KKeine Bearbeitungszusammenfassung |
K 1 Version importiert |
||
| (56 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{ | {{Lang}} | ||
{{ | {{#vardefine:headerIcon|spicon-utm}} | ||
{{var | Einrichtung | {{var | display | ||
| Cluster | |||
| }} | | Cluster }} | ||
{{var | head | |||
| Securepoint Cluster Konfiguration - Best Practice | |||
| Securepoint Cluster Configuration - Best Practice }} | |||
{{var | Netzwerk | |||
| Netzwerk | |||
| Network }} | |||
{{var | Clusterkonfiguration | |||
| Clusterkonfiguration | |||
| Cluster configuration }} | |||
{{var | Aktuelle Software | |||
| Aktuelle Software | |||
| Current software }} | |||
{{var | aktuell--desc | |||
| Es sollte immer die neueste Version der Software installiert werden. <br>Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten. | |||
| The latest version of the software should always be installed. <br>Only the latest version contains the latest features, security enhancements and error corrections. }} | |||
{{var | Einsatzgebiete | |||
| Einsatzgebiete | |||
| Fields of application }} | |||
{{var | Einsatzgebiete--desc | |||
| Durch Einsatz der UTM in einem Hot-Standby-Cluster kann eine Hochverfügbarkeit der UTM gewährleistet werden.<br> Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig. | |||
| High availability of the UTM can be ensured by using the UTM in a hot standby cluster.<br> The UTMs within the cluster monitor each other and, if necessary, automatically switch to the device with the best status. Intervention by the administrator is not necessary. }} | |||
{{var | Abb | |||
| Abb.: | |||
| Fig.: }} | |||
{{var | Einrichtung | |||
| Einrichtung | |||
| Installation }} | |||
{{var | Einrichtung--desc | |||
| Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.<br> Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.<br> Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP. | |||
| When setting up the UTM cluster, two UTMs with identical firmware are connected via a Hotwire interface. The installation with the "Cluster Setup Wizard" is performed on the ''Original UTM'', which will be the MASTER in the newly created cluster. This UTM will be used to synchronize the configuration. On the ''Spare UTM'', which will be the BACKUP in the cluster, the Hotwire interface is defined and an SSH key is generated during installation. The SSH key of the MASTER is also entered on the spare UTM.<br> The active UTM in the cluster, has the higher priority and is called the MASTER.<br> The UTM with the lower priority, the passive UTM, is the BACKUP. }} | |||
{{var | Voraussetzungen | |||
| Voraussetzungen | |||
| Requirements }} | |||
{{var | Voraussetzungen--desc | |||
| Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig: | |||
| The following requirements are necessary for cluster operation: }} | |||
{{var | Voraussetzungen--cluster-lizenz | |||
| '''Eine Cluster-<u>Master</u>-Lizenz'''<br>'''Eine Cluster-<u>Spare</u>-Lizenz'''<br> <p>Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die '''zwei unterschiedliche Lizenzen''' beinhaltet und die im [https://my.securepoint.de/login Securepoint Reseller Portal] beantragt werden kann.</p> <p>Endkunden wenden sich bitte an Ihren [https://www.securepoint.de/partner/partnerprogramm.html autorisierten Securepoint Reseller.]</p> | |||
| '''One Cluster-<u>Master</u> license'''<br>'''One cluster <u>Spare</u> license'''<br> <p>To configure and operate the UTM cluster, a valid cluster license is required, which contains '''two different licenses''' and which can be applied for in the [https://my.securepoint.de/login Securepoint Reseller Portal].</p> <p>End customers should contact their [https://www.securepoint.de/partner/partnerprogramm.html authorized Securepoint reseller].</p> }} | |||
{{var | Voraussetzungen--cluster-lizenz--Hinweis | |||
| Die Menüpunkte zur Cluster-Konfiguration sind sichtbar, sobald eine Cluster-Lizenz eingespielt ist. | |||
| The menu items for cluster configuration are visible as soon as a cluster license is installed. }} | |||
{{var | Voraussetzungen--hardware | |||
| '''Zwei identische Appliances<sup>*</sup> mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br> <p>Im kleinsten Szenario sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p> <p><small>* Der Betrieb einer RC300 G3 und einer RC340 G3 in einem gemeinsamen Cluster ist freigegeben. Andere Konstellationen werden nicht unterstützt.</small> | |||
| '''Two identical appliances<sup>*</sup> with at least 3 Ethernet interfaces and the same firmware'''<br> <p>In the smallest scenario there is one input interface (internal LAN) and one output interface (external LAN) as well as the third free interface. This interface, also referred to as the Hotwire interface in the following, is required for configuration adjustment and connection tracking. It cannot take over any other network function.</p> }} | |||
{{var | Voraussetzungen--software | |||
