {{info| {{#var:wizard2--hinweis--info}} }}</li>
 
<li class="list--element__alert list--element__hint">{{#var:wizard2--hinweis--ha}}</li>
Im Step 3 des Wizards werden die Schnittstellen definiert, die auf dem Backup System (auch Spare genannt) nicht hochgefahren werden. In unserer Konfiguration wollen wir das nicht für ppp0 (DSL Interface). Die Einwahl soll nur durch die gerade aktive UTM im Cluster (Master) erfolgen. So ist es ihnen möglich, beide externen Interfaces der UTM an das DSL Modem anzuschliessen. Falls ihr Modem nur einen LAN Port besitzt, verwenden sie einen extra Switch.
|- class="Leerzeile"
 
|
 
|- class="Leerzeile"
[[Datei:UTM11_BP_Cluster_pic13.png|600px|Abb.: 1.7]]
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 4|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 4}}
 
|-
Im nächsten Schritt können sie Applikationen definieren die auf dem Backup System nicht aktiv sein sollen. Das Verhalten entspricht dem Schritt 3. Wir wählen hier die Applikation DHCP Server aus, falls die UTM auch als DHCP Server agieren soll, also den Clients im internen Netz IP-Adressen vergeben soll. Falls sie eine UTM verwenden, die auch als Access Point dient, deaktivieren sie hier auch die Applikation WLAN-Server.
| colspan="2" | {{b|{{#var:wizard3--deaktivierte}} }} <br>{{ic| |cb|class=available}} || {{#var:wizard3--deaktivierte-non--desc}}
 
| rowspan="2" class="Bild" | {{Bild|{{#var:Wizard Schritt 4b--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 4}}
 
|- class="Leerzeile"
[[Datei:UTM11_BP_Cluster_pic14.png|600px|Abb.: 1.8]]
|
 
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
Im letzten Schritt des Wizards legen sie die Passphrase für die Kommunikation der beiden UTMs auf den HA Schnittstellen fest (VRR Protokoll) und die Priorität der aktuellen Appliance. Wir möchten, dass diese UTM die höhere Priorität hat, also im Regelfall Master ist.
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 5|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 5}}
 
|-
 
| colspan="2" | {{b|{{#var:wizard4--deaktivierte}} }}{{ic| {{cb|Clientless VPN|-}} {{cb|DHCP Server|-}} {{cb|Greylisting Filter|-}} {{cb|HTTP Proxy|-}} {{cb|IPSEC|-}} {{cb|L2TP VPN|-}} {{cb|Mailrelay|-}} {{cb|POP3 Proxy|-}} {{cb|Routing Daemon|-}} {{cb|SPF Filter|-}} {{cb|SSL-VPN|-}} {{cb|Spamfilter|-}} {{cb|WLAN Server|-}} |pd=5px}}<small>'''Default'''</small>  || {{#var:wizard4--deaktivierte--desc}}<br> {{Einblenden2| {{#var:Hinweis für Installationen vor}} 12.4.0 | {{#var:hide}} |true|info tolltip|{{#var:Wireguard Cluster-Hinweis}} }}
[[Datei:UTM11_BP_Cluster_pic15.png|600px|Abb.: 1.9]]
| rowspan="2" class="Bild" | {{Bild|{{#var:Wizard Schritt 5--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 5}}
 
|- class="Leerzeile"
 
|
Die Konfiguration sieht nun wie folgt aus. Der Clusterstatus zeigt noch keinen Zustand an, weil der Cluster noch nicht auf aktiv geschaltet ist. Der Synchronisationsstatus steht auf rot, weil die Gegenstelle nicht erreichbar ist.
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 6|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
[[Datei:UTM11_BP_Cluster_pic16.png|600px|Abb.: 1.10]]
|-
 
| {{b|Passphrase:}} || {{ic|insecure|class=available}} || {{#var:wizard5--Passphrase--desc}}
 
| rowspan="2" class="Bild" | {{Bild|{{#var:Wizard Schritt 6--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
Unter dem Punkt Einstellungen erzeugen sie nun einen SSH Public Key und kopieren ihn in die Zwischenablage.
|- class="Leerzeile"
 
|
 
|- class="Leerzeile"
[[Datei:UTM11_BP_Cluster_pic17.png|600px|Abb.: 1.11]]
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 7|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 7}}
 
|-
Nun wird es Zeit, die zweite UTM im Cluster zu konfigurieren. Loggen sie sich über die IP-Adresse 192.168.175.3 auf das Web-Interface ein. Öffnen sie den Dialog Clusterkonfiguration und bearbeiten sie die Schnittstelle eth2 um sie als Hotwire zu kennzeichnen. Geben sie in dem Dialog als lokale IP-Adresse 192.168.180.3/24 und als Gegenstelle die bereits konfigurierte UTM mit der IP-Adresse 192.168.180.2 ein.
| {{b|{{#var:Einstellung für die Spare}}:}} || {{ic|[Master]<br>Hotwire Interface: LAN3<br>Remote UP adress: 192.168.180.3<br>...|tr-odd|class=available}} || {{#var:Einstellung für die Spare--desc}}
 
| rowspan="2" class="Bild" | {{Bild|{{#var:Wizard Schritt 7--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 7}}
 
|- class="Leerzeile"
[[Datei:UTM11_BP_Cluster_pic18.png|600px|Abb.: 1.12]]
|
 
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
Wechseln sie danach in den Dialog Clusterkonfiguration -> Einstellungen und generieren dort ebenfalls einen SSH Key. Kopieren sie den SSH Key von der ersten UTM aus der Zwischenablage in das Feld „SSH-Schlüssel der Gegenstelle“. Wechseln sie auf die erste UTM und kopieren sie den SSH Key der zweiten UTM in das Feld „SSH-Schlüssel der Gegenstelle“. Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle gefinden. Speichern sie die Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der „Speichern“ Schaltfläche. Der Synchronisationsstatus sollte nun von rot auf orange wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, aber die Konfiguration ist nicht synchronisiert.
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 1|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 1}}
 
|-
Beachten sie bitte, dass der Status in bestimmten Intervallen aktualisiert wird. Wenn sie in dem Dialog „Schnittstellen“ die Aktualisierungs-Schaltfläche betätigen, können sie den Vorgang beschleunigen.
| colspan=3 class=noborder | {{#var:Wizard Spare Schritt 1--desc}}
 
| class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 1--Bild}}|{{#var:Beispiel Router}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 1}}
 
|- class="Leerzeile"
[[Datei:UTM11_BP_Cluster_pic19.png|600px|Abb.: 1.13]]
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 2|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 2}}
 
|-
Loggen sie sich nun aus dem aus der zweiten Maschine aus und wechseln sie wieder in das WebInterface der ersten UTM, unserem Master. Betätigen sie nun den Button Konfiguration synchronisieren das erste Mal. Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf grün. Die beiden UTMs sind abgeglichen. Alles was sie auf der Master bereits konfiguriert haben, befindet sich jetzt auch auf der Backup Maschine. Sie können dies überprüfen, indem sie sich auf der Backup Maschine einloggen und die entsprechenden Dialoge öffnen. Da wir von der von uns definierten Master UTM die Synchronisation durchgeführt haben, wird die Cluster Priorität der zweiten Maschine (Backup) automatisch auf niedrig gestellt.
| colspan=3 class=noborder | {{#var:Wizard Spare Schritt 2--desc}}
 
| class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 2--Bild}}|{{#var:Beispiel Router}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 2}}
 
|- class="Leerzeile"
Würden sie die Priorität auf der jetzigen Backup UTM auf Hoch stellen und von da aus auch die Konfiguration synchronisieren, würde die erste Maschine automatisch zum Backup degradiert und die vormals Backup UTM zum Master.
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 3|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 3}}
 
|-
Im letzen Schritt aktivieren Sie den Cluster. Schliessen sie die externen Interfaces an das DSL Modem an. Im Dialog Clusterkonfiguration, wechseln sie auf den Punkt Einstellungen und aktivieren sie den Cluster. Dieser Schritt muss auf beiden UTMs getrennt ausgeführt werden. Ihr Cluster ist nun in Betrieb und der Master des Clusters hat unsere virtuelle IP-Adresse 192.168.175.1 auf dem internen Interface.
| {{b|{{#var:Einstellung des Masters}}:}} || {{ic|[Master]<br>Hotwire Interface: LAN3<br>Remote UP adress: 192.168.180.3<br>...|class=available}} || {{#var:Einstellung des Masters--desc}}
 
| rowspan=2 class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 3--Bild}}|{{#var:Beispiel Router}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 3}}
 
|- class="Leerzeile"
[[Datei:UTM11_BP_Cluster_pic20.png|600px|Abb.: 1.14]]
|
 
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
Falls der Status nicht sofort aktualisiert wird, können sie auch hier wieder die Schaltfläche zum neu laden drücken.
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 4|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 4}}
 
|-
 
| colspan=3 class=noborder | <li class="list--element__alert list--element__positiv">{{#var:Werte automatisch gesetzt--Hinweis}}</li>
= Beispiel Konfiguration: Externer Router =
| rowspan=4 class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 4--Bild}}|{{#var:Beispiel Router}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 4}}
In diesen Beispiel wird eine Konfiguration aufgezeigt wenn sie ein UTM Cluster an einem externen Router betreiben möchten. Der Router ist das Gateway zum Internet. Eventuell haben sie von ihrem Provider ein öffentliches Netz zur Verfügung gestellt bekommen. In unserem Beispiel verwenden wir ein privates Netz. Die Vorgehensweise ist dann analog. In diesem Beispiel werden wir zwei HA Schnittstellen konfigurieren. Für die interne und die externe Schnittstelle.
|-
 
| {{b|{{#var:lokale-ip}} }} || {{ic|192.168.180.3|rechts|icon=/24 |iconw=x|class=available}} || {{#var:spare wizard4--lokale-ip--desc}}
 
|-
Netzwerkkonfiguration:
| {{b|{{#var:remote-ip}} }} ||  {{ic|192.168.180.2|rechts|icon=/--- |iconw=x|class=available}} || {{#var:spare wizard4--remote-ip--desc}}
 
|- class="Leerzeile"
 
|
== Erstes Mitglied des Clusters UTM 1: ==
|- class="Leerzeile"
Interne IP-Adresse:192.168.175.2/24
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 5|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 5}}
Externe IP-Adresse:172.16.0.105/24
|-
 
| colspan=3 class=noborder | <li class="list--element__alert list--element__positiv">{{#var:Werte automatisch gesetzt--Hinweis}}</li>
Hotwire IP-Adresse:192.168.180.2/24
| rowspan=4 class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 5--Bild}}|{{#var:Beispiel Router}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 5}}
 
|-
 
| {{b|Passphrase: }} || {{ic|insecure|class=available}} || {{#var:wizard5--Passphrase--desc}}
== Zweites Mitglied des Clusters UTM 2: ==
|-
Interne IP-Adresse: 192.168.175.3/24
| {{b|{{#var:Schlüssel der Gegenstelle}}:}} ||  {{ic|ssh-rsa AAAABNza...|cb|class=available}} || {{#var:spare wizard 5-Schlüssel der Gegenstelle--desc}}
 
|- class="Leerzeile"
Extern IP-Adresse:172.16.0.106/24
|
 
|- class="Leerzeile"
Hotwire IP-Adresse:192.168.180.3/24
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Spare {{#var:Cluster Assistent}} {{#var:Schritt}} 6|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
 
|-
Die Virtuellen IPs, die sich beide Mitglieder des Clusters teilen sollen, sind die IP-Adressen 192.168.175.1/24 für intern und 172.16.0.107/24 für extern. Die IP-Adresse 192.168.175.1 ist das Standard-Gateway des internen Netzwerks.
| {{b|{{#var:Einstellung für den Master}}:}} || {{ic|[Spare]<br>Local SSH Key: ssh-rsa AAAAB3Nza...|tr-odd|class=available}} || {{#var:Einstellung für den Master--desc}}
 
| rowspan=2 class="Bild" | {{Bild|{{#var:Wizard Spare Schritt 6--Bild}}|{{#var:Beispiel Router}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 6}}
 
|- class="Leerzeile"
== Inbetriebnahme der UTMs ==
|
Verwenden Sie für die Inbetriebnahme den Installations-Wizard der UTM. Die Konfiguration der beiden UTMs sollte sich bis zu diesem Zeitpunkt nur durch die interne und externe IP-Adresse unterscheiden. Importieren sie die erworbene Cluster-Lizenz im letzten Schritt des Wizards und starten sie die Maschinen nach Abschluss des Assistenten neu. Sind die beiden UTMs mit dem internen Switch verbunden, sollten sie nun von ihrem administrativen Client auf beide Geräte gelangen.
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 8|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 8}}
== Hotwire Interface ==
|-
Verbinden sie nun beide UTMs physikalisch mit dem von ihnen ausgewählten Hotwire Interface. Dieses muss auf den Maschinen der selbe Port sein, zum Beispiel LAN 3.
| colspan=3 class=noborder | <li class="list--element__alert list--element__warning">{{#var:Wechsel zur Master--Hinweis}}</li>
 
| rowspan=3 class="Bild" | {{Bild|{{#var:Wizard Schritt 8--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 8}}
== Cluster Konfiguration ==
|-
Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität. Die höhere Priorität hat der Master, die Niedrigere das Backup-System. In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.175.2 Master sein. Loggen sie sich auf diese Maschine mittels des Web-Interfaces ein.
| {{b|{{#var:Einstellung der Spare}}:}} || {{ic|[Spare]<br>Local SSH Key: ssh-rsa AAAAB3Nza...|class=available}} || {{#var:Einstellung der Spare--desc}}
 
|- class="Leerzeile"
 
|
Öffnen sie nun den Netzwerk-Dialog, zu finden unter dem Menüpunkt Netzwerk -> Netzwerkkonfiguration. Und fügen sie die IP-Adresse des zukünftigen Hotwire-Interfaces hinzu. In unserem Fall bekommt LAN3 (eth2) die IP-Adresse 192.168.180.2/24.
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
 
