KKeine Bearbeitungszusammenfassung |
K 1 Version importiert |
||
| (27 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{ | {{Lang}} | ||
{{ | {{#vardefine:headerIcon|spicon-utm}} | ||
{{var | | {{var | display | ||
| Cluster | |||
| Cluster }} | |||
{{var | head | |||
{{var | | | Securepoint Cluster Konfiguration - Best Practice | ||
| Securepoint Cluster Configuration - Best Practice }} | |||
{{var | Netzwerk | |||
| Netzwerk | |||
| Network }} | |||
{{var | Clusterkonfiguration | |||
| Clusterkonfiguration | |||
| Cluster configuration }} | |||
{{var | Aktuelle Software | |||
| Aktuelle Software | |||
| Current software }} | |||
{{var | aktuell--desc | |||
| Es sollte immer die neueste Version der Software installiert werden. <br>Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten. | |||
| The latest version of the software should always be installed. <br>Only the latest version contains the latest features, security enhancements and error corrections. }} | |||
{{var | Einsatzgebiete | |||
| Einsatzgebiete | |||
| Fields of application }} | |||
{{var | Einsatzgebiete--desc | |||
| Durch Einsatz der UTM in einem Hot-Standby-Cluster kann eine Hochverfügbarkeit der UTM gewährleistet werden.<br> Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig. | |||
| High availability of the UTM can be ensured by using the UTM in a hot standby cluster.<br> The UTMs within the cluster monitor each other and, if necessary, automatically switch to the device with the best status. Intervention by the administrator is not necessary. }} | |||
{{var | Abb | |||
| Abb.: | |||
| Fig.: }} | |||
{{var | Einrichtung | |||
| Einrichtung | |||
| Installation }} | |||
{{var | Einrichtung--desc | |||
| Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.<br> Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.<br> Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP. | |||
| When setting up the UTM cluster, two UTMs with identical firmware are connected via a Hotwire interface. The installation with the "Cluster Setup Wizard" is performed on the ''Original UTM'', which will be the MASTER in the newly created cluster. This UTM will be used to synchronize the configuration. On the ''Spare UTM'', which will be the BACKUP in the cluster, the Hotwire interface is defined and an SSH key is generated during installation. The SSH key of the MASTER is also entered on the spare UTM.<br> The active UTM in the cluster, has the higher priority and is called the MASTER.<br> The UTM with the lower priority, the passive UTM, is the BACKUP. }} | |||
{{var | Voraussetzungen | |||
| Voraussetzungen | |||
{{var | cluster-protokoll | | Requirements }} | ||
{{var | Voraussetzungen--desc | |||
| Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig: | |||
{{var | cluster-protokoll--desc | | The following requirements are necessary for cluster operation: }} | ||
{{var | Voraussetzungen--cluster-lizenz | |||
| '''Eine Cluster-<u>Master</u>-Lizenz'''<br>'''Eine Cluster-<u>Spare</u>-Lizenz'''<br> <p>Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die '''zwei unterschiedliche Lizenzen''' beinhaltet und die im [https://my.securepoint.de/login Securepoint Reseller Portal] beantragt werden kann.</p> <p>Endkunden wenden sich bitte an Ihren [https://www.securepoint.de/partner/partnerprogramm.html autorisierten Securepoint Reseller.]</p> | |||
{{var | Umschalten | | '''One Cluster-<u>Master</u> license'''<br>'''One cluster <u>Spare</u> license'''<br> <p>To configure and operate the UTM cluster, a valid cluster license is required, which contains '''two different licenses''' and which can be applied for in the [https://my.securepoint.de/login Securepoint Reseller Portal].</p> <p>End customers should contact their [https://www.securepoint.de/partner/partnerprogramm.html authorized Securepoint reseller].</p> }} | ||
{{var | Voraussetzungen--cluster-lizenz--Hinweis | |||
| Die Menüpunkte zur Cluster-Konfiguration sind sichtbar, sobald eine Cluster-Lizenz eingespielt ist. | |||
{{var | Umschalten--desc | | The menu items for cluster configuration are visible as soon as a cluster license is installed. }} | ||
{{var | Voraussetzungen--hardware | |||