| '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br> <p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br> Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren. | |||
| '''The used switches and routers support ''gratuitous ARP'''''<br> <p>If there is a master/backup change in the UTM cluster, the now active UTM sends ''gratuitous ARP'' packets to its environment to announce the new MAC address.<br> If the switches or routers do not support this function, they can only communicate via the active UTM with a delay.</p> }} | |||
{{var | funktionsweise | |||
| Funktionsweise des Clusters | |||
| Functionality of the cluster }} | |||
{{var | funktionsweise--desc | |||
| | |||
* Der Cluster verwendet '''eindeutige IP- und MAC-Adressen''' für die beiden Mitglieder des Clusters sowie '''virtuelle IP-Adressen''' für den Cluster selber | |||
* Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv | |||
* Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters | |||
* Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing <!-- (also zum Beispiel das Standard Gateway, siehe Abb. 1.2)--> | |||
| The cluster uses '''unique IP and MAC addresses''' for the two members of the cluster and '''virtual IP addresses''' for the cluster itself. The virtual IP addresses are only active on the active member of the UTM cluster. If the active member of the cluster fails completely or partially, the virtual IP addresses change to the second member of the cluster.<br> For the clients and servers in a cluster configuration, the virtual IP address is the communication partner in the routing (e.g. the standard gateway, see Fig. 1.2). }} | |||
{{var | cluster-protokoll | |||
| Das Cluster VRR Protokoll | |||
| The Cluster VRR Protocol }} | |||
{{var | cluster-protokoll--desc | |||
| <p>VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als {{hover|HA-|High-Availability}}Schnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.</p> <p>Mit Hilfe von '''tcpdump''' kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)</p> <p>Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.</p> | |||
| <p>VRRP (Virtual Router Redundancy Protocol) is the communication protocol of the cluster. It is only active on interfaces that are configured as {{hover|HA-|High-Availability}} interfaces. The master of the UTM cluster sends data packets to the backup via this protocol. If the backup does not receive any data packets, it upgrades itself to the master.</p> <p> Using '''tcpdump''' the protocol can be made visible on a HA interface (see figure)</p> <p>No special firewall rules are required to enable communication with the VRR protocol.</p> }} | |||
{{var | Umschalten | |||
| Umschalten des Clusters | |||
| Switching the cluster }} | |||
{{var | Umschalten--desc | |||
| Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus: | |||
* Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren. | |||
* Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr. | |||
* Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an. | |||
* Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.<br> | |||
Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master. | |||
| The following states or events trigger a switchover within the cluster: | |||
* The active member of a cluster is restarted or shut down completely. | |||
* One or more HA interfaces no longer have a physical link. | |||
* The link of an HA interface is active, but due to a defective or incorrectly configured switch, the VRRP packets do not arrive at the cluster partner. | |||
* The cluster function is deactivated on the active cluster partner by the administrator.<br> | |||
If more than two HA interfaces are activated, it is possible that a different number of HA interfaces may no longer be able to communicate in the event of an error. In this case, the UTM on which most interfaces have a link will become the active member as long as the UTMs still see each other via at least one HA interface. If the UTMs no longer see each other on any interface, both assume that the second member of the cluster no longer exists and both become the master. }} | |||
{{var | Umschalten--tabelle | |||
| Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen: | |||
| Table, behavior in the cluster, example two HA interfaces: }} | |||
{{var | HA-Schnittstelle | |||
| HA-Schnittstelle | |||
| HA interface }} | |||
{{var | Aktiv | |||
| Aktiv | |||
| Active }} | |||
{{var | Passiv | |||
| Passiv | |||
| Passive }} | |||
{{var | Umschalten--tabelle--desc | |||
| Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt. | |||
| Please note that UTM-1 has a higher priority than UTM-2. If the state in the table is active and marked as red, this means that the two members of the cluster no longer see each other and assume that the respective other partner is no longer present. Both members of the cluster are then active. However, network communication is then generally no longer possible because the problem is in the environment. }} | |||
{{var | Fallback | |||
| Fallback im Cluster | |||
| Fallback in a cluster }} | |||