{{h5|Master {{#var:Cluster Assistent}} {{#var:Schritt}} 9|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 9}}
[[Datei:UTM11_BP_Cluster_pic21.png|600px|Abb.: 1.15]]
|-
 
| colspan=3 class=noborder | <li class="list--element__alert list--element__warning">{{#var:Wechsel zur Master--Hinweis}}</li>
 
| rowspan=3 class="Bild" | {{Bild|{{#var:Wizard Schritt 9--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 9}}
Im nächsten Schritt öffnen sie den Cluster Dialog (Netzwerk -> Clusterkonfiguration) und starten den Cluster Setup Wizard, wählen die Hotwire-Schnittstelle aus und geben die IP-Adresse der Hotwire-Gegenstelle an.
|-
 
| {{b|{{#var:Schlüssel der Gegenstelle}}:}} || {{ic|ssh-rsa AAAAB3Nza...|cb|class=available}} || {{#var:Master Wizard9-Schlüssel der Gegenstelle--desc}}
 
|- class="Leerzeile"
[[Datei:UTM11_BP_Cluster_pic22.png|600px|Abb.: 1.16]]
|
 
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
In Step 2 des Wizards wählen sie das zukünftige HA Interface aus. Wir beginnen mit der internen Schnittstelle. Die Virtuelle IP-Adresse soll 192.168.175.1/24 sein. Sie können auf eine HA-Schnittstelle auch mehrere virtuelle IP-Adressen setzen. Diese IP-Adressen müssen nicht in der gleichen Broadcast Domain der anderen IP-Adressen sein. Nachdem sie den Wizard durchlaufen haben, werde wir auch die weitere HA Schnittstellen konfigurieren.
{{h5|Master & Spare {{#var:Cluster Assistent}} {{#var:Abschluss}}|{{Host|Master & Spare}} {{#var:Cluster Assistent}} {{#var:Abschluss}} }}
 
|-
 
| rowspan=2 colspan=3 class=noborder | {{#var:Wizard Abschluss--desc}}
[[Datei:UTM11_BP_Cluster_pic12.png|600px|Abb.: 1.17]]
| class="Bild" | {{Bild|{{#var:Wizard Schritt 10--Bild}}|{{#var:Beispiel Router}}|{{Host|Master}} {{#var:Cluster Assistent}} {{#var:Schritt}} 10}}
 
|-
 
| class="Bild | {{Bild|{{#var:Wizard Spare Schritt 7--Bild}}|{{#var:Beispiel Router}}|{{Host|Spare}} {{#var:Cluster Assistent}} {{#var:Schritt}} 7}}
Im Step 3 des Wizards werden Schnittstellen definiert, die auf dem Backup System (auch Spare genannt) nicht hochgefahren werden. In unserer Konfiguration haben wir keine solche Schnittstelle. Falls sie die Einwahl über ein DSL Modem machen wollen, welches direkt an der UTM terminiert ist, beachten sie bitte die Konfiguration im Abschnitt „Beispiel-Konfiguration: Externes DSL-Modem“.
|- class="Leerzeile"
 
| colspan="3" | {{hrzeile}}
 
====== {{#var:Status der Clusterkonfiguration}} ======
[[Datei:UTM11_BP_Cluster_pic23.png|600px|Abb.: 1.18]]
|- class="Leerzeile"
 
| colspan="3" | <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|{{#var:Schnittstellen}} }}
Im nächsten Schritt können sie Applikationen definieren die auf dem Backup System nicht aktiv sein sollen. Das Verhalten entspricht dem Schritt 3. Wir wählen hier die Applikation DHCP Server aus, falls die UTM auch als DHCP Server agieren soll, sprich den Clients im internen Netz IP-Adressen vergeben soll. Falls sie eine UTM verwenden, die auch als Access Point dient, deaktivieren sie hier auch die Applikation WLAN-Server.
|-
 
| LAN1 ||<small>{{#var:cluster-schnittstellen--eth0}}</small> || {{#var:cluster-schnittstellen--eth0--desc}}
 
| rowspan="5" class="Bild" | {{Bild|{{#var:cluster-schnittstellen-extern--bild}}|2={{#var:Beispiel Router}}|3=<i class="host utm">Master</i>  {{#var:Clusterkonfiguration}}|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save}}
[[Datei:UTM11_BP_Cluster_pic14.png|600px|Abb.: 1.19]]
|-
 
| LAN2 || {{#var:cluster-schnittstellen--eth1}} || {{#var:cluster-schnittstellen--eth1--desc}}
 
|-
Im letzten Schritt des Wizards legen sie die Passphrase für die Kommunikation der beiden UTMs auf den HA Schnittstellen fest (VRR-Protokoll) und die Priorität. Wir möchten das diese UTM die höhere Priorität hat, sprich im Regelfall Master ist.
| LAN3 || {{#var:cluster-schnittstellen--eth2}} || {{#var:cluster-schnittstellen--eth2--desc}}
 
|-
 
| {{b|{{#var:Virtuelle IP-Adressen}} }} || {{Kasten|192.168.200.1/24|blau}} || {{#var:Virtuelle IP-Adressen--desc}}
[[Datei:UTM11_BP_Cluster_pic15.png|600px|Abb.: 1.20]]
|-
 
| {{b|{{#var:Remote IP-Adressen}} }} || 192.168.180.3 || {{#var:Remote IP-Adressen--desc}}
 
|-
Die Konfiguration sieht nun wie folgt aus. Der Clusterstatus zeigt noch keinen Zustand an, weil der Cluster noch nicht auf aktiv geschaltet ist. Der Synchronisationsstatus steht auf rot, weil die Gegenstelle nicht erreichbar ist.
| {{b|{{#var:Clusterstatus}} }} || <i class="fas fa-times-circle fc__down"></i> </i> <span class=Hover>offline</span>||  {{#var:cluster-schnittstellen--clusterstatus--desc}}
 
|-
 
| {{b|{{#var:Synchronisationsstatus}} }} || <i class="fas fa-exclamation-circle fc__error"></i> </i> <span class=Hover>error</span> || {{#var:cluster-schnittstellen--sync--desc}}
[[Datei:UTM11_BP_Cluster_pic24.png|600px|Abb.: 1.21]]
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
 
<!-- ############################################################################### ALT 2 ###############################################################################
Unter dem Punkt Einstellungen erzeugen sie nun einen SSH Public Key und kopieren ihn in die Zwischenablage.
====== {{#var:Einstellungen für die Clusterkonfiguration}} ======
 
|- class="Leerzeile"
 
| colspan="3" | <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|{{#var:Einstellungen}} }}
[[Datei:UTM11_BP_Cluster_pic17.png|600px|Abb.: 1.22]]
|-
 
| {{b|Cluster}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Cluster-aus--desc}}
 
| rowspan="7" class="Bild" | {{Bild|{{#var:cluster--einstellungen--bild}}|2={{#var:Beispiel Router}}|3=<i class="host utm">Master</i>  {{#var:Bereich Einstellungen}}|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save}}
Nun wird es Zeit, die zweite UTM im Cluster zu konfigurieren. Loggen sie sich über die IP-Adresse 192.168.175.3 auf das Web-Interface ein. Öffnen sie den Dialog Clusterkonfiguration und bearbeiten sie die Schnittstelle eth2 um sie als Hotwire zu kennzeichnen. Geben sie in dem Dialog als lokale IP-Adresse 192.168.180.3/24 und als Gegenstelle die bereits konfigurierte UTM mit der IP-Adresse 192.168.180.2 ein.
|-
 
| {{b|{{#var:Priorität}} }} || {{Button|{{#var:Hoch}}|dr|class=available}} || {{#var:Priorität Master--desc}}
 
|-
[[Datei:UTM11_BP_Cluster_pic18.png|600px|Abb.: 1.23]]
| {{b|Passphrase}} || {{ic| |class=available}} || {{#var:Passphrase ändern}}
 
|-
 
| {{b|Virtual Router ID Offset:}} || {{ic|50|c|class=available}} || {{#var:Virtual Router ID Offset--desc}}
Wechseln sie danach in den Dialog Clusterkonfiguration -> Einstellungen und generieren dort ebenfalls einen SSH Key. Kopieren sie den SSH Key von der ersten UTM aus der Zwischenablage in das Feld „SSH-Schlüssel der Gegenstelle“. Wechseln sie auf die erste UTM und kopieren sie den SSH Key der zweiten UTM in das Feld „SSH-Schlüssel der Gegenstelle“. Auf beiden Seiten sollte sich nun jeweils ein lokaler SSH Schlüssel und der SSH Schlüssel der Gegenstelle befinden. Speichern sie die Einstellungen auf beiden UTMs in diesem Dialog durch betätigen der „Speichern“ Schaltfläche. Der Synchronisationsstatus sollte nun von rot auf orange wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire Schnittstelle, aber die Konfiguration ist nicht synchronisiert.
|-
 
| rowspan="2" | {{b|{{#var:lokaler-ssh-schlüssel}} }} || {{Button| |renew}} <p><span class=Hover>{{#var:cluster--ssh-button}}</span></p> || {{#var:cluster--ssh-button--desc}}
Beachten sie bitte, dass der Status in bestimmten Intervallen aktualisiert wird. Wenn sie in dem Dialog „Schnittstellen“ die Aktualisierungs-Schaltfläche betätigen, können sie den Vorgang beschleunigen.
|-
 
| {{ic|<nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''|class=available}} || {{#var:cluster--einstellungen--ssh--desc}}
 
|- class="Leerzeile"
[[Datei:UTM11_BP_Cluster_pic19.png|600px|Abb.: 1.24]]
|{{h5|Spare-UTM}}
 
|- class="Leerzeile noborder"
 
| colspan="4" | <hr>
Loggen sie sich nun aus dem aus der zweiten Maschine aus und wechseln sie wieder in das Web-Interface der ersten UTM, unserem Master. Betätigen sie nun den Button Konfiguration synchronisieren das erste Mal. Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf grün. Die beiden UTMs sind abgeglichen. Alles was sie auf der Master bereits konfiguriert haben, befindet sich jetzt auch auf der Backup Maschine. Sie können dies überprüfen, indem sie sich auf der Backup Maschine einloggen und die entsprechenden Dialoge öffnen. Da wir von der von uns definierten Master UTM die Synchronisation durchgeführt haben, wird die Cluster Priorität der zweiten Maschine (Backup) automatisch auf niedrig gestellt.
|-
 
! colspan="3" | <span class="fc__giftgrün">'''Spare UTM'''</span> </td><td class="noborder" style="border-top: 0;">
 
|- class="Leerzeile"
Würden Sie die Priorität auf der jetzigen Backup UTM auf Hoch stellen und von da aus auch die Konfiguration synchronisieren, würde die erste Maschine automatisch zum Backup degradiert und die vormals Backup UTM zum Master.
| colspan="3" |
 