| '''Zwei identische Appliances<sup>*</sup> mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br> <p>Im kleinsten Szenario sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p> <p><small>* Der Betrieb einer RC300 G3 und einer RC340 G3 in einem gemeinsamen Cluster ist freigegeben. Andere Konstellationen werden nicht unterstützt.</small> | |||
| '''Two identical appliances<sup>*</sup> with at least 3 Ethernet interfaces and the same firmware'''<br> <p>In the smallest scenario there is one input interface (internal LAN) and one output interface (external LAN) as well as the third free interface. This interface, also referred to as the Hotwire interface in the following, is required for configuration adjustment and connection tracking. It cannot take over any other network function.</p> }} | |||
{{var | Voraussetzungen--software | |||
| '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br> <p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br> Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren. | |||
| '''The used switches and routers support ''gratuitous ARP'''''<br> <p>If there is a master/backup change in the UTM cluster, the now active UTM sends ''gratuitous ARP'' packets to its environment to announce the new MAC address.<br> If the switches or routers do not support this function, they can only communicate via the active UTM with a delay.</p> }} | |||
{{var | funktionsweise | |||
| Funktionsweise des Clusters | |||
| Functionality of the cluster }} | |||
{{var | funktionsweise--desc | |||
| | |||
* Der Cluster verwendet '''eindeutige IP- und MAC-Adressen''' für die beiden Mitglieder des Clusters sowie '''virtuelle IP-Adressen''' für den Cluster selber | |||
* Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv | |||
* Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters | |||
* Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing <!-- (also zum Beispiel das Standard Gateway, siehe Abb. 1.2)--> | |||
| The cluster uses '''unique IP and MAC addresses''' for the two members of the cluster and '''virtual IP addresses''' for the cluster itself. The virtual IP addresses are only active on the active member of the UTM cluster. If the active member of the cluster fails completely or partially, the virtual IP addresses change to the second member of the cluster.<br> For the clients and servers in a cluster configuration, the virtual IP address is the communication partner in the routing (e.g. the standard gateway, see Fig. 1.2). }} | |||
{{var | cluster-protokoll | |||
| Das Cluster VRR Protokoll | |||
| The Cluster VRR Protocol }} | |||
{{var | cluster-protokoll--desc | |||
| <p>VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als {{hover|HA-|High-Availability}}Schnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.</p> <p>Mit Hilfe von '''tcpdump''' kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)</p> <p>Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.</p> | |||
| <p>VRRP (Virtual Router Redundancy Protocol) is the communication protocol of the cluster. It is only active on interfaces that are configured as {{hover|HA-|High-Availability}} interfaces. The master of the UTM cluster sends data packets to the backup via this protocol. If the backup does not receive any data packets, it upgrades itself to the master.</p> <p> Using '''tcpdump''' the protocol can be made visible on a HA interface (see figure)</p> <p>No special firewall rules are required to enable communication with the VRR protocol.</p> }} | |||
{{var | Umschalten | |||
| Umschalten des Clusters | |||
| Switching the cluster }} | |||
{{var | Umschalten--desc | |||
| Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus: | |||
* Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren. | * Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren. | ||
* Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr. | * Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr. | ||
* Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an. | * Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an. | ||
* Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.<br | * Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.<br> | ||
Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master. | Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master. | ||
| The following states or events trigger a switchover within the cluster: | |||
* The active member of a cluster is restarted or shut down completely. | * The active member of a cluster is restarted or shut down completely. | ||
* One or more HA interfaces no longer have a physical link. | * One or more HA interfaces no longer have a physical link. | ||
* The link of an HA interface is active, but due to a defective or incorrectly configured switch, the VRRP packets do not arrive at the cluster partner. | * The link of an HA interface is active, but due to a defective or incorrectly configured switch, the VRRP packets do not arrive at the cluster partner. | ||
* The cluster function is deactivated on the active cluster partner by the administrator.<br | * The cluster function is deactivated on the active cluster partner by the administrator.<br> | ||
If more than two HA interfaces are activated, it is possible that a different number of HA interfaces may no longer be able to communicate in the event of an error. In this case, the UTM on which most interfaces have a link will become the active member as long as the UTMs still see each other via at least one HA interface. If the UTMs no longer see each other on any interface, both assume that the second member of the cluster no longer exists and both become the master. }} | If more than two HA interfaces are activated, it is possible that a different number of HA interfaces may no longer be able to communicate in the event of an error. In this case, the UTM on which most interfaces have a link will become the active member as long as the UTMs still see each other via at least one HA interface. If the UTMs no longer see each other on any interface, both assume that the second member of the cluster no longer exists and both become the master. }} | ||
{{var | Umschalten--tabelle | {{var | Umschalten--tabelle | ||
| Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen: | |||
| Table, behavior in the cluster, example two HA interfaces: }} | |||
{{var | HA-Schnittstelle | {{var | HA-Schnittstelle | ||
| HA-Schnittstelle | |||
| HA interface }} | |||
{{var | Aktiv | {{var | Aktiv | ||
| Aktiv | |||
| Active }} | |||
{{var | Passiv | {{var | Passiv | ||
| Passiv | |||
| Passive }} | |||
{{var | Umschalten--tabelle--desc | {{var | Umschalten--tabelle--desc | ||
| Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt. | |||
| Please note that UTM-1 has a higher priority than UTM-2. If the state in the table is active and marked as red, this means that the two members of the cluster no longer see each other and assume that the respective other partner is no longer present. Both members of the cluster are then active. However, network communication is then generally no longer possible because the problem is in the environment. }} | |||
{{var | Fallback | {{var | Fallback | ||
| Fallback im Cluster | |||
| Fallback in a cluster }} | |||
{{var | Fallback--desc | {{var | 1=Fallback--desc | ||
| 2=Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die <i class="host utm">Spare</i> aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen <i class="host utm">Master</i> zurückgeben. <br>Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der <i class="host utm">Master</i> wird aktiv. | |||
| 3=If a fallback is configured at the same time and a failed ping check triggers the switch to the <i class="host utm">Spare</i> and this also registers a failed ping check, it will return the master to the original <i class="host utm">Master</i>. <br> Here now the priority decides, because both machines are equally affected and the fallback of the <i class="host utm">Master</i> becomes active. }} | |||
{{var | Hotwire-Schnittstelle | {{var | Hotwire-Schnittstelle | ||
| Hotwire Schnittstelle | |||
| Hotwire interface: }} | |||
{{var | Hotwire-Schnittstelle--desc | {{var | Hotwire-Schnittstelle--desc | ||