{{var | 1=Fallback--desc | |||
| 2=Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die <i class="host utm">Spare</i> aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen <i class="host utm">Master</i> zurückgeben. <br>Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der <i class="host utm">Master</i> wird aktiv. | |||
| 3=If a fallback is configured at the same time and a failed ping check triggers the switch to the <i class="host utm">Spare</i> and this also registers a failed ping check, it will return the master to the original <i class="host utm">Master</i>. <br> Here now the priority decides, because both machines are equally affected and the fallback of the <i class="host utm">Master</i> becomes active. }} | |||
{{var | Hotwire-Schnittstelle | |||
| Hotwire Schnittstelle | |||
| Hotwire interface: }} | |||
{{var | Hotwire-Schnittstelle--desc | |||
| Die Hotwire-Schnittstelle ist eine exklusive Schnittstelle, die nur zum Synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Diese Schnittstelle hat ''exklusiv'' diese Aufgabe. Bei der Auswahl der Appliances muss darauf geachtet werden, daß für das Hotwire-Netz jeweils eine Schnittstelle frei sein muss.<br>Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection-Tracking wird über den Port 3780 (UDP) abgeglichen. Ist eine Ethernet-Schnittstelle als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des UTM-Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Mitgliedern des Clusters erfolgen. Das Connection-Tracking wird immer automatisch vom Master im Cluster zum Backup übertragen (Abb. 1.3). | |||
| The Hotwire interface is an exclusive interface that is only used to synchronize the configuration of the cluster members and to synchronize the running connections (connection tracking). This interface has this task ''exclusively''. When selecting the appliances, it must be ensured that one interface is free for the Hotwire network in each case.<br>The SSH protocol (TCP/22) is used to synchronize the configuration. The connection tracking is synchronized via port 3780 (UDP). If an Ethernet interface is marked as Hotwire, the rules for communication are generated automatically. For the SSH connection, public keys must be exchanged between the members of the UTM cluster. The configuration can be synchronized in both directions between the members of the cluster. The connection tracking is always automatically transferred from the master in the cluster to the backup (Fig. 1.3). }} | |||
{{var | Hotwire-Schnittstelle--hinweis | |||
| Die Hotwire-Verbindung soll immer über eine direkte Kabelverbindung erfolgen (kein Switch etc. dazwischen). <br>Es muss sichergestellt werden, dass niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem synchronisiert werden soll. | |||
| The Hotwire connection should always be a direct cable connection (no switch etc. in between). <br>It must be ensured that nobody is administratively using the member of the cluster to which the synchronization is to be made at the time. }} | |||
{{var | Konfiguration-abgleichen | |||
| Konfiguration abgleichen | |||
| Adjusting the configuration }} | |||
{{var | Konfiguration-abgleichen--desc | |||
| Über die Hotwire-Schnittstelle wird die jeweilige Start-Konfiguration synchronisiert. Änderungen, die auf einer Maschine im Cluster gemacht wurden, werden über diese Schnittstelle auf das andere Gerät übertragen. In der Regel wird die Konfiguration, nach der Inbetriebnahme des Clusters, allein auf einer UTM durchgeführt. Wir empfehlen den Master zu verwenden. | |||
| The respective start configuration is synchronized via the hotwire interface. Changes made on one machine in the cluster are transferred to the other device via this interface. Usually, after the cluster has been commissioned, the configuration is carried out on a UTM alone. We recommend using the master. }} | |||
{{var | Konfiguration-abgleichen--Hinweis | |||
| '''Der Abgleich erfolgt immer manuell.''' Der Administrator entscheidet, wann er die Konfiguration im UTM-Cluster abgleichen möchte. | |||
| '''The adjustment is always performed manually.''' The administrator decides when to adjust the configuration in the UTM cluster. }} | |||
{{var | Konfiguration-abgleichen--list | |||
| Folgende Teile der Konfiguration werden '''nicht abgeglichen''': | |||
| The following parts of the configuration are '''not adjusted''': }} | |||
{{var | Konfiguration-abgleichen--list--ip | |||
| '''IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden.'''<br> Das sind die IP-Adressen, die im Webinterface unter dem Punkt {{Menu-UTM|Netzwerk |Netzwerkkonfiguration}} eingestellt werden. Wird ein Ethernet- oder VLAN-Schnittstelle neu erzeugt, wird dies zwar übertragen, jedoch nicht die Information über die IP-Adressen dieser Schnittstellen. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden, denn sie sind immer eindeutig einer UTM zugewiesen. Diese IP-Adressen sind nicht zu verwechseln mit virtuellen IP-Adressen auf einer HA-Schnittstelle, die sich beide Maschinen im Cluster teilen. | |||