====== {{#var:Konfiguration der Schnittstelle}} ======
Wechseln Sie nun auf den Punkt Einstellungen und aktivieren sie den Cluster. Dieser Schritt muss auf beiden UTMs getrennt ausgeführt werden. Ihr Cluster ist nun in Betrieb und der Master des Clusters hat unsere virtuelle IP-Adresse 192.168.175.1 auf dem internen Interface.
|- class="Leerzeile"
 
| colspan="3" | {{#var:spare--login}}<br> <i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}} | {{#var:Schnittstellen}}||w }}
 
|-
[[Datei:UTM11_BP_Cluster_pic25.png|600px|Abb.: 1.25]]
| {{b|Name:}} || {{ic|LAN3|tr-odd|class=available}} || {{ic|LAN3}} {{Button| |w}} {{#var:interface--edit}}
 
| rowspan="5" class="Bild" | {{Bild|{{#var:interface--edit--bild}}|2={{#var:Beispiel Router}}|3=<i class="host utm">Spare</i> {{#var:interface--edit--cap}}|4={{#var:Schnittstelle bearbeiten}}|5={{#var:Netzwerk}}|6={{#var:Clusterkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 
|-
Nun muss noch die externe Schnittstelle auf HA Betrieb konfiguriert werden. Bearbeiten sie diese Schnittstelle in der Clusterkonfiguration und stellen sie das Interface im Dialog auf „Schnittstelle für High Availability benutzen“.
| {{b|{{#var:Verwendung}} }} || {{button|{{#var:Verwendung--val}}|dr}} || {{#var:Verwendung--desc}}
 
|-
 
| {{b|{{#var:lokale-ip}} }} || {{ic|192.168.180.3|rechts|icon=/24 |iconw=x|class=available}} || {{#var:spare--lokale-ip--desc}}
[[Datei:UTM11_BP_Cluster_pic26.png|600px|Abb.: 1.26]]
|-
 
| {{b|{{#var:remote-ip}} }} || {{ic|192.168.180.2|rechts|icon=/--- |iconw=x|class=available}} || {{#var:spare--remote-ip--desc}}
 
|- class="Leerzeile"
Im zweiten Reiter des Dialogs stellen sie die virtuelle IP-Adresse ein, die wir vorab ausgewählt haben.
|
 
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}}
[[Datei:UTM11_BP_Cluster_pic27.png|600px|Abb.: 1.27]]
====== {{#var:Einstellungen für die Clusterkonfiguration}} ======
 
|- class="Leerzeile"
Speichern sie die Einstellungen und synchronisieren sie den Cluster damit die zweite Maschine die gleiche Konfiguration besitzt. Die Konfiguration ist sofort aktiv und ihr Cluster konfiguriert.
| colspan="4" | <i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|{{#var:Einstellungen}} }}
 
|-
 
| {{b|{{#var:wizard5--priorität}} }} || {{Button|{{#var:Priorität--Spare}} |dr|class=available}} || {{Alert}} {{#var:Priorität--Spare--desc}}
[[Datei:UTM11_BP_Cluster_pic28.png|600px|Abb.: 1.28]]
| rowspan="7" class="Bild" | {{Bild|{{#var:lokaler-ssh-schlüssel--spare--bild}}|2={{#var:Beispiel Router}}|3=<i class="host utm">Spare</i> {{#var:Bereich Einstellungen}}|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save}}
 
|-
 
| {{b|Passphrase:}} || {{ic|insecure|class=available}} || {{#var:wizard5--Passphrase--desc}}
= NAT in der Cluster Konfiguration =
|-
In bestimmten Konstellationen ist es notwendig die NAT Einstellungen anzupassen. Wir beziehen uns hier auf das Beispiel „Cluster Konfiguration: Externer Router“.
| rowspan="2" | {{b|{{#var:lokaler-ssh-schlüssel}}① }} || {{Button||renew}} <br><span class=Hover>{{#var:cluster--ssh-button}}</span>|| {{#var:lokaler-ssh-schlüssel--spare--desc}}
 
|-
 
| {{ic|<nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''|class=available}} || {{Alert}}{{#var:dont-copy-ssh}}
Die externen IP-Adressen des Clusters sind in der selben Broadcast Domain und die Standardroute der UTMs zeigt auf den Router der die Internet Verbindung herstellt.
|-
 
| {{b|SSH&#8209;{{#var:gegenstelle--ssh-schlüssel}} }} || {{ic|<nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''|class=available}} || {{#var:gegenstelle--ssh-schlüssel--desc}}
 
|-
Externe IP UTM 1:172.16.0.105/24
| {{b|{{#var:lokaler-ssh-schlüssel}} ②}} || colspan="2" | {{#var:spare--copy-ssh}}
 
|- class="Leerzeile"
Externe IP UTM 2:172.16.0.106/24
|
 
############################################################################### ALT 2 ENDE ############################################################################### -->
Virtuelle IP Cluster:172.16.0.107/24
|- class="Leerzeile"
 
| colspan="3" | {{mobil|<hr>|<br>}} {{#var:wechsel-auf}} <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|{{#var:Einstellungen}} }}
IP des Routers:172.16.0.1/24
|-
 
| {{b|SSH&#8209;{{#var:gegenstelle--ssh-schlüssel}} }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br> ''<nowiki>root@spare.cluster.local</nowiki>''|class=available}} || colspan="2" | {{#var:spare--paste-ssh}} {{info|{{#var:spare--paste-ssh--info}} }}
 
|- class="Leerzeile"
Die UTM 1 soll Master sein und besitzt die virtuelle IP-Adresse. Setzen wir nun einen ping aus dem internen Netz auf die IP-Adresse des Routers ab, sehen wir Folgendes im tcpdump der UTM1 auf dem externen Interface.
| colspan="4" | {{mobil|<hr>}}{{#var:ssh-auf-beiden-seiten}}
 
|-
 
| {{b|{{#var:Synchronisationsstatus}} }} || <i class="fas fa-clock fc__hint"></i> <span class=Hover>pending</span>||colspan="2" |  {{#var:Synchronisationsstatus--gelb--desc}}
[[Datei:UTM11_BP_Cluster_pic29.png|600px]]
<li class="list--element__alert list--element__hint">{{#var:Status aktualisieren}}</li>
 
<li class="list--element__alert list--element__warning">{{#var:Manuelle Syncronisation--Hinweis}}</li>
 
|- class="Leerzeile"
Der Ping wird von unserem Client im Standard-Regelwerk nicht über die virtuelle IP-Adresse des Clusters geNATet, sondern über die dem Master eindeutige IP-Adresse 172.16.0.105. Das kommt zustande, weil die eindeutige IP-Adresse die erste IP auf der Schnittstelle ist und der Router sich in der gleichen Broadcast Domain befindet. Wechselt der Cluster auf das Backup System, wird dort nicht mehr die IP-Adresse 172.16.0.105 sondern die IP-Adresse 172.16.0.106 stehen.
| colspan="3" |
 
====== {{#var:externe-schnittstelle--ha}} ======
Um das zu ändern erstellen wir unter Firewall -> Portfilter -> Netzwerkobjekte ein neues Objekt mit der virtuellen IP-Adresse auf dem Cluster Interface.
|- class="Leerzeile"
 
| colspan="3" | {{Alert}} <i class="host utm">Master</i> & <i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}} }} <span class="even pd5">LAN1</span> {{button| |w}}
 
|-
[[Datei:UTM11_BP_Cluster_pic30.png|300px|Abb.: 1.29]]
| {{b|Name:}} || {{ic|LAN1|class=odd}} || {{#var:externe-schnittstelle--ha--router}}
 
|  rowspan="4" class="Bild" | {{Bild|{{#var:externe-schnittstelle--ha--bild}} |2={{#var:Beispiel Router}}|3=<i class="host utm">Master</i> & <i class="host utm">Spare</i>|4={{#var:Schnittstelle bearbeiten}}|5={{#var:Netzwerk}}|6={{#var:Clusterkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 
|-
Wechseln sie in den Reiter Portfilter und bearbeiten sie die HideNAT Regel. In unserem Fall Regel Nummer 1.
| {{b|{{#var:Verwendung}} }} || {{button|{{#var:verwendung--schnittstelle--ha--val}}|dr}} || {{#var:verwendung--schnittstelle--ha--desc}}
 
|-
 
| {{b|{{#var:virutelle-ip|Virtuelle IP-Adressen:}} }} || {{ic|{{cb|192.168.175.101/24}} | pd=5px 5px 2em 5px |class=available}} || {{#var:virtuelle-ip--router}}
[[Datei:UTM11_BP_Cluster_pic31.png|600px|Abb.: 1.30]]
|- class="Leerzeile"
 
| colspan="3" | {{a|3}}
 
|
Ersetzen sie das Objekt „external-interface“ durch ihr gerade erstelltes Objekt „HA-Externe-IP“. Speichern sie die Regel ab und aktualisieren sie das Regelwerk. Synchonisieren sie danach den Cluster.
|- class="Leerzeile"
 
| colspan="3" | <li class="list--element__alert list--element__positiv">{{#var:Bereich Management--Hinweis}}</li>
 
<!--
[[Datei:UTM11_BP_Cluster_pic32.png|600px|Abb.: 1.31]]
|- class="Leerzeile"
 
| colspan="3" | <i class="host utm">Master</i> {{#var:Reiter}} {{Reiter|Management}}
 
|-
Wenn sie den Ping Test wiederholen, sollten sie Folgendes sehen. Beachten sie: Wenn ihr Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse geNATet. Unterbrechen sie den Ping und warten sie mindestens 30 Sekunden. Starten sie den Ping dann neu.
| {{b|{{#var:konfig-sync}} }} || {{Button||class=fas fa-retweet icon2 }} || {{#var:Konfiguration synchronisieren--desc}}
 
| class="Bild" rowspan="3" | {{Bild|{{#var:Offline-synchronized--Bild}} |l=<span class="small inline-start">{{#var:Beispiel Router}}</span>  <i class="host utm">Spare</i> {{#var:Offline-synchronized--cap}} }}
 
|-
[[Datei:UTM11_BP_Cluster_pic33.png|600px]]
| {{b|{{#var:Synchronisationsstatus}} }} || <i class="fas fa-check-circle fc__up"></i> <span class=Hover>synchronized</span>||  {{#var:Synchronisationsstatus--success}} <br> <li class="list--element__alert list--element__hint">{{#var:Synchronisationsstatus--success--hinweis}}</li>
 
-->
 
|-
{|style="background-color:#FFFFFF;border:2pt solid #FF0000;padding:5cm;"
| {{b|{{#var:Synchronisationsstatus}} }} || <i class="fas fa-check-circle fc__up"></i> <span class=Hover>synchronized</span>||  {{#var:Synchronisationsstatus--success}}<br> <li class="list--element__alert list--element__hint">{{#var:Synchronisationsstatus--success--hinweis}}</li>
| class="Bild" rowspan="2" | {{Bild|1={{#var:Offline-synchronized--Bild}}|2={{#var:Beispiel Router}}|3=<i class="host utm">Spare</i>|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{mobil|<hr>}}<br>
====== {{#var:cluster-aktivieren}} ======
|- class="Leerzeile"
| colspan="3" | <i class="host utm">Master</i> & <i class="host utm">Spare</i> {{Menu-UTM|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | {{#var:Einstellungen}} }}
|-
| {{b|Cluster}} || {{ButtonAn|{{#var:ein}} }} → {{Button-dialog||fa-save|hover={{#var:Speichern}} }}|| {{#var:cluster-aktivieren--ein--desc}}
| class="Bild" rowspan="5" | {{Bild|1={{#var:cluster-konfig--ergebnis-master--bild}}|2={{#var:Beispiel Router}}|3=<i class="host utm">Master</i>  Status nach Aktivierung des Clusters|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save|firewall-user={{#var:aktiver Pfad}}}}
{{Bild|1={{#var:cluster-konfig--ergebnis-spare--bild}}|2={{#var:Beispiel Router}}|3=<i class="host utm">Spare</i>  Status nach Aktivierung des Clusters|4={{#var:Clusterkonfiguration}}|5={{#var:Netzwerk}}|icon=fa-save|firewall-user={{#var:passiver Pfad}}|dialog-class=passiv|class=mt1em}}
|-
| rowspan="2" | {{b|{{#var:Clusterstatus}} }} || {{#var:cluster--master|Auf der Master-UTM:}} <i class="fas fa-check-circle fc__up"></i> || {{#var:cluster--master--desc}}
|-
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
| class="no1cell" | {{#var:cluster--spare|Auf der Spare-UTM:}} <i class="fas fa-clock fc__hint"></i> || {{#var:cluster--spare--desc}}
|'''Achtung!'''<br>
|- class="Leerzeile"
Achten sie darauf, dass Sie für NAT Einstellungen immer eindeutige IP-Adressen in den Netzwerkobjekten benutzen, wenn das NAT über ein HA Interface konfiguriert wird. Das gilt nicht nur für HideNATs sondern auch Portweiterleitungen bzw. Destination NATs.
| colspan="3" | {{Hinweis-box|{{#var:Manuelle Syncronisation--Hinweis}} }}
|- class="Leerzeile"
|
|}
|}
----




= Applikationen in der Cluster Konfiguration =
=== {{#var:NAT in der Cluster-Konfiguration}} ===
Ähnliches wie in dem Beispiel NAT in der Cluster Konfiguration kann auch für Applikationen zutreffen. Wir beziehen uns hier wieder auf die Cluster Konfiguration mit dem externen Router. Als Applikation nehmen wir uns das Mailrelay heraus.
<div class="Einrücken">
{{#var:NAT in der Cluster-Konfiguration--desc}}