| Die Hotwire-Schnittstelle ist eine exklusive Schnittstelle, die nur zum Synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Diese Schnittstelle hat ''exklusiv'' diese Aufgabe. Bei der Auswahl der Appliances muss darauf geachtet werden, daß für das Hotwire-Netz jeweils eine Schnittstelle frei sein muss.<br>Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection-Tracking wird über den Port 3780 (UDP) abgeglichen. Ist eine Ethernet-Schnittstelle als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des UTM-Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Mitgliedern des Clusters erfolgen. Das Connection-Tracking wird immer automatisch vom Master im Cluster zum Backup übertragen (Abb. 1.3). | |||
| The Hotwire interface is an exclusive interface that is only used to synchronize the configuration of the cluster members and to synchronize the running connections (connection tracking). This interface has this task ''exclusively''. When selecting the appliances, it must be ensured that one interface is free for the Hotwire network in each case.<br>The SSH protocol (TCP/22) is used to synchronize the configuration. The connection tracking is synchronized via port 3780 (UDP). If an Ethernet interface is marked as Hotwire, the rules for communication are generated automatically. For the SSH connection, public keys must be exchanged between the members of the UTM cluster. The configuration can be synchronized in both directions between the members of the cluster. The connection tracking is always automatically transferred from the master in the cluster to the backup (Fig. 1.3). }} | |||
{{var| Hotwire-Schnittstelle--hinweis | {{var | Hotwire-Schnittstelle--hinweis | ||
| Die Hotwire-Verbindung soll immer über eine direkte Kabelverbindung erfolgen (kein Switch etc. dazwischen). <br>Es muss sichergestellt werden, dass niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem synchronisiert werden soll. | |||
| The Hotwire connection should always be a direct cable connection (no switch etc. in between). <br>It must be ensured that nobody is administratively using the member of the cluster to which the synchronization is to be made at the time. }} | |||
{{var | Konfiguration-abgleichen | {{var | Konfiguration-abgleichen | ||
| Konfiguration abgleichen | |||
| Adjusting the configuration }} | |||
{{var | Konfiguration-abgleichen--desc | {{var | Konfiguration-abgleichen--desc | ||
| Über die Hotwire-Schnittstelle wird die jeweilige Start-Konfiguration synchronisiert. Änderungen, die auf einer Maschine im Cluster gemacht wurden, werden über diese Schnittstelle auf das andere Gerät übertragen. In der Regel wird die Konfiguration, nach der Inbetriebnahme des Clusters, allein auf einer UTM durchgeführt. Wir empfehlen den Master zu verwenden. | |||
| The respective start configuration is synchronized via the hotwire interface. Changes made on one machine in the cluster are transferred to the other device via this interface. Usually, after the cluster has been commissioned, the configuration is carried out on a UTM alone. We recommend using the master. }} | |||
{{var | Konfiguration-abgleichen--list | {{var | Konfiguration-abgleichen--Hinweis | ||
| '''Der Abgleich erfolgt immer manuell.''' Der Administrator entscheidet, wann er die Konfiguration im UTM-Cluster abgleichen möchte. | |||
| '''The adjustment is always performed manually.''' The administrator decides when to adjust the configuration in the UTM cluster. }} | |||
{{var | Konfiguration-abgleichen--list--ip | {{var | Konfiguration-abgleichen--list | ||
| Folgende Teile der Konfiguration werden '''nicht abgeglichen''': | |||
| The following parts of the configuration are '''not adjusted''': }} | |||
{{var | Konfiguration-abgleichen--list--ad-account | {{var | Konfiguration-abgleichen--list--ip | ||
| '''IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden.'''<br> Das sind die IP-Adressen, die im Webinterface unter dem Punkt {{Menu-UTM|Netzwerk |Netzwerkkonfiguration}} eingestellt werden. Wird ein Ethernet- oder VLAN-Schnittstelle neu erzeugt, wird dies zwar übertragen, jedoch nicht die Information über die IP-Adressen dieser Schnittstellen. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden, denn sie sind immer eindeutig einer UTM zugewiesen. Diese IP-Adressen sind nicht zu verwechseln mit virtuellen IP-Adressen auf einer HA-Schnittstelle, die sich beide Maschinen im Cluster teilen. | |||