| '''IP addresses that uniquely belong to a machine and are configured to Ethernet or VLAN interfaces.'''<br> These are the IP addresses that are set in the web interface under the {{Menu-UTM|Network|Network Configuration}} item. If an Ethernet or VLAN interface is newly created, this will be transmitted, but not the information about the IP addresses of these interfaces. If necessary, these must be configured manually on the cluster member, as they are always uniquely assigned to a UTM. These IP addresses are not to be confused with virtual IP addresses on an HA interface shared by both machines in the cluster. }} | |||
{{var | Konfiguration-abgleichen--list--ad-account | |||
| '''Active Directory-Appliance-Account.'''<br> Dieser Account ist immer eindeutig im AD. Man erstellt unterschiedliche Namen auf beiden Maschinen und meldet jede separat am Active Directory an. | |||
| '''Active Directory appliance account.'''<br> This account is always unique in AD. You create different names on both machines and log each one separately into Active Directory. }} | |||
{{var | Konfiguration-abgleichen--hinweis | |||
| Es ist nicht zwingend notwendig, eindeutige IP-Adressen auf Schnittstellen zu konfigurieren, auf denen eine HA-Schnittstelle mit virtuellen IP-Adressen betrieben wird.<br> In dem Fall gelangt man über die virtuelle IP-Adresse auf die UTM, die in dem Augenblick der Master ist. <br>Soll über diese Schnittstelle das Mitglied des UTM-Clusters eindeutig identifiziert werden, ist es jedoch erforderlich eine eindeutige IP-Adresse zu konfigurieren. | |||
| It is not absolutely necessary to configure unique IP addresses on interfaces on which an HA interface with virtual IP addresses is operated. <br> However, if the member of the UTM cluster is to be uniquely identified via this interface, this is necessary. <br>In this case, the virtual IP address is used to access the UTM that is the master at that moment. }} | |||
{{var | beispiel-konfig | |||
| Beispiel-Konfiguration 1: Externes DSL-Modem | |||
| Example configuration 1: External DSL modem }} | |||
{{var | beispiel-konfig--desc | |||
| In diesem Beispiel wird eine Konfiguration aufgezeigt, mit der ein UTM-Cluster an einem DSL-Modem betrieben werden kann. Die Einwahl erfolgt direkt durch die UTM. | |||
| This example shows a configuration with which a UTM cluster can be operated on a DSL modem. The dial-up is done directly by the UTM. }} | |||
{{var | 1=Netzwerkkonfiguration--desc | |||
| 2=<p>'''Erstes Mitglied des Clusters (UTM 1, <i class="host utm">Master</i>)'''<br />''LAN1:'' Externe DSL Verbindung mittels PPPoE.<br>''LAN2:'' Interne IP-Adresse: 192.168.12.141/24<br>''LAN3:'' Hotwire-IP-Adresse:192.168.180.2/24</p><p>'''Zweites Mitglied des Clusters (UTM 2, <i class="host utm">Spare</i>)'''<br />''LAN1:'' Externe DSL Verbindung mittels PPPoE.<br>''LAN2:'' Interne IP-Adresse:192.168.12.142/24<br>''LAN3:'' Hotwire-IP-Adresse:192.168.180.3/24</p> | |||
| 3='''First member of the cluster (UTM 1, <i class="host utm">Master</i>)'''<br />''LAN1:'' External DSL connection using PPPoE.<br>''LAN2:'' Internal IP address: 192.168.12.141/24<br>''LAN3:'' Hotwire IP address:192.168.180.2/24</p><p>'''Second member of the cluster (UTM 2, <i class="host utm">Spare</i>)'''<br />''LAN1:'' External DSL connection using PPPoE.<br>''LAN2:'' Internal IP address:192.168.12.142/24<br>''LAN3:'' Hotwire IP address:192.168.180.3/24</p> }} | |||
{{var | Netzwerkkonfiguration--virtuelle-ip | |||
| Als '''virtuelle IP-Adresse''' für die internen Schnittstellen LAN2 wird 192.168.200.1/24 definiert. <br>Diese IP-Adresse ist das '''Standard-Gateway''' des internen Netzwerks. | |||
| The '''virtual IP address''' is defined as 192.168.200.1/24. <br>This IP address is the '''default gateway''' of the internal network. }} | |||
{{var | Netzwerkkonfiguration--hinweis | |||
| Bei Verwendung des DHCP-Servers, darf die Virtuelle IP-Adresse <u>nicht im gleichen Netz</u> wie die physische IP Adresse der Schnittstelle sein. | |||
| When using the DHCP server, the virtual IP address <u> must not be in the same network</u> as the physical IP address of the interface. }} | |||
{{var | Netzwerkkonfiguration--hinweis--dhcp | |||
| Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. | |||
| Otherwise the DHCP server would access the physical address of the spare UTM during the fallback and not synchronize the leases. }} | |||
{{var | Inbetriebnahme | |||
| Inbetriebnahme der UTMs | |||
| Setting up the UTMs }} | |||
{{var | Inbetriebnahme--desc | |||
| | |||
* Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet | |||
* Zur Anmeldung auf der UTM wird bereits eine (Cluster-) Lizenz benötigt | |||
* Um eine Doppeleinwahl zu unterbinden, sollte das DSL-Modem nicht angeschlossen sein | |||
* Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse | |||
* Nach Abschluss des Assistenten werden die UTMs neu gestartet | |||
| | |||
* To set up the UTM cluster, the installation wizard is used first | |||