{{pt3|UTM_v11.8.7_Cluster_tcpdump.png|hochkant=2|{{#var:tcpdump--bild--cap| tcpdump auf master.cluster.local }} }}


Sie möchten E-Mails über das Mailrelay der UTMs verschicken und empfangen. Sie haben dazu entsprechende PTR, A, MX Records und SPF Einträge in den TXT Records ihrer Domain gemacht, die auf die externe virtuelle IP-Adresse des Clusters zeigen. Damit das Mailrelay nun auch E-Mails über diese virtuelle IP verschickt, müssen sie in der Applikation die ausgehende IP-Adresse korrekt einstellen. In unserem Fall die virtuelle IP 172.16.0.107.
{| class="sptable"
 
|-
 
| {{#var:externe-ip}} 1 <i class="host utm">Master</i> || 192.168.175.102/24
[[Datei:UTM11_BP_Cluster_pic35.png|600px|Abb.: 1.32]]
|-
 
| {{#var:externe-ip}} 2 <i class="host utm">Spare</i>  || 192.168.175.103/24
Synchronisieren sie danach wieder die Cluster Konfiguration.
|-
 
| {{#var:virtuelle-ip--cluster}} {{spc|cb|s|Cluster}}||192.168.175.101/24
 
{|style="background-color:#FFFFFF;border:2pt solid #FF0000;padding:5cm;"
|-
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
| {{#var:ip--router}} || 192.168.175.1/24
|'''Achtung!'''<br>
Das Mailrelay kommuniziert jetzt '''immer '''mit der virtuellen IP-Adresse 172.16.0.107. Auch der interne Mailserver wird mit dieser IP als Absender kontaktiert. Bitte berücksichtigen Sie das bei der Konfiguration Ihres Mailservers, sollte dieser nur SMTP-Verbindungen von bestimmten IPs akzeptieren.
|}
|}


{{#var:tcpdump--desc}}
</div>


== Kommunikation von Applikationen, die auf der Firewall laufen ==
{| class="sptable2 pd5 zh1 Einrücken"
Alle Applikationen, die von der Firewall selber eine Verbindung aufbauen, verwenden dafür (sofern nicht anders konfiguriert) die primären IPs der Schnittstellen. Sollten Sie Management-IPs aus der gleichen Broadcast-Domäne verwenden sind diese primären IPs '''nicht '''die virtuellen IP-Adressen.
| class="noborder" | {{#var:cluster--netzwerkobjekt--desc}}
| class="Bild" rowspan="2" | {{Bild|{{#var:cluster--netzwerkobjekt--bild}}||3=<i class="host utm">Master</i>|4={{#var:Netzwerkobjekt hinzufügen}}|5=Firewall|6={{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close|firewall-user={{#var:aktiver Pfad}} }}
|- class=Leerzeile
|
|- class="noborder"
| {{#var:cluster regel--desc}}
| class="Bild" rowspan="3" | {{Bild|{{#var:cluster--regel--detail--bild}}||3=<i class="host utm">Master</i>|4={{#var:Regel bearbeiten}}|5=Firewall|6={{#var:Paketfilter}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|firewall-user={{#var:aktiver Pfad}}}}
|- class="noborder"
|
* {{#var:cluster--regel--detail--bild--desc}}
* {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }}
* {{Button-dialog|{{#var:regel-aktualisieren}}|fa-play}}
* <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|Management}} → {{b|{{#var:konfig-sync}}:}} {{Button||class=fas fa-retweet}}
|- class="Leerzeile"
|
|}


<!--
{{Gallery3|{{#var:cluster--regel--bild}}| {{#var:cluster--regel--cap}} | {{#var:cluster--regel--detail--bild}} | {{#var:cluster--regel--detail--bild--desc}}
| i=2}}


=== Syslog ===
{{Button|{{#var:Speichern}} }} {{Button|{{#var:Schließen}} }} {{Button|{{#var:regel-aktualisieren}}|play}} <i class="host utm">Master</i> {{Menu-UTM|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} || {{#var:konfig-sync}} }}
Das bedeutet, dass beispielsweise Syslog-Nachrichten von der Management-IP der Master verschickt werden, wenn diese die aktive Maschine im Cluster ist, und von der Management-IP der Spare wenn diese aktiviert wurde.
-->


Folgende weitere Applikationen sind betroffen:
{{Bild|{{#var:cluster--tcpdump2--bild}}|tcpdump|class=Bild-t}}
{{#var:cluster--tcpdump2--desc}}<br>


<li class="list--element__alert list--element__hint">{{#var:hinweis--tcpdump--ping}}</li>
<br clear=all>
{{Hinweis-box| {{#var:hinweis--nat-einstellungen}}|fs__icon=em2 }}
</div>
----


=== HTTP-Proxy ===
Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese unter „Anwendungen“ -> „HTTP-Proxy“ -> „Ausgehende Adresse“ angegeben werden.


=== {{#var:applikationen}} ===
{{Bild|{{#var:applikationen--bild}}| ||Mailrelay|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=Mailrelay Log|icon2=fa-save|class=Bild-t}}
<div class="Einrücken">
<p>{{#var:applikationen--allgemein}} </p>
<p>{{#var:applikationen--beispiel}} </p>
<p>{{#var:applikationen--mailrelay}} </p>
<p>{{Button-dialog||fa-save|hover={{#var:Speichern}} }}<br>
{{#var:applikationen--sync}} </p>
<p style="text-align: left;">{{Menu-UTM|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}}|Management}} → {{b|{{#var:konfig-sync}}:}} {{Button||class=fas fa-retweet}} </p>


=== Mailrelay ===
<li class="list--element__alert list--element__warning em2">{{#var:appliaktionen--hinweis}}</li>
Bitte beachten Sie dazu die Hinweise im Abschnitt „Applikationen in der Cluster-Konfiguration“
<br clear=all></div>
----




=== RADIUS-/LDAP-/AD-Anbindung ===
==== {{#var:appliaktionen--kommunikation}} ====
Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem Ziel-Server jeweils die Management-IPs '''beider '''Geräte freigegeben werden.
<div class="einrücken">
{{#var:appliaktionen--kommunikation--desc}}
</div>




=== IPSec ===
===== Syslog =====
Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld „Local Gateway“ eine der virtuellen IPs fest eingetragen ist.
<div class="Einrücken">
{{#var:syslog--desc}}
</div>




=== SSLVPN-Server ===
===== Http-proxy =====
Alle SSLVPN-Server-Instanzen müssen so angepasst werden, dass unter „Einstellungen“ -> „Erweitert“ die Option „Multihome“ aktiviert ist.
<div class="Einrücken">
{{#var:http-proxy--desc}}
</div>




=== SSLVPN-Clients ===
===== Mailrelay =====
Alle SSLVPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Führen Sie dazu folgende CLI-Befehle aus:
<div class="Einrücken">
{{#var:http-proxy--desc}}
</div>




Zum Feststellen der ID der SSLVPN-Verbindung:
===== {{#var:radius}} =====
<div class="Einrücken">
{{#var:radius--desc}}
</div>


firewall> openvpn get


===== IPSec =====
<div class="Einrücken">
{{#var:ipsec--desc}}
</div>


Zum Setzen der lokalen Adresse;


<nowiki>firewall> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT></nowiki>
===== SSL-VPN Server =====
<div class="Einrücken">
{{#var:ssl-vpn--server--desc}}
</div>




Zum Aktivieren der Einstellungen:
==== {{#var:appliaktionen--extern}} ====


firewall> appmgmt restart application openvpn
===== SSL-VPN Clients =====
<div class="Einrücken">
{{#var:ssl-vpn--clients--desc}}
</div>


{| class="sptable pd5 zh1 Einrücken"
! {{#var:CLI-Befehle}} || {{#var:bedeutung}}
|-
|  {{code|master.cluster.local> openvpn get}} || {{#var:cli--openvpn-get}}
|-
| {{code|<nowiki>master.cluster.local> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT></nowiki>}} ||  {{#var:cli--openvpn-set}}
|-
| {{code|master.cluster.local> appmgmt restart application openvpn}} || {{#var:cli--openvpn-restart}}
|- class="Leerzeile"
| '''{{#var:Beispiel}}'''
|-
| {{code|master.cluster.local> openvpn get<br>[...]<br>master.cluster.local> openvpn set id <1> local_addr <192.168.175.101> local_port <20000><br>master.cluster.local> appmgmt restart application openvpn}} || {{#var:Beispiel}}
|- class="Leerzeile"
|
|}


=== POP3 Proxy ===
Der POP3-Proxy kommuniziert immer mit der Management-IP, sofern diese in der gleichen Broadcast-Domain wie das Default-Gateway ist. Dies ist bei der Beschränkung des Zugriffs auf POP3-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


===== POP3 Proxy =====
<div class="Einrücken">
{{#var:pop3--desc}}
</div>


=== Clientless VPN ===
Verbindungen zu RDP/VNC-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf RDP/VNC-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


===== Clientless VPN =====
<div class="Einrücken">
{{#var:clientless-vpn--desc}}
</div>


=== Nameserver ===
Verbindungen zu DNS-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf DNS-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


= CLI Befehle =
===== Nameserver =====
Im folgenden werden Befehle für die Securepoint CLI beschrieben.
<div class="Einrücken">
{{#var:Nameserver--desc}}
</div>
----




'''CLI Befehle: cluster info'''
{{:UTM/CLI/Cluster}}




Ausgabe:
=== {{#var:Einschränkungen}} ===


==== {{#var:Einschränkungen--dhcp--ha}} ====
<div class="Einrücken">
<li class="list--element__alert list--element__warning">{{#var:Einschränkungen--dhcp--ha--desc}}</li>
</div>


cluster_state:backup/master/none
==== {{#var:Einschränkungen--dhcp--cluster}} ====
 
<div class="Einrücken">
 
<li class="list--element__alert list--element__warning">{{#var:Einschränkungen--dhcp--cluster--desc}} </li>
Der Cluster State gibt an wer im Cluster gerade Master oder Backup ist oder ob der Cluster überhaupt aktiv ist. Die Ausgabe bezieht sich immer auf die Maschine, auf der dieser Befehl ausführt wird.
</div>
 
 
sync_state:synchronized/pending/error
 
 
Im welchen Zustand befindet sich die Konfiguration. Dabei bedeutet „synchronized“, das sie auf beiden UTMS des Clusters gleich ist. Der Zustand „pending“ bedeutet, die UTMs haben einen unterschiedlichen Stand. In beiden Fällen können die Mitglieder miteinander kommunizieren. Der Zustand „error“ weist darauf hin das sie keine Daten austauschen können. Das könnte der Fall sein, wenn kein Hotwire Interface konfiguriert ist, die Verkabelung nicht korrekt ist, die SSH Keys nicht ausgetauscht wurden, oder falsche SSH Keys verwendet werden.
 
 
hotwire_dev:ethx
 
 
Auf welchen Interface ist das Hotwire Interface konfiguriert.
 
 
'''CLI Befehl: system config synchronize'''
 
 
<nowiki>Durch diesen Befehl kann die Konfiguration über die Hotwire Schnittstelle an den Cluster Partner übertragen werden. Dabei wird die Konfiguration von der UTM verwendet, auf der sie den Befehl ausführen. Falls sie in der CLI eine Konfigurationsänderung durchgeführt haben, speichern sie diese erst lokal durch den CLI Befehl „system config save name <Name ihrer Konfiguration>“. Erst dann synchronisieren die Konfiguration des Clusters. Ansonsten wird die Änderung nicht übertragen.</nowiki>
 
 
'''CLI Befehl: extc value get application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY"'''
 
 
Zeigt den Delay in Sekunden an, bevor im Fehlerfall, von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden.
 
 
'''CLI Befehl: extc value set application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" value 2'''
 
 
Verändert den Delay, für den Fehlerfall, das von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden und sollte nicht niedriger eingestellt werden. Falls ihre Appliances im Cluster eine hohe Grundlast haben sollten, stellen sie den Wert höher ein. Die Einstellung ist sofort aktiv und kann via „system config synchronize“ auf den Partner übertragen werden.
 
 
= Einschränkungen =
== DHCP Client Interface und HA Interface kombinieren ==
Konfigurieren sie kein HA Interface auf einem Ethernet oder VLAN Interface auf dem sie DHCP Client konfiguriert haben, also die UTM auf dem Interface eine IP-Adresse dynamisch zugewiesen bekommt. Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt.
 
 
 
 
----
<references/>

Version vom 25. November 2024, 11:07 Uhr

Weiterleitung nach:

Preview1400































De.png
En.png
Fr.png








Securepoint Cluster Konfiguration - Best Practice
Letzte Anpassung zur Version: 14.0.0
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.6 12.4 12.1 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Netzwerk Clusterkonfiguration

notempty
Aktuelle Software
Es sollte immer die neueste Version der Software installiert werden.
Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten.