| '''IP addresses that uniquely belong to a machine and are configured to Ethernet or VLAN interfaces.'''<br> These are the IP addresses that are set in the web interface under the {{Menu-UTM|Network|Network Configuration}} item. If an Ethernet or VLAN interface is newly created, this will be transmitted, but not the information about the IP addresses of these interfaces. If necessary, these must be configured manually on the cluster member, as they are always uniquely assigned to a UTM. These IP addresses are not to be confused with virtual IP addresses on an HA interface shared by both machines in the cluster. }} | |||
{{var | Konfiguration-abgleichen--hinweis | {{var | Konfiguration-abgleichen--list--ad-account | ||
| '''Active Directory-Appliance-Account.'''<br> Dieser Account ist immer eindeutig im AD. Man erstellt unterschiedliche Namen auf beiden Maschinen und meldet jede separat am Active Directory an. | |||
| '''Active Directory appliance account.'''<br> This account is always unique in AD. You create different names on both machines and log each one separately into Active Directory. }} | |||
{{var | beispiel-konfig | {{var | Konfiguration-abgleichen--hinweis | ||
| Es ist nicht zwingend notwendig, eindeutige IP-Adressen auf Schnittstellen zu konfigurieren, auf denen eine HA-Schnittstelle mit virtuellen IP-Adressen betrieben wird.<br> In dem Fall gelangt man über die virtuelle IP-Adresse auf die UTM, die in dem Augenblick der Master ist. <br>Soll über diese Schnittstelle das Mitglied des UTM-Clusters eindeutig identifiziert werden, ist es jedoch erforderlich eine eindeutige IP-Adresse zu konfigurieren. | |||
| It is not absolutely necessary to configure unique IP addresses on interfaces on which an HA interface with virtual IP addresses is operated. <br> However, if the member of the UTM cluster is to be uniquely identified via this interface, this is necessary. <br>In this case, the virtual IP address is used to access the UTM that is the master at that moment. }} | |||
{{var | beispiel-konfig--desc | {{var | beispiel-konfig | ||
| Beispiel-Konfiguration 1: Externes DSL-Modem | |||
| Example configuration 1: External DSL modem }} | |||
{{var | Netzwerkkonfiguration | {{var | beispiel-konfig--desc | ||
| In diesem Beispiel wird eine Konfiguration aufgezeigt, mit der ein UTM-Cluster an einem DSL-Modem betrieben werden kann. Die Einwahl erfolgt direkt durch die UTM. | |||
| This example shows a configuration with which a UTM cluster can be operated on a DSL modem. The dial-up is done directly by the UTM. }} | |||
{{var | 1=Netzwerkkonfiguration--desc | |||
| 2=<p>'''Erstes Mitglied des Clusters (UTM 1, <i class="host utm">Master</i>)'''<br />''LAN1:'' Externe DSL Verbindung mittels PPPoE.<br>''LAN2:'' Interne IP-Adresse: 192.168.12.141/24<br>''LAN3:'' Hotwire-IP-Adresse:192.168.180.2/24</p><p>'''Zweites Mitglied des Clusters (UTM 2, <i class="host utm">Spare</i>)'''<br />''LAN1:'' Externe DSL Verbindung mittels PPPoE.<br>''LAN2:'' Interne IP-Adresse:192.168.12.142/24<br>''LAN3:'' Hotwire-IP-Adresse:192.168.180.3/24</p> | |||
| 3='''First member of the cluster (UTM 1, <i class="host utm">Master</i>)'''<br />''LAN1:'' External DSL connection using PPPoE.<br>''LAN2:'' Internal IP address: 192.168.12.141/24<br>''LAN3:'' Hotwire IP address:192.168.180.2/24</p><p>'''Second member of the cluster (UTM 2, <i class="host utm">Spare</i>)'''<br />''LAN1:'' External DSL connection using PPPoE.<br>''LAN2:'' Internal IP address:192.168.12.142/24<br>''LAN3:'' Hotwire IP address:192.168.180.3/24</p> }} | |||
{{var | Netzwerkkonfiguration--virtuelle-ip | {{var | Netzwerkkonfiguration--virtuelle-ip | ||
| Als '''virtuelle IP-Adresse''' für die internen Schnittstellen LAN2 wird 192.168.200.1/24 definiert. <br>Diese IP-Adresse ist das '''Standard-Gateway''' des internen Netzwerks. | |||
| The '''virtual IP address''' is defined as 192.168.200.1/24. <br>This IP address is the '''default gateway''' of the internal network. }} | |||
{{var | Netzwerkkonfiguration--hinweis | {{var | Netzwerkkonfiguration--hinweis | ||
| Bei Verwendung des DHCP-Servers, darf die Virtuelle IP-Adresse <u>nicht im gleichen Netz</u> wie die physische IP Adresse der Schnittstelle