* A (cluster) license is already required to log on to the UTM | |||
* To prevent double dial-up, the DSL modem should not be connected | |||
* Up to this point, the configuration of the two UTMs differs only in the internal and external IP address | |||
* After the wizard is completed, the UTMs are restarted }} | |||
{{var | inbetriebnahme--hotwire--desc | |||
| Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden. <br>Diese muss auf den Maschinen '''den gleichen Port''' belegen - Bezeichnung je nach verwendeter Hard- und Software A2, eth2 oder LAN3. | |||
| The UTMs are now physically connected via the selected Hotwire interface. This must occupy the same port on the machines - Designation depending on the hardware and software used A2, eth2 or LAN3. }} | |||
{{var | Cluster-Konfiguration | |||
| Cluster-Konfiguration | |||
| Cluster configuration }} | |||
{{var | 1=Cluster-Konfiguration--desc | |||
| 2=* Die UTMs haben innerhalb des Clusters eine unterschiedliche '''Priorität''' | |||
* Die höhere Priorität hat das aktive Gerät (<i class="host utm">Master</i>), die niedrigere das Backup-System <i class="host utm">Spare</i> | |||
* In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.12.141 Master sein | |||
* Login über das Webinterface mit dieser IP und dem Port für Administration <small>(Default: 11115)</small> | |||
| 3=* The UTMs have different '''priorities''' within the cluster. | |||
* The higher priority is given to the active device (<i class="host utm">Master</i>), the lower to the backup system <i class="host utm">Spare</i>. | |||
* In our example, the UTM with the unique internal IP address 192.168.12.141 will be the master. | |||
* Login via the web interface with this IP and the port for administration <small>(Default: 11115)</small>. }} | |||
{{var | Cluster-Konfiguration--Bild | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 1.png | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 1-en.png }} | |||
{{var | Cluster-Konfiguration--cap | |||
| Clusterkonfiguration Ausgangssituation | |||
| Cluster configuration Initial situation }} | |||
{{var | ip-hotwire | |||
| IP-Adressen der zukünftigen Hotwire-Schnittstellen | |||
| IP addresses of the upcoming Hotwire interfaces }} | |||
{{var | Netzwerkkonfiguration | |||
| Netzwerkkonfiguration | |||
| Network configuration }} | |||
{{var | IP-Adressen | |||
| IP-Adressen: | |||
| IP addresses: }} | |||
{{var | ip-adressen--desc | |||
| In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. <br>Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.'''2'''/24. | |||
| In the clickbox the IP address of the upcoming Hotwire interface is added. <br>In the example the masters LAN3/A2 gets the IP address 192.168.180.'''2'''/24. }} | |||
{{var | cluster-schnittstelle--bild | |||
| UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN3 master.png | |||
| UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN3 master-en.png }} | |||
{{var | Ethernet-Schnittstelle bearbeiten | |||
| Ethernet-Schnittstelle bearbeiten | |||
| Edit Ethernet interface }} | |||
{{var | wizard1--head | |||
| Start des Cluster-Setup-Wizard unter | |||
| Start the Cluster Setup Wizard at }} | |||
{{var | Schaltfläche | |||
| Schaltfläche | |||
| Button }} | |||
{{var | Cluster Assistent | |||
| Cluster Assistent | |||
| Cluster Wizard }} | |||
{{var | Schritt | |||
| Schritt | |||
| Step }} | |||
{{var | Wizard Schritt 1--Bild | |||
| UTM v14.1.0 Cluster Assistent Master Schritt 1.png | |||
| UTM v14.1.0 Cluster Assistent Master Schritt 1-en.png }} | |||
{{var | Wizard Schritt 1--desc | |||
| * Es wird mit der {{Host|Master}} Konfiguration begonnen | |||
| * Start with the {{Host|Master}} configuration is started }} | |||
{{var | wizard1--hotwire--desc | |||
| Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden! | |||
| The same interface must be selected on both devices! }} | |||
{{var | Wizard Schritt 2--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 2.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 2-en.png }} | |||
{{var | lokale-ip | |||
| Lokale IP‑Adresse: | |||
| Local IP‑address: }} | |||
{{var | wizard1--lokale-ip--desc | |||
| IP-Adresse der Master-UTM | |||
| IP address of the master UTM }} | |||
{{var | remote-ip | |||
| Remote IP‑Adresse: | |||
| Remote IP‑address: }} | |||
{{var | wizard1--remote-ip--desc | |||
| IP-Adresse der Hotwire-Gegenstelle (Spare-UTM) | |||
| IP address of the Hotwire remote unit (spare UTM) }} | |||
{{var | Schnittstelle | |||
| Schnittstelle: | |||
| Interface: }} | |||
{{var | Schnittstellen | |||
| Schnittstellen | |||
| Interfaces }} | |||
{{var | HA-Schnittstelle | |||
| HA-Schnittstelle | |||
| HA interface }} | |||
{{var | wizard2--schnittstelle--desc | |||
| Die zukünftige HA-Schnittstelle. Im Beispiel die interne Schnittstelle. | |||
| The upcoming HA interface. In the example the internal interface. }} | |||
{{var | Wizard Schritt 3--Bild | |||
| UTM v14.1.0 Cluster Assistent Master Schritt 3.png | |||