Einsatzgebiete

Durch Einsatz der UTM in einem Hot-Standby-Cluster kann eine Hochverfügbarkeit der UTM gewährleistet werden.
Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig.


Einrichtung

Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der Ursprungs-UTM ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der Spare-UTM, die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.
Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.
Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP.



Voraussetzungen

Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig:

  • Eine Cluster-Master-Lizenz
    Eine Cluster-Spare-Lizenz

    Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die zwei unterschiedliche Lizenzen beinhaltet und die im Securepoint Reseller Portal beantragt werden kann.

    Endkunden wenden sich bitte an Ihren autorisierten Securepoint Reseller.

  • Die Menüpunkte zur Cluster-Konfiguration sind sichtbar, sobald eine Cluster-Lizenz eingespielt ist.
    • Zwei identische Appliances* mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware

      Im kleinsten Szenario sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.

      * Der Betrieb einer RC300 G3 und einer RC340 G3 in einem gemeinsamen Cluster ist freigegeben. Andere Konstellationen werden nicht unterstützt.

    • Die eingesetzten Switches und Router unterstützen gratuitous ARP

      Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM gratuitous ARP Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.
      Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren.



    Funktionsweise des Clusters

    Cluster.png
    Über das Bild hovern für mehr Details!
    Abb.: 1.1 Cluster mit IP.png
    Abb.: 1.1 mit IP-Adressen
    • Der Cluster verwendet eindeutige IP- und MAC-Adressen für die beiden Mitglieder des Clusters sowie virtuelle IP-Adressen für den Cluster selber
    • Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv
    • Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters
    • Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing




    Das Cluster VRR Protokoll

    UTM11 BP Cluster pic6.png

    VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als High-AvailabilitySchnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.

    Mit Hilfe von tcpdump kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)

    Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.



    Umschalten des Clusters

    Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus:

    • Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren.
    • Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr.
    • Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an.
    • Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.

    Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master.
    Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen:

    HA-Schnittstelle 1 HA-Schnittstelle 2 UTM 1 Status UTM 2 Status
    UTM 1 UP
    , UTM 2 UP
    UTM 1 UP
    , UTM 2 UP
    Aktiv
    Passiv
    UTM 1 DOWN
    , UTM 2 UP
    UTM 1 UP
    , UTM 2 UP
    Passiv
    Aktiv
    UTM 1 DOWN
    , UTM 2 DOWN
    UTM 1 UP
    , UTM 2 UP
    Aktiv
    Passiv
    UTM 1 DOWN
    , UTM 2 DOWN
    UTM 1 UP
    , UTM 2 DOWN
    Aktiv
    Aktiv
    UTM 1 DOWN
    , UTM 2 DOWN
    UTM 1 DOWN
    , UTM 2 DOWN
    Aktiv
    Aktiv

    Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt.



    Fallback im Cluster
  • Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die Spare aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen Master zurückgeben.
    Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der Master wird aktiv.


  • Hotwire Schnittstelle

    Cluster-Hotwire.png
    Abb.: 1.3

    Die Hotwire-Schnittstelle ist eine exklusive Schnittstelle, die nur zum Synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Diese Schnittstelle hat exklusiv diese Aufgabe. Bei der Auswahl der Appliances muss darauf geachtet werden, daß für das Hotwire-Netz jeweils eine Schnittstelle frei sein muss.
    Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection-Tracking wird über den Port 3780 (UDP) abgeglichen. Ist eine Ethernet-Schnittstelle als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des UTM-Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Mitgliedern des Clusters erfolgen. Das Connection-Tracking wird immer automatisch vom Master im Cluster zum Backup übertragen (Abb. 1.3).

    notempty
    Die Hotwire-Verbindung soll immer über eine direkte Kabelverbindung erfolgen (kein Switch etc. dazwischen).
    Es muss sichergestellt werden, dass niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem synchronisiert werden soll.




    Konfiguration abgleichen

    Über die Hotwire-Schnittstelle wird die jeweilige Start-Konfiguration synchronisiert. Änderungen, die auf einer Maschine im Cluster gemacht wurden, werden über diese Schnittstelle auf das andere Gerät übertragen. In der Regel wird die Konfiguration, nach der Inbetriebnahme des Clusters, allein auf einer UTM durchgeführt. Wir empfehlen den Master zu verwenden.

    notempty
    Der Abgleich erfolgt immer manuell. Der Administrator entscheidet, wann er die Konfiguration im UTM-Cluster abgleichen möchte.


    Folgende Teile der Konfiguration werden nicht abgeglichen:

    1. IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden.
      Das sind die IP-Adressen, die im Webinterface unter dem Punkt Netzwerk Netzwerkkonfiguration eingestellt werden. Wird ein Ethernet- oder VLAN-Schnittstelle neu erzeugt, wird dies zwar übertragen, jedoch nicht die Information über die IP-Adressen dieser Schnittstellen. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden, denn sie sind immer eindeutig einer UTM zugewiesen. Diese IP-Adressen sind nicht zu verwechseln mit virtuellen IP-Adressen auf einer HA-Schnittstelle, die sich beide Maschinen im Cluster teilen.
    2. Active Directory-Appliance-Account.
      Dieser Account ist immer eindeutig im AD. Man erstellt unterschiedliche Namen auf beiden Maschinen und meldet jede separat am Active Directory an.


    notempty
    Es ist nicht zwingend notwendig, eindeutige IP-Adressen auf Schnittstellen zu konfigurieren, auf denen eine HA-Schnittstelle mit virtuellen IP-Adressen betrieben wird.
    In dem Fall gelangt man über die virtuelle IP-Adresse auf die UTM, die in dem Augenblick der Master ist.
    Soll über diese Schnittstelle das Mitglied des UTM-Clusters eindeutig identifiziert werden, ist es jedoch erforderlich eine eindeutige IP-Adresse zu konfigurieren.


    Konfiguration von Austauschgeräten
  • Ist ein Gerät defekt und muss ersetzt werden, muss die Konfiguration exakt dieser Maschine auf dem neuen Gerät wieder hergestellt werden.
    (Es darf z.B. nicht die Konfiguration der Master auf die Spare eingespielt werden um dann lediglich die IP Adressen zu ändern).
    Liegt weder ein lokales, noch ein Cloud Backup der Konfiguration vor, kann das Ersatzgerät mit einer neuen Konfiguration in den Cluster eingebunden werden.
    Dazu sind die Einrichtungsschritte als Spare so vorzunehmen, wie sie untenstehend beschrieben sind: • Spare UTM bei externem Modem • Spare UTM bei externem Router
  • Die SSH-Keys müssen dabei beide aus dem aktuell aktiven Gerät vice versa in das jeweilige Pendant kopiert werden
  • Bei einem Austauschgerät muss die Priorität gemäß des zukünftigen Einsatzzweckes auf Hoch für Master bzw. auf Niedrig für Spare gestellt werden.


  • Beispiel-Konfiguration 1: Externes DSL-Modem

    In diesem Beispiel wird eine Konfiguration aufgezeigt, mit der ein UTM-Cluster an einem DSL-Modem betrieben werden kann. Die Einwahl erfolgt direkt durch die UTM.


    Netzwerkkonfiguration

    Erstes Mitglied des Clusters (UTM 1, Master)
    LAN1: Externe DSL Verbindung mittels PPPoE.
    LAN2: Interne IP-Adresse: 192.168.12.141/24
    LAN3: Hotwire-IP-Adresse:192.168.180.2/24

    Zweites Mitglied des Clusters (UTM 2, Spare)
    LAN1: Externe DSL Verbindung mittels PPPoE.
    LAN2: Interne IP-Adresse:192.168.12.142/24
    LAN3: Hotwire-IP-Adresse:192.168.180.3/24


    Als virtuelle IP-Adresse für die internen Schnittstellen LAN2 wird 192.168.200.1/24 definiert.
    Diese IP-Adresse ist das Standard-Gateway des internen Netzwerks.

    notempty
    Bei Verwendung des DHCP-Servers, darf die Virtuelle IP-Adresse nicht im gleichen Netz wie die physische IP Adresse der Schnittstelle sein.
    Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.


    Vorbereitungen

    Inbetriebnahme der UTMs
    • Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet
    • Zur Anmeldung auf der UTM wird bereits eine (Cluster-) Lizenz benötigt
    • Um eine Doppeleinwahl zu unterbinden, sollte das DSL-Modem nicht angeschlossen sein
    • Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse
    • Nach Abschluss des Assistenten werden die UTMs neu gestartet


    IP-Adressen der zukünftigen Hotwire-Schnittstellen
    Master Netzwerk Netzwerkkonfiguration LAN3 IP-Adressen:
    IP-Adressen: »192.168.180.2/24 Master In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt.
    Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.2/24.
    Ethernet-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN3 master.pngHotwire IP der Master
    Spare Netzwerk Netzwerkkonfiguration LAN3 IP-Adressen:
    IP-Adressen: »192.168.180.3/24 Spare Im Beispiel bekommt LAN3/A2 der Spare die IP-Adresse 192.168.180.3/24.


    Hotwire-Schnittstelle verbinden

    Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden.
    Diese muss auf den Maschinen den gleichen Port belegen - Bezeichnung je nach verwendeter Hard- und Software A2, eth2 oder LAN3.



    Clusterkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 1.pngBeispiel-Konfiguration 1: Externes DSL-Modem Clusterkonfiguration Ausgangssituation

    Cluster-Konfiguration

    notempty
    Cluster Assistent vollständig überarbeitet
    • Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität
    • Die höhere Priorität hat das aktive Gerät (Master), die niedrigere das Backup-System Spare
    • In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.12.141 Master sein
    • Login über das Webinterface mit dieser IP und dem Port für Administration (Default: 11115)
    Cluster-Konfiguration
    Start des Cluster-Setup-Wizard unter Master Netzwerk Clusterkonfiguration Schaltfläche
    Cluster Assistent
    Master Cluster Assistent Schritt 1
    Master Cluster Assistent Schritt 1
    • Es wird mit der Master Konfiguration begonnen
    Cluster Assistent UTMbenutzer@firewall.name.fqdnNetzwerkClusterkonfiguration UTM v14.0.0 Cluster Assistent Master Schritt 1.png
    Master Cluster Assistent Schritt 1
    Beispiel UTM an externem DSL-Modem


    Master Cluster Assistent Schritt 2
    Master Cluster Assistent Schritt 2
    Hotwire Schnittstelle: LAN3
  • Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden!
  • UTM v14.0.0 Cluster Assistent Master Schritt 2.png
    Master Cluster Assistent Schritt 2
    Beispiel UTM an externem DSL-Modem
    Lokale IP‑Adresse:
    Nur wenn Schnittstelle ohne IP gewählt
    192.168.180.2/24 IP-Adresse der Master-UTM
    Remote IP‑Adresse: 192.168.180.3/--- IP-Adresse der Hotwire-Gegenstelle (Spare-UTM)


    Master Cluster Assistent Schritt 3
    Master Cluster Assistent Schritt 3
    Schnittstelle: LAN2 Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. UTM v14.0.0 Cluster Assistent Master Schritt 3.png
    Master Cluster Assistent Schritt 3
    Beispiel UTM an externem DSL-Modem
    Virtuelle IP‑Adresse:
    Nur wenn Schnittstelle ohne IP gewählt
    192.168.200.1/24 Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen.
  • Bei Verwendung der UTM als DHCP-Server darf die virtuelle IP-Adresse nicht in der gleichen Broadcast Domain liegen, in der die Master- und Spare-UTM sind.
    Der DHCP-Server würde sich sonst beim Fallback auf die physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.
  • Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden.


  • Master Cluster Assistent Schritt 4
    Master Cluster Assistent Schritt 4
    Deaktivierte Schnittstellen während das Gerät im Backup Modus ist:
    wan0
    Schnittstellen, die auf dem Backup-System, der Spare-UTM, nicht hochgefahren werden.
    Im Beispiel wan0 (das DSL Interface). Die Einwahl soll nur durch die gerade aktive Master-UTM im Cluster erfolgen.
    Dadurch ist es möglich, beide externen Interfaces der UTMs an das DSL Modem anzuschließen. Falls das Modem nur einen LAN Port besitzt, ist ein separater Switch zu verwenden.
    Auch WireGuard Verbindungen (im Beispiel wg0) werden so im Backup-Modus deaktiviert.
    UTM v14.0.0 Cluster Assistent Master Schritt 4.png
    Master Cluster Assistent Schritt 4
    Beispiel UTM an externem DSL-Modem
    Deaktivierte Anwendungen während das Gerät im Backup Modus ist:Clientless VPN DHCP Server Greylisting Filter HTTP Proxy IPSEC L2TP VPN Mailrelay POP3 Proxy Routing Daemon SPF Filter SSL-VPN Spamfilter WLAN ServerDefault Hier sind Anwendungen aufgeführt, die per Default deaktiviert sein sollen, sofern sich die Spare-UTM im Backup-Modus befindet.
    Gegebenenfalls lässt sich Wireguard im Clusterbetrieb nicht nutzen, wenn die Spare z.B. durch eine öffentliche Management-IP einen Weg Richtung Wireguard-Peer hat. In diesem Fall baut sich der Wireguard-Tunnel zum Peer auf und es besteht ein Tunnel zwischen Spare und dem Wireguard Peer. Das kann mit folgendem Befehl verhindert werden:
    interface set name wg0 flags "DISABLED_IF_SPARE" (wenn dass Interface wg0 ist)
    Wurde die Verbindung mit einer Version ab v12.4.0 erstellt, passiert dies automatisch.