| UTM v14.1.0 Cluster Assistent Master Schritt 3-en.png }} | |||
{{var | wizard2--virtuelle-ip | |||
| Virtuelle IP‑Adresse: | |||
| Virtual IP‑address: }} | |||
{{var | Nur wenn Schnittstelle ohne IP gewählt | |||
| <small>Nur wenn Schnittstelle ohne IP gewählt</small> | |||
| <small>Only if interface without IP selected</small> }} | |||
{{var | wizard2--virtuelle-ip--desc | |||
| Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen. | |||
| The virtual IP address should be 192.168.200.1. There can also be several virtual IP addresses on one HA interface. }} | |||
{{var | 1=wizard2--hinweis--dhcp | |||
| 2=Bei Verwendung der UTM als DHCP-Server darf die virtuelle IP-Adresse nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] liegen, in der die Master- und Spare-UTM sind. | |||
| 3=When using the UTM as a DHCP server, the virtual IP address must not be in the same [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] as the master and spare UTM. }} | |||
{{var | wizard2--hinweis--info | |||
| Der DHCP-Server würde sich sonst beim Fallback auf die physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. | |||
| Otherwise the DHCP server would key itself to the physical address of the spare UTM during the fallback and not synchronize the leases. }} | |||
{{var | wizard2--hinweis--ha | |||
| Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden. | |||
| After the wizard has run through, other HA interfaces can also be configured. }} | |||
{{var | wizard3--deaktivierte | |||
| Deaktivierte Schnittstellen während das Gerät im Backup Modus ist: | |||
| Disabled interfaces while the device is in backup mode: }} | |||
{{var | wizard3--deaktivierte--desc | |||
| Schnittstellen, die auf dem Backup-System, der Spare-UTM, '''nicht''' hochgefahren werden. <br>Im Beispiel ''wan0'' (das DSL Interface). Die Einwahl soll nur durch die gerade aktive Master-UTM im Cluster erfolgen. | |||
| Interfaces that are '''not''' booted on the backup system, the spare UTM. <br> In the example ''wan0'' (the DSL interface). The dial-in should only be done by the currently active master UTM in the cluster. }} | |||
{{var | wizard3--deaktivierte--info | |||
| Dadurch ist es möglich, beide externen Interfaces der UTMs an das DSL Modem anzuschließen. Falls das Modem nur einen LAN Port besitzt, ist ein separater Switch zu verwenden. | |||
| This makes it possible to connect both external interfaces of the UTMs to the DSL modem. If the modem has only one LAN port, a separate switch must be used. }} | |||
{{var | Wizard Schritt 4-WireGuard--desc | |||
| Auch WireGuard Verbindungen (im Beispiel ''wg0'') werden so im Backup-Modus deaktiviert. | |||
| WireGuard connections (in the example ‘'wg0’') are also deactivated in backup mode. }} | |||
{{var | Wizard Schritt 4--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 4.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 4-en.png }} | |||
{{var | wizard4--deaktivierte | |||
| Deaktivierte Anwendungen während das Gerät im Backup Modus ist: | |||
| Disabled applications while the device is in backup mode: }} | |||
{{var | wizard4--deaktivierte--desc | |||
| Hier sind Anwendungen aufgeführt, die per Default deaktiviert sein sollen, sofern sich die Spare-UTM im Backup-Modus befindet. | |||
| Here applications are listed that should be disabled by default if the spare UTM is in backup mode. }} | |||
{{var | Hinweis für Installationen vor | |||
| Hinweis für Installationen vor | |||
| Note for installations before }} | |||
{{var | Wireguard Cluster-Hinweis | |||
| Gegebenenfalls lässt sich Wireguard im Clusterbetrieb nicht nutzen, wenn die Spare z.B. durch eine öffentliche Management-IP einen Weg Richtung Wireguard-Peer hat. In diesem Fall baut sich der Wireguard-Tunnel zum Peer auf und es besteht ein Tunnel zwischen Spare und dem Wireguard Peer. Das kann mit folgendem Befehl verhindert werden:<br> | |||
{{code|interface set name wg0 flags "DISABLED_IF_SPARE"}} (wenn dass Interface wg0 ist)<br>Wurde die Verbindung mit einer Version ab v12.4.0 erstellt, passiert dies automatisch. | |||
| It may not be possible to use Wireguard in cluster operation if the spare has a path towards the Wireguard peer, e.g. via a public management IP. In this case, the wireguard tunnel to the peer is established and there is a tunnel between the spare and the wireguard peer. The following command must then be entered:<br> | |||
{{code|interface set name wg0 flags "DISABLED_IF_SPARE"}} (if i.e. the interface is wg0)<br> From UTM v12.4.0 this happens automatically, but for existing configurations this must be done retrospectively. }} | |||
{{var | Wizard Schritt 5--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 5.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 5-en.png }} | |||
{{var | wizard5--priorität | |||
| Priorität | |||
| Priority }} | |||
{{var | Hoch | |||
| Hoch | |||
| High }} | |||
{{var | wizard5--priorität--desc | |||
| Die Master-UTM erhält die Priorität »hoch«. | |||
| The Master UTM receives the priority "high". }} | |||
{{var | Wizard Schritt 6--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 6.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 6-en.png }} | |||
{{var | wizard5--Passphrase--desc | |||
| Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) | |||
| The passphrase for the communication between the two UTMs on the HA interfaces (VRR protocol) }} | |||
{{var | wizard5--fertig | |||
| Cluster Assistent abschließen mit {{Button|Fertig}} | |||
| Close the Cluster Wizard with {{Button|Finish}} }} | |||
{{var | Wizard Schritt 7--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 7.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 7-en.png }} | |||
{{var | Einstellung für die Spare | |||
| Einstellung für die Spare | |||
| Setting for the spare }} | |||
{{var | Einstellung für die Spare--desc | |||
| Diese Konfigurationen müssen bei der Konfiguration der Spare eingefügt werden. Dazu können sie mithilfe der Schaltfläche {{Button||copy|class=icon}} in die Zwischenablage kopiert werden. | |||
| These configurations must be inserted when configuring the spare. To do this, they can be copied to the clipboard using the {{Button||copy|class=icon}} button. }} | |||
{{var | Wizard Spare Schritt 1--Bild | |||
| UTM v14.1.0 Cluster Assistent Spare Schritt 1.png | |||
| UTM v14.1.0 Cluster Assistent Spare Schritt 1-en.png }} | |||
{{var | Wizard Spare Schritt 1--desc | |||
| | |||
{{Alert}} Nun wird auf die {{Host|Spare}} gewechselt | |||
* Hier wird ebenfalls der Clusterassistent unter {{Menu-UTM|Netzerk|Clusterkonfiguration}} mit der Schaltfläche {{Button-dialog|Cluster Assistent|fa-wand-magic-sparkles}} gestartet | |||
* Und anschließend wird die Spare Konfiguration gewählt | |||
| | |||
{{Alert}} Now switch to {{Host|Spare}} | |||
* The cluster wizard is also started here under {{Menu-UTM|Netzwerk|Cluster configuration}} with the {{Button-dialog|Cluster wizard|fa-wand-magic-sparkles}} button | |||
* And then the spare configuration is selected }} | |||
{{var | Wizard Spare Schritt 2--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 2.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 2-en.png }} | |||
{{var | Wizard Spare Schritt 2--desc | |||
| * Anschließend kommt die Aufforderung den Cluster Assistent für die {{Host|Master}} UTM bis zu Schritt 7 auszuführen | |||
* Wenn dies geschehen ist kann mit Schritt 3 weitergemacht werden | |||
| * You will then be prompted to run the Cluster Wizard for the {{Host|Master}} UTM up to step 7 | |||
* When this is done, you can continue with step 3 }} | |||
{{var | Wizard Spare Schritt 3--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 3.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 3-en.png }} | |||
{{var | Einstellung des Masters | |||
| Einstellung des Masters | |||
| Setting the master }} | |||
{{var | Einstellung des Masters--desc | |||
| Hier müssen die Konfiguration der {{Host|Master}} UTM eingefügt werden. Diese können im [[#Master Cluster Assistent Schritt 6|Schritt 6 des Master Cluster Assistenten]] kopiert werden. | |||
| The configuration of the {{Host|Master}} UTM must be inserted here. These can be copied in [[#Master Cluster Assistent Step 6|Step 6 of the Master Cluster Wizard]]. }} | |||
{{var | Einstellung des Masters--desc--ohneLink | |||
| Hier müssen die Konfiguration der {{Host|Master}} UTM eingefügt werden. Diese können im ''Schritt 6 des Master Cluster Assistenten'' kopiert werden. | |||
| The configuration of the {{Host|Master}} UTM must be inserted here. These can be copied in ‘'Step 6 of the Master Cluster Wizard’'. }} | |||
{{var | Wizard Spare Schritt 4--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 4.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 4-en.png }} | |||
{{var | Werte automatisch gesetzt--Hinweis | |||
| Diese Werte sollten automatisch aus der Konfiguration des Masters übernommen worden sein. Wenn dies nicht der Fall ist, sollten beide Konfigurationen überprüft werden! | |||
| These values should have been automatically adopted from the configuration of the master. If this is not the case, both configurations should be checked! }} | |||
{{var | spare wizard4--lokale-ip--desc | |||
| IP-Adresse der Spare-UTM | |||
| IP address of the Spare UTM }} | |||
{{var | spare wizard4--remote-ip--desc | |||
| IP-Adresse der Hotwire-Gegenstelle (hier: Master-UTM) | |||
| IP address of the Hotwire remote peer (here: Master UTM) }} | |||
{{var | Wizard Spare Schritt 5--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 5.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 5-en.png }} | |||
{{var | Schlüssel der Gegenstelle | |||
| Schlüssel der Gegenstelle | |||
| Key of the remote station }} | |||
{{var | spare wizard 5-Schlüssel der Gegenstelle--desc | |||
| Der Schlüssel der Master-UTM für den verschlüsselten Datenaustausch | |||
| The master UTM key for encrypted data exchange }} | |||