    Master Cluster Assistent Schritt 5
    Master Cluster Assistent Schritt 5
    Passphrase: insecure Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) UTM v14.0.0 Cluster Assistent Master Schritt 5.png
    Master Cluster Assistent Schritt 5
    Beispiel UTM an externem DSL-Modem


    Master Cluster Assistent Schritt 6
    Master Cluster Assistent Schritt 6
    Einstellung für die Spare: [Master]
    Hotwire Interface: LAN3
    Remote UP adress: 192.168.180.3
    ...
    Diese Konfigurationen müssen bei der Konfiguration der Spare eingefügt werden. Dazu können sie mithilfe der Schaltfläche in die Zwischenablage kopiert werden. UTM v14.0.0 Cluster Assistent Master Schritt 6.png
    Master Cluster Assistent Schritt 6
    Beispiel UTM an externem DSL-Modem


    Spare Cluster Assistent Schritt 1
    Spare Cluster Assistent Schritt 1
    Nun wird auf die Spare gewechselt
    • Hier wird ebenfalls der Clusterassistent unter Netzerk Clusterkonfiguration mit der Schaltfläche
      Cluster Assistent
      gestartet
    • Und anschließend wird die Spare Konfiguration gewählt
    UTM v14.0.0 Cluster Assistent Spare Schritt 1.png
    Spare Cluster Assistent Schritt 1
    Beispiel UTM an externem DSL-Modem


    Spare Cluster Assistent Schritt 2
    Spare Cluster Assistent Schritt 2
    • Anschließend kommt die Aufforderung den Cluster Assistent für die Master UTM bis zu Schritt 7 auszuführen
    • Wenn dies geschehen ist kann mit Schritt 3 weitergemacht werden
    UTM v14.0.0 Cluster Assistent Spare Schritt 2.png
    Spare Cluster Assistent Schritt 2
    Beispiel UTM an externem DSL-Modem


    Spare Cluster Assistent Schritt 3
    Spare Cluster Assistent Schritt 3
    Einstellung des Masters: [Master]
    Hotwire Interface: LAN3
    Remote UP adress: 192.168.180.3
    ...
    Hier müssen die Konfiguration der Master UTM eingefügt werden. Diese können in Schritt 7 des Master Cluster Assistenten kopiert werden. UTM v14.0.0 Cluster Assistent Spare Schritt 3.png
    Spare Cluster Assistent Schritt 3
    Beispiel UTM an externem DSL-Modem


    Spare Cluster Assistent Schritt 4
    Spare Cluster Assistent Schritt 4
  • Diese Werte sollten automatisch aus der Konfiguration des Masters übernommen worden sein. Wenn dies nicht der Fall ist, sollten beide Konfigurationen überprüft werden!
  • UTM v14.0.0 Cluster Assistent Spare Schritt 4.png
    Spare Cluster Assistent Schritt 4
    Beispiel UTM an externem DSL-Modem
    Lokale IP‑Adresse: 192.168.180.3/24 IP-Adresse der Spare-UTM
    Remote IP‑Adresse: 192.168.180.2/--- IP-Adresse der Hotwire-Gegenstelle (hier: Master-UTM)


    Spare Cluster Assistent Schritt 5
    Spare Cluster Assistent Schritt 5
  • Diese Werte sollten automatisch aus der Konfiguration des Masters übernommen worden sein. Wenn dies nicht der Fall ist, sollten beide Konfigurationen überprüft werden!
  • UTM v14.0.0 Cluster Assistent Spare Schritt 5.png
    Spare Cluster Assistent Schritt 5
    Beispiel UTM an externem DSL-Modem
    Passphrase: insecure Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll)
    Schlüssel der Gegenstelle: ssh-rsa AAAABNza... Der Schlüssel der Master-UTM für den verschlüsselten Datenaustausch


    Spare Cluster Assistent Schritt 6
    Spare Cluster Assistent Schritt 6
    Einstellung für den Master: [Spare]
    Local SSH Key: ssh-rsa AAAAB3Nza...
    Diese Konfigurationen müssen bei der Konfiguration des Masters eingefügt werden. Dazu können sie mithilfe der Schaltfläche in die Zwischenablage kopiert werden. UTM v14.0.0 Cluster Assistent Spare Schritt 6.png
    Spare Cluster Assistent Schritt 6
    Beispiel UTM an externem DSL-Modem


    Master Cluster Assistent Schritt 7
    Master Cluster Assistent Schritt 7
  • Es wird wieder zur Master gewechselt!
  • UTM v14.0.0 Cluster Assistent Master Schritt 7.png
    Master Cluster Assistent Schritt 7
    Beispiel UTM an externem DSL-Modem
    Einstellung der Spare: [Spare]
    Local SSH Key: ssh-rsa AAAAB3Nza...
    Hier müssen die Konfiguration der Spare UTM eingefügt werden. Diese können in Schritt 6 des Spare Cluster Assistenten kopiert werden.


    Master Cluster Assistent Schritt 8
    Master Cluster Assistent Schritt 8
  • Es wird wieder zur Master gewechselt!
  • UTM v14.0.0 Cluster Assistent Master Schritt 8.png
    Master Cluster Assistent Schritt 8
    Beispiel UTM an externem DSL-Modem
    Schlüssel der Gegenstelle: ssh-rsa AAAAB3Nza... Der Schlüssel der Spare-UTM für den verschlüsselten Datenaustausch.
  • Dieser Werte sollten automatisch aus der Konfiguration der Spare übernommen worden sein. Wenn dies nicht der Fall ist, sollten beide Konfigurationen überprüft werden!


  • Master & Spare Cluster Assistent Abschluss
    Master & Spare Cluster Assistent Abschluss
    • Nun kann auf beiden UTMs der Cluster Assistent mit Fertig abgeschlossen werden
    UTM v14.0.0 Cluster Assistent Master Schritt 9.png
    Master Cluster Assistent Schritt 9
    Beispiel UTM an externem DSL-Modem
    UTM v14.0.0 Cluster Assistent Spare Schritt 7.png
    Spare Cluster Assistent Schritt 7
    Beispiel UTM an externem DSL-Modem

    Status der Clusterkonfiguration
    Master Netzwerk Clusterkonfiguration  Bereich Schnittstellen
    LAN2 Schnittstelle benutzt für High Availability Virtuelle IP 192.168.200.1/24
    IP-Adresse: 192.168.12.141/24
    Clusterkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 2.png
    Master Clusterkonfiguration
    Beispiel UTM an externem DSL-Modem
    LAN3 Schnittstelle wird benutzt als Hotwire IP-Adresse 192.168.180.2/24
    wan0 Schnittstelle ist beim Backup deaktiviert
    Virtuelle IP-Adressen 192.168.200.1/24 Diese Adresse ist nur auf dem jeweils aktiven Gerät Master verfügbar
    Remote IP-Adressen 192.168.180.3 Adressen weiterer Geräte im Cluster



    Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle befinden.
    Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der
    Speichern
    Schaltfläche.
    Synchronisationsstatus: pending Der Synchronisationsstatus sollte nun von error (rot) zu pending (gelb) wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. notempty
    Neu ab v12.8.0
    Außerdem ist dieser Status an Folgendem zu erkennen: Hinweis im Header "nicht synchronisiert", Warnzeichen im Seitenmenü, Hinweis beim Aufrufen des Admin-Webinterfaces der Master-UTM
    UTM v12.8.0 Cluster Master nicht synchronisiert Hinweis.png
    .
  • Die Statusanzeige wird in bestimmten Intervallen aktualisiert. In dem Reiter Schnittstellen kann die Anzeige mit der Schaltfläche manuell aktualisiert werden.
  • Die Syncronisation des Clusters muss immer manuell erfolgen
    unter Netzwerk Clusterkonfiguration  Bereich ManagementKonfiguration synchronisieren:
  • Informationen zu den Bereich Management lassen sich im Artikel Cluster Management finden.
  • Synchronisationsstatus: synchronized Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf synchronized (grün). Die beiden UTMs sind abgeglichen.
    Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.
    Die Cluster Priorität Netzwerk Clusterkonfiguration  Bereich Einstellungen der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt.
  • Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormalige Spare-UTM zum Master.
  • Clusterkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.1 Cluster Sync-Status gruen.png
    Spare
    Beispiel UTM an externem DSL-Modem


    Cluster aktivieren
    Master & Spare Netzwerk Clusterkonfiguration  Bereich Einstellungen
  • Externe Interfaces an das DSL-Modem anschließen
  • Clusterkonfiguration UTMbenutzer@firewall.name.fqdn (Aktiver Cluster)Netzwerk UTM v12.6.1 Cluster Ergebnis 1 master.png
    Master Status nach Aktivierung des Clusters
    Beispiel UTM an externem DSL-Modem

    Clusterkonfiguration UTMbenutzer@firewall.name.fqdn (Passiver Cluster)Netzwerk UTM v12.6.1 Cluster Ergebnis 1 spare.png
    Spare Status nach Aktivierung des Clusters
    Beispiel UTM an externem DSL-Modem
    Cluster: Ein
    Speichern
    Dieser Schritt muss auf beiden UTMs ausgeführt werden.
    Clusterstatus Auf der Master-UTM: Der Cluster ist nun in Betrieb und der Master des Clusters hat die virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface.
    Auf der Spare-UTM: Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund
    notempty
    Die Syncronisation des Clusters muss immer manuell erfolgen
    unter Netzwerk Clusterkonfiguration  Bereich ManagementKonfiguration synchronisieren:

    Sollte der Status nicht sofort aktualisiert werden, kann das auch hier wieder über die Schaltfläche zum Aktualisieren manuell ausgelöst werden.



    Beispiel Konfiguration 2: Externer Router

    • In diesem Beispiel wird eine Konfiguration mit einem externen Router beschrieben.
    • Der Router ist das Gateway zum Internet.
    • Eventuell wurde vom Provider ein öffentliches Netz zur Verfügung gestellt.
      In diesem Beispiel wird ein privates Netz verwendet. Die Vorgehensweise ist dann analog zum öffentlichen Netz.
    • Hier werden nun zwei HA-Schnittstellen konfiguriert.
      Eine für die interne und eine für die externe Schnittstelle.


    Netzwerkkonfiguration

    Erstes Mitglied des Clusters (UTM 1, Master)
    LAN1: Externe IP Adresse (zum Router) 192.168.175.102/24
    LAN2: Interne IP-Adresse: 192.168.12.141/24
    LAN3: Hotwire-IP-Adresse: 192.168.180.2/24

    Zweites Mitglied des Clusters (UTM 2, Spare)
    LAN1: Externe IP Adresse (zum Router) 192.168.175.103/24
    LAN2: Interne IP-Adresse: 192.168.12.142/24
    LAN3: Hotwire-IP-Adresse: 192.168.180.3/24


    Virtuelle IP-Adressen, die sich beide Mitglieder des Clusters teilen:
    Externe Schnittstellen (zum Router) 192.168.175.101/24.
    Interne Schnittstellen 192.168.200.1/24 | Diese IP ist das Standard-Gateway des internen Netzwerks.

    notempty
    Bei Verwendung des DHCP-Servers, darf die Virtuelle IP-Adresse nicht im gleichen Netz wie die physische IP Adresse der Schnittstelle sein.


    Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.


    Vorbereitungen

    Inbetriebnahme der UTMs
    • Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet
    • Zur Anmeldung auf der UTM wird bereits eine (Cluster-) Lizenz benötigt
    • Um eine Doppeleinwahl zu unterbinden, sollte das DSL-Modem nicht angeschlossen sein
    • Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse
    • Nach Abschluss des Assistenten werden die UTMs neu gestartet


    IP-Adressen der zukünftigen Hotwire-Schnittstellen
    Master Netzwerk Netzwerkkonfiguration LAN3 IP-Adressen:
    IP-Adressen: »192.168.180.2/24 Master In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt.
    Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.2/24.
    Ethernet-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN3 master.pngHotwire IP der Master

    Spare Netzwerk Netzwerkkonfiguration LAN3 IP-Adressen:
    IP-Adressen: »192.168.180.3/24 Spare Im Beispiel bekommt LAN3/A2 der Spare die IP-Adresse 192.168.180.3/24.


    Hotwire-Schnittstelle verbinden

    Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden.
    Diese muss auf den Maschinen den gleichen Port belegen - Bezeichnung je nach verwendeter Hard- und Software A2, eth2 oder LAN3.



    Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.1 Cluster Netzwerkschnittstellen Schnittstellen.png Beispiel Konfiguration 2: Externer Router Clusterkonfiguration Ausgangssituation

    Cluster-Konfiguration

    • Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität
    • Die höhere Priorität hat das aktive Gerät (Master), die niedrigere das Backup-System Spare
    • In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.12.141 Master sein
    • Login über das Webinterface mit dieser IP und dem Port für Administration (Default: 11115)
    Master-UTM
    Cluster-Konfiguration
    Start des Cluster-Setup-Wizard unter Master Netzwerk Clusterkonfiguration Schaltfläche
    Cluster Assistent
    Master Cluster Assistent Schritt 1
    Master Cluster Assistent Schritt 1
    • Es wird mit der Master Konfiguration begonnen
    Cluster Assistent UTMbenutzer@firewall.name.fqdnNetzwerkClusterkonfiguration UTM v14.0.0 Cluster Assistent Master Schritt 1.png
    Master Cluster Assistent Schritt 1
    Beispiel UTM an externem Router


    Master Cluster Assistent Schritt 2
    Master Cluster Assistent Schritt 2
    Hotwire Schnittstelle: LAN3
  • Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden!
  • UTM v14.0.0 Cluster Assistent Master Schritt 2.png
    Master Cluster Assistent Schritt 2
    Beispiel UTM an externem Router
    Lokale IP‑Adresse:
    Nur wenn Schnittstelle ohne IP gewählt
    192.168.180.2/24 IP-Adresse der Master-UTM
    Remote IP‑Adresse: 192.168.180.3/--- IP-Adresse der Hotwire-Gegenstelle (Spare-UTM)


    Master Cluster Assistent Schritt 3
    Master Cluster Assistent Schritt 3
    Schnittstelle: LAN2 Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. UTM v14.0.0 Cluster Assistent Master Schritt 3.png
    Master Cluster Assistent Schritt 3
    Beispiel UTM an externem Router
    Virtuelle IP‑Adresse:
    Nur wenn Schnittstelle ohne IP gewählt
    192.168.200.1/24 Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen.
  • Bei Verwendung der UTM als DHCP-Server darf die virtuelle IP-Adresse nicht in der gleichen Broadcast Domain liegen, in der die Master- und Spare-UTM sind.
    Der DHCP-Server würde sich sonst beim Fallback auf die physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.
  • Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden.


  • Master Cluster Assistent Schritt 4
    Master Cluster Assistent Schritt 4
    Deaktivierte Schnittstellen während das Gerät im Backup Modus ist:
       
    Schnittstellen, die auf dem Backup-System, der Spare-UTM, nicht hochgefahren werden. In dieser Konfiguration ist das nicht erforderlich UTM v14.0.0 Cluster Assistent Master Schritt 4b.png
    Master Cluster Assistent Schritt 4
    Beispiel UTM an externem Router


    Master Cluster Assistent Schritt 5
    Master Cluster Assistent Schritt 5
    Deaktivierte Anwendungen während das Gerät im Backup Modus ist:Clientless VPN DHCP Server Greylisting Filter HTTP Proxy IPSEC L2TP VPN Mailrelay POP3 Proxy Routing Daemon SPF Filter SSL-VPN Spamfilter WLAN ServerDefault Hier sind Anwendungen aufgeführt, die per Default deaktiviert sein sollen, sofern sich die Spare-UTM im Backup-Modus befindet.
    Gegebenenfalls lässt sich Wireguard im Clusterbetrieb nicht nutzen, wenn die Spare z.B. durch eine öffentliche Management-IP einen Weg Richtung Wireguard-Peer hat. In diesem Fall baut sich der Wireguard-Tunnel zum Peer auf und es besteht ein Tunnel zwischen Spare und dem Wireguard Peer. Das kann mit folgendem Befehl verhindert werden:
    interface set name wg0 flags "DISABLED_IF_SPARE" (wenn dass Interface wg0 ist)
    Wurde die Verbindung mit einer Version ab v12.4.0 erstellt, passiert dies automatisch.
    UTM v14.0.0 Cluster Assistent Master Schritt 5.png
    Master Cluster Assistent Schritt 5
    Beispiel UTM an externem Router


    Master Cluster Assistent Schritt 6
    Master Cluster Assistent Schritt 6
    Passphrase: insecure Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) UTM v14.0.0 Cluster Assistent Master Schritt 6.png
    Master Cluster Assistent Schritt 6
    Beispiel UTM an externem Router


    Master Cluster Assistent Schritt 7
    Master Cluster Assistent Schritt 7
    Einstellung für die Spare: [Master]
    Hotwire Interface: LAN3
    Remote UP adress: 192.168.180.3
    ...
    Diese Konfigurationen müssen bei der Konfiguration der Spare eingefügt werden. Dazu können sie mithilfe der Schaltfläche in die Zwischenablage kopiert werden. UTM v14.0.0 Cluster Assistent Master Schritt 7.png
    Master Cluster Assistent Schritt 7
    Beispiel UTM an externem Router


    Spare Cluster Assistent Schritt 1
    Spare Cluster Assistent Schritt 1
    Nun wird auf die Spare gewechselt
    • Hier wird ebenfalls der Clusterassistent unter Netzerk Clusterkonfiguration mit der Schaltfläche
      Cluster Assistent
      gestartet
    • Und anschließend wird die Spare Konfiguration gewählt
    UTM v14.0.0 Cluster Assistent Spare Schritt 1.png
    Spare Cluster Assistent Schritt 1
    Beispiel UTM an externem Router


    Spare Cluster Assistent Schritt 2
    Spare Cluster Assistent Schritt 2
    • Anschließend kommt die Aufforderung den Cluster Assistent für die Master UTM bis zu Schritt 7 auszuführen
    • Wenn dies geschehen ist kann mit Schritt 3 weitergemacht werden
    UTM v14.0.0 Cluster Assistent Spare Schritt 2.png
    Spare Cluster Assistent Schritt 2
    Beispiel UTM an externem Router


    Spare Cluster Assistent Schritt 3
    Spare Cluster Assistent Schritt 3
    Einstellung des Masters: [Master]
    Hotwire Interface: LAN3
    Remote UP adress: 192.168.180.3
    ...
    Hier müssen die Konfiguration der Master UTM eingefügt werden. Diese können in Schritt 7 des Master Cluster Assistenten kopiert werden. UTM v14.0.0 Cluster Assistent Spare Schritt 3.png
    Spare Cluster Assistent Schritt 3
    Beispiel UTM an externem Router


    Spare Cluster Assistent Schritt 4
    Spare Cluster Assistent Schritt 4
  • Diese Werte sollten automatisch aus der Konfiguration des Masters übernommen worden sein. Wenn dies nicht der Fall ist, sollten beide Konfigurationen überprüft werden!
  • UTM v14.0.0 Cluster Assistent Spare Schritt 4.png
    Spare Cluster Assistent Schritt 4
    Beispiel UTM an externem Router
    Lokale IP‑Adresse: 192.168.180.3/24 IP-Adresse der Spare-UTM
    Remote IP‑Adresse: 192.168.180.2/--- IP-Adresse der Hotwire-Gegenstelle (hier: Master-UTM)


    Spare Cluster Assistent Schritt 5
    Spare Cluster Assistent Schritt 5
  • Diese Werte sollten automatisch aus der Konfiguration des Masters übernommen worden sein. Wenn dies nicht der Fall ist, sollten beide Konfigurationen überprüft werden!
  • UTM v14.0.0 Cluster Assistent Spare Schritt 5.png
    Spare Cluster Assistent Schritt 5
    Beispiel UTM an externem Router
    Passphrase: insecure Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll)
    Schlüssel der Gegenstelle: ssh-rsa AAAABNza... Der Schlüssel der Master-UTM für den verschlüsselten Datenaustausch


    Spare Cluster Assistent Schritt 6
    Spare Cluster Assistent Schritt 6
    Einstellung für den Master: [Spare]
    Local SSH Key: ssh-rsa AAAAB3Nza...
    Diese Konfigurationen müssen bei der Konfiguration des Masters eingefügt werden. Dazu können sie mithilfe der Schaltfläche in die Zwischenablage kopiert werden. UTM v14.0.0 Cluster Assistent Spare Schritt 6.png
    Spare Cluster Assistent Schritt 6
    Beispiel UTM an externem Router


    Master Cluster Assistent Schritt 8
    Master Cluster Assistent Schritt 8
  • Es wird wieder zur Master gewechselt!
  • UTM v14.0.0 Cluster Assistent Master Schritt 8.png
    Master Cluster Assistent Schritt 8
    Beispiel UTM an externem Router
    Einstellung der Spare: [Spare]
    Local SSH Key: ssh-rsa AAAAB3Nza...
    Hier müssen die Konfiguration der Spare UTM eingefügt werden. Diese können in Schritt 6 des Spare Cluster Assistenten kopiert werden.


    Master Cluster Assistent Schritt 9
    Master Cluster Assistent Schritt 9
  • Es wird wieder zur Master gewechselt!
  • UTM v14.0.0 Cluster Assistent Master Schritt 9.png
    Master Cluster Assistent Schritt 9
    Beispiel UTM an externem Router
    Schlüssel der Gegenstelle: ssh-rsa AAAAB3Nza... Der Schlüssel der Spare-UTM für den verschlüsselten Datenaustausch.
  • Dieser Werte sollten automatisch aus der Konfiguration der Spare übernommen worden sein. Wenn dies nicht der Fall ist, sollten beide Konfigurationen überprüft werden!


  • Master & Spare Cluster Assistent Abschluss
    Master & Spare Cluster Assistent Abschluss
    • Nun kann auf beiden UTMs der Cluster Assistent mit Fertig abgeschlossen werden
    UTM v14.0.0 Cluster Assistent Master Schritt 10.png
    Master Cluster Assistent Schritt 10
    Beispiel UTM an externem Router
    UTM v14.0.0 Cluster Assistent Spare Schritt 7.png
    Spare Cluster Assistent Schritt 7
    Beispiel UTM an externem Router

    Status der Clusterkonfiguration
    Master Netzwerk Clusterkonfiguration  Bereich Schnittstellen
    LAN1 (Schnittstelle ist noch nicht für HA konfiguriert) IP-Adresse 192.168.175.102/24 Clusterkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 3.png
    Master Clusterkonfiguration
    Beispiel UTM an externem Router
    LAN2 Schnittstelle benutzt für High Availability Virtuelle IP 192.168.200.1/24
    IP-Adresse: 192.168.12.141/24
    LAN3 Schnittstelle wird benutzt als Hotwire IP-Adresse 192.168.180.2/24
    Virtuelle IP-Adressen 192.168.200.1/24 Diese Adresse ist nur auf dem jeweils aktiven Gerät Master verfügbar
    Remote IP-Adressen 192.168.180.3 Adressen weiterer Geräte im Cluster
    Clusterstatus offline Der Clusterstatus zeigt offline (schwarz) an, weil der Cluster noch nicht auf aktiv geschaltet ist
    Synchronisationsstatus: error Der Synchronisationsstatus zeigt error' (rot), weil die Gegenstelle nicht erreichbar ist




    Wechsel auf Master Netzwerk Clusterkonfiguration  Bereich Einstellungen
    SSH‑Schlüssel der Gegenstelle: ssh-rsa
    AAAAB3Nz […] Q1/k=
    root@spare.cluster.local
    Public-Key der Spare-UTM aus der Zwischenablage einfügen.
    Auf der Master-UTM entspricht die Spare-UTM der Gegenstelle

    Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle befinden.
    Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der
    Speichern
    Schaltfläche.
    Synchronisationsstatus: pending Der Synchronisationsstatus sollte nun von error (rot) zu pending (gelb) wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. notempty
    Neu ab v12.8.0
    Außerdem ist dieser Status an Folgendem zu erkennen: Hinweis im Header "nicht synchronisiert", Warnzeichen im Seitenmenü, Hinweis beim Aufrufen des Admin-Webinterfaces der Master-UTM
    UTM v12.8.0 Cluster Master nicht synchronisiert Hinweis.png
    .
  • Die Statusanzeige wird in bestimmten Intervallen aktualisiert. In dem Reiter Schnittstellen kann die Anzeige mit der Schaltfläche manuell aktualisiert werden.
  • Die Syncronisation des Clusters muss immer manuell erfolgen
    unter Netzwerk Clusterkonfiguration  Bereich ManagementKonfiguration synchronisieren:
  • Externe Schnittstelle auf HA-Betrieb konfigurieren
    Master & Spare Netzwerk Clusterkonfiguration LAN1
    Name: LAN1 Externe Schnittstelle zum Router Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkClusterkonfiguration UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN1.png
    Master & Spare
    Beispiel UTM an externem Router
    Verwendung: Schnittstelle für High Availability benutzen Hochverfügbarkeit konfigurieren
    Virtuelle IP-Adressen: »192.168.175.101/24 Virtuelle IP-Adresse aus dem Netz des Routers
  • Identisch für Master und Spare

  • Informationen zu den Bereich Management lassen sich im Artikel Cluster Management finden.
  • Synchronisationsstatus: synchronized Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf synchronized (grün). Die beiden UTMs sind abgeglichen.
    Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.
    Die Cluster Priorität Netzwerk Clusterkonfiguration  Bereich Einstellungen der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt.
  • Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormalige Spare-UTM zum Master.
  • Clusterkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.1 Cluster Sync-Status gruen.png
    Spare
    Beispiel UTM an externem Router


    Cluster aktivieren
    Master & Spare Netzwerk Clusterkonfiguration  Bereich Einstellungen
    Cluster Ein
    Speichern
    Dieser Schritt muss auf beiden UTMs ausgeführt werden. Clusterkonfiguration UTMbenutzer@firewall.name.fqdn (Aktiver Cluster)Netzwerk UTM v12.6.1 Cluster Ergebnis 1 master.png
    Master Status nach Aktivierung des Clusters
    Beispiel UTM an externem Router
    Clusterkonfiguration UTMbenutzer@firewall.name.fqdn (Passiver Cluster)Netzwerk UTM v12.6.1 Cluster Ergebnis 1 spare.png
    Spare Status nach Aktivierung des Clusters
    Beispiel UTM an externem Router
    Clusterstatus Auf der Master-UTM: Der Cluster ist nun in Betrieb und der Master des Clusters hat die virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface.
    Auf der Spare-UTM: Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund
    notempty
    Die Syncronisation des Clusters muss immer manuell erfolgen
    unter Netzwerk Clusterkonfiguration  Bereich ManagementKonfiguration synchronisieren:


    NAT in der Cluster-Konfiguration

    In der beschriebenen Konstellationen mit externen HA-Schnittstellen ist es sinnvoll die NAT Einstellungen anzupassen.
    Die Ausfallzeit des Clusters wird reduziert, da keine neue IP-Adressen für die Kommunikation vergeben werden müssen.

    Wir beziehen uns hier auf das Beispiel »Cluster Konfiguration: Externer Router«.
    Die externe virtuelle IP-Adresse des Clusters ist in der selben Broadcast Domain wie die externen IP-Adressen der Schnittstellen.
    Die Standardroute der UTMs zeigt auf den Router der die Internet Verbindung herstellt.

    tcpdump auf master.cluster.local
    Externe IP UTM 1 Master 192.168.175.102/24
    Externe IP UTM 2 Spare 192.168.175.103/24
    Virtuelle IP Cluster  Cluster 192.168.175.101/24
    IP des Routers 192.168.175.1/24


    Um das zu ändern wird im Menü Master Firewall Netzwerkobjekte ein neues Objekt mit der virtuellen IP-Adresse auf dem Cluster Interface erstellt. Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdn (Aktiver Cluster)FirewallNetzwerkobjekte UTM v12.6.1 Cluster Netzwerkobjekt HA.png
    Master
    Anschließend wird unter Master Firewall Paketfilter die entsprechende HideNAT-Regel bearbeitet. Regel bearbeiten UTMbenutzer@firewall.name.fqdn (Aktiver Cluster)FirewallPaketfilter UTM v12.6.1 Cluster Regel bearbeiten HN-HA.png
    Master
    • Das Objekt external-interface wird durch das gerade erstellte Objekt HA-Externe-IP ersetzt.
    • Speichern und schließen
    • Regel aktualisieren
    • Master Netzwerk Clusterkonfiguration  Bereich ManagementKonfiguration synchronisieren:


    UTM v11.8.7 Cluster tcpdump2.png
    tcpdump

    Wird der Ping-Test jetzt wiederholt, wird die Cluster-IP 192.168.175.101 verwendet.

  • Wenn der Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse geNATet.
    Der Ping muss unterbrochen werden. Nach frühestens 30 Sekunden kann der Ping dann neu gestartet werden.

  • notempty
    Für NAT Einstellungen müssen immer eindeutige IP-Adressen in den Netzwerkobjekten benutzt werden, wenn das NAT über ein HA-Interface konfiguriert wird.
    Das gilt nicht nur für HideNATs sondern auch Portweiterleitungen bzw. Destination NATs.


    Applikationen in der Cluster-Konfiguration

    Mailrelay UTMbenutzer@firewall.name.fqdnAnwendungen Mailrelay Log UTM v12.6.1 Cluster Mailfilter.png

    Anwendungen verwenden IP-Adressen, um sich bei anderen Servern zu identifizieren.
    Es ist bei einigen Anwendungen möglich, dafür die Cluster-IP festzulegen.

    Beispielhaft wird das hier für das Mailrelay gezeigt.

    Es sollen E-Mails über das Mailrelay der UTMs verschickt und empfangen werden.
    Dazu wurden entsprechende PTR, A, MX Records und SPF Einträge in den TXT Records der Domain gemacht, die auf die externe virtuelle IP-Adresse des Clusters zeigen.

  • Diese IP-Adressen müssen natürlich vom Router, der den Internetzugang in das eigene Netz weiterleitet, geroutet werden.
    Damit das Mailrelay nun auch E-Mails über diese virtuelle IP verschickt, muss in der Applikation die ausgehende IP-Adresse korrekt eingestellt werden. In unserem Fall die virtuelle IP 192.168.175.101
  • Speichern

    Anschließend muss die Cluster Konfiguration erneut synchronisiert werden.

    Netzwerk Clusterkonfiguration  Bereich ManagementKonfiguration synchronisieren:

  • Das Mailrelay kommuniziert jetzt immer mit der virtuellen IP-Adresse 192.168.175.101. Auch der interne Mailserver wird mit dieser IP als Absender kontaktiert. Das muss bei der Konfiguration des Mailservers berücksichtigt werden, sollte dieser nur SMTP-Verbindungen von bestimmten IPs akzeptieren.



  • Kommunikation von Applikationen, die auf der Firewall laufen

    Alle Applikationen, die von der Firewall selber eine Verbindung aufbauen, verwenden dafür (sofern nicht anders konfiguriert) die primären IPs der Schnittstellen. Sollten Management-IPs aus der gleichen Broadcast-Domäne verwendet werden, sind diese primären IPs nicht die virtuellen IP-Adressen.


    Syslog

    Syslog-Nachrichten werden von der Management-IP der Master verschickt, wenn diese die aktive Maschine im Cluster ist, und von der Management-IP der Spare wenn diese aktiviert wurde.


    Http-proxy

    Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese im Menü Anwendungen HTTP-Proxy  Bereich AllgemeinAusgehende IP-Adresse angegeben werden.


    Mailrelay

    Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese im Menü Anwendungen HTTP-Proxy  Bereich AllgemeinAusgehende IP-Adresse angegeben werden.


    RADIUS-/LDAP-/AD-Anbindung

    Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem Ziel-Server jeweils die Management-IPs beider Geräte freigegeben werden.


    IPSec

    Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld „Local Gateway“ eine der virtuellen IPs fest eingetragen ist.
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1Allgemein Local Gateway 192.168.175.101


    SSL-VPN Server

    In allen SSL-VPN-Server-Instanzen muss die Option Multihome aktiviert werden:
    VPN SSL-VPN  Schaltfläche Erweitert Multihome: Ein


    Kommunikation mit Applikationen, die auf anderen Geräten laufen

    SSL-VPN Clients

    Alle SSL-VPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Dazu sind folgende CLI-Befehle erforderlich:

    Bedeutung
    master.cluster.local> openvpn get Ermittelt die ID der SSL-VPN-Verbindung
    master.cluster.local> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT> Setzt die lokale Adresse
    master.cluster.local> appmgmt restart application openvpn Aktiviert die Einstellungen
    Beispiel
    master.cluster.local> openvpn get
    [...]
    master.cluster.local> openvpn set id <1> local_addr <192.168.175.101> local_port <20000>
    master.cluster.local> appmgmt restart application openvpn
    Beispiel


    POP3 Proxy

    Der POP3-Proxy kommuniziert immer mit der Management-IP, sofern diese in der gleichen Broadcast-Domain wie das Default-Gateway ist. Dies ist bei der Beschränkung des Zugriffs auf POP3-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


    Clientless VPN

    Verbindungen zu RDP/VNC-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf RDP/VNC-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


    Nameserver

    Verbindungen zu DNS-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf DNS-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


































    CLI Befehle

    Im folgenden werden Befehle für das Securepoint CLI beschrieben.

    CLI Befehl Ausgabe Beschreibung
    cli> cluster info
    cluster_state
    ∣master
    backup
     none
    Der Cluster State gibt an wer im Cluster gerade Master oder Backup ist oder ob der Cluster überhaupt aktiv ist. Die Ausgabe bezieht sich immer auf die Maschine, auf der dieser Befehl ausführt wird.
    sync_state
    ∣synchronized
    pending
     error
    Gibt an, in welchem Zustand sich die Konfiguration befindet. Dabei bedeutet synchronized, das sie auf beiden UTMS des Clusters gleich ist. Der Zustand „pending“ bedeutet, die UTMs haben einen unterschiedlichen Stand. In beiden Fällen können die Mitglieder miteinander kommunizieren. Der Zustand „error“ weist darauf hin das sie keine Daten austauschen können. Das könnte der Fall sein, wenn kein Hotwire Interface konfiguriert ist, die Verkabelung nicht korrekt ist, die SSH Keys nicht ausgetauscht wurden, oder falsche SSH Keys verwendet werden.
    hotwire_dev
    ∣ethx
    Gibt das Interface an, auf dem das Hotwire Interface konfiguriert ist.
    cli> system config save name <Name der Konfiguration> Falls in der CLI eine Konfigurationsänderung durchgeführt wurde, muss diese erst lokal gespeichert werden. Erst dann wird eine Synchronisierung des Clusters übertragen.
    cli> system config synchronize Durch diesen Befehl kann die jeweilige Start-Konfiguration über die Hotwire Schnittstelle an den Cluster Partner übertragen werden.
    Dabei wird die Konfiguration von der UTM verwendet, auf der der Befehl ausgeführt wird.
    Ein Artikel zu den system-Befehlen findet sich hier.
    cli> extc value get application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" Value ∣2 Zeigt den Delay in Sekunden an, bevor im Fehlerfall, von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden.
    cli> extc value set application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" value 2 OK Verändert den Delay, für den Fehlerfall, das von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden und sollte nicht niedriger eingestellt werden. Falls die Appliances im Cluster eine hohe Grundlast haben sollten, kann der Wert höher eingestellt werden.
    Die Einstellung ist sofort aktiv und kann via system config synchronize auf den Partner übertragen werden.

    Wartungsmodus

    cli> cluster maintainance get value
    -----
    1
    bzw. value
    -----
    0
    Gibt aus ob der Wartungsmodus aktiv ist (1) oder nicht (0)
    cli> cluster maintainance set value "1"
    cli> system update interface
    OK Aktiviert den Wartungsmodus
    • Der Wartungsmodus dient dazu, kontrolliert auf die Spare umzuschalten und verhindert mehrfaches Umschwenken bei mehreren Einzelschritten (Update, IP-Adressen ändern etc.)
    • Die im Wartungsmodus zur Verfügung stehenden Dienste werden im Assistenten im Schritt 4 bzw. unter Netzwerk Clusterkonfiguration  Bereich Anwendungen konfiguriert
    • Die UTM ist im Wartungsmodus nicht über die virtuelle IP sondern nur über eine feste IP-Adresse erreichbar
    cli> cluster maintainance set value "0"
    cli> system update interface
    OK Deaktiviert den Wartungsmodus
    Master
    cli> cluster info
    attribute    |value
    -------------+-----
    cluster_state|backup
    sync_state   |synchronized
    hotwire_dev  |eth2 
    maintainance |true 
    Zustand während des gesetzten "Maintainance Mode" auf der Master
    Spare
    cli> cluster info
    attribute    |value
    -------------+-----
    cluster_state|master
    sync_state   |synchronized
    hotwire_dev  |eth2 
    maintainance |false
    Zustand während des gesetzten "Maintenance Mode" auf der Spare


    Einschränkungen

    DHCP-Client nicht mit HA-Schnittstelle kombinieren

  • Es darf kein HA Interface auf einem Ethernet oder VLAN Interface konfiguriert werden, wenn das Interface als DHCP Client konfiguriert wurde und die UTM dort eine IP-Adresse dynamisch zugewiesen bekommt.
    Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt.
  • DHCP-Server in einer Clusterumgebung

  • Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen Broadcast Domain der anderen IP-Adressen liegen.
    Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. Siehe: Cluster Konfiguration Schritt 2