{{var | Wizard Spare Schritt 6--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 6.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 6-en.png }} | |||
{{var | Einstellung für den Master | |||
| Einstellung für den Master | |||
| Setting for the master }} | |||
{{var | Einstellung für den Master--desc | |||
| Diese Konfigurationen müssen bei der Konfiguration des Masters eingefügt werden. Dazu können sie mithilfe der Schaltfläche {{Button||copy|class=icon}} in die Zwischenablage kopiert werden. | |||
| These configurations must be inserted when configuring the master. To do this, they can be copied to the clipboard using the {{Button||copy|class=icon}} button. }} | |||
{{var | Wizard Schritt 8--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 8.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 8-en.png }} | |||
{{var | Einstellung der Spare | |||
| Einstellung der Spare | |||
| Setting the spare }} | |||
{{var | Wechsel zur Master--Hinweis | |||
| Es wird wieder zur {{Host|Master}} gewechselt! | |||
| The system switches back to {{Host|Master}}! }} | |||
{{var | Einstellung der Spare--desc | |||
| Hier müssen die Konfiguration der {{Host|Spare}} UTM eingefügt werden. Diese können in [[#Spare Cluster Assistent Schritt 6|Schritt 6 des Spare Cluster Assistenten]] kopiert werden. | |||
| The configuration of the {{Host|Spare}} UTM must be inserted here. These can be copied in [[#Spare Cluster Wizard Step 6|Step 6 of the Spare Cluster Wizard]]. }} | |||
{{var | Wizard Schritt 9--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 9.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 9-en.png }} | |||
{{var | Master Wizard9-Schlüssel der Gegenstelle--desc | |||
| 2=Der Schlüssel der Spare-UTM für den verschlüsselten Datenaustausch. | |||
<li class="list--element__alert list--element__hint">Dieser Werte sollten automatisch aus der Konfiguration der Spare übernommen worden sein. Wenn dies nicht d/9*er Fall ist, sollten beide Konfigurationen überprüft werden!</li> | |||
| 3= The Spare UTM key for encrypted data exchange. | |||
/+<li class=“list--element__alert list--element__hint”>These values should have been automatically adopted from the spare configuration. If this is not the case, both configurations should be checked!</li> }} | |||
{{var | Abschluss | |||
| Abschluss | |||
| Conclusion }} | |||
{{var | Wizard Schritt 10--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 10.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 10-en.png }} | |||
{{var | Wizard Spare Schritt 7--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 7.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 7-en.png }} | |||
{{var | Wizard Abschluss--desc | |||
| * Nun kann auf beiden UTMs der Cluster Assistent mit {{Button|Fertig}} abgeschlossen werden | |||
| * The Cluster Wizard can now be completed on both UTMs with {{Button|Done}} }} | |||
{{var | Status der Clusterkonfiguration | |||
| Status der Clusterkonfiguration | |||
| Status of the cluster configuration }} | |||
{{var | cluster-schnittstellen--eth1 | |||
| Schnittstelle benutzt für '''High Availability''' | |||
| Interface used for '''High Availability''' }} | |||
{{var | cluster-schnittstellen--eth1--desc | |||
| Virtuelle IP 192.168.200.1/24<br> IP-Adresse: 192.168.12.141/24 | |||
| Virtual IP 192.168.200.1/24<br> IP address: 192.168.100.2/24 }} | |||
{{var | cluster-schnittstellen--bild | |||
| UTM v14.1.0 Cluster Clusterkonfiguration Schnittstellen 2.png | |||
| UTM v14.1.0 Cluster Clusterkonfiguration Schnittstellen 2-en.png }} | |||
{{var | cluster-schnittstellen--eth2 | |||
| Schnittstelle wird benutzt als '''Hotwire''' | |||
| Interface is used as '''Hotwire''' }} | |||
{{var | cluster-schnittstellen--eth2--desc | |||
| IP-Adresse 192.168.180.2/24 | |||
| IP address 192.168.180.2/24 }} | |||
{{var | cluster-schnittstellen--wan0 | |||
| Schnittstelle ist '''beim Backup deaktiviert''' | |||
| Interface is '''deactivated during backup''' }} | |||
{{var | Clusterstatus | |||
| Clusterstatus | |||
| Cluster status }} | |||
{{var | cluster-schnittstellen--clusterstatus--desc | |||
| Der Clusterstatus zeigt ''offline'' (schwarz) an, weil der Cluster noch nicht auf aktiv geschaltet ist | |||
| The cluster state does indicate ''offline'' (black) because the cluster is not yet set to active }} | |||
{{var | Synchronisationsstatus | |||
| Synchronisationsstatus | |||
| Sync state }} | |||
{{var | cluster-schnittstellen--sync--desc | |||
| Der Synchronisationsstatus zeigt ''error' (rot), weil die Gegenstelle nicht erreichbar ist | |||
| The Sync state is shows ''error'' (red), because the remote terminal cannot be reached }} | |||
{{var | Einstellungen | |||
| Einstellungen | |||
| Options }} | |||
{{var | Einstellungen für die Clusterkonfiguration | |||
| Einstellungen für die Clusterkonfiguration | |||
| Settings für cluster configuration }} | |||
{{var | lokaler-ssh-schlüssel | |||
| Lokaler SSH-Schlüssel: | |||
| Local SSH Key: }} | |||
{{var | cluster--ssh- | |||
UTM/NET/Cluster.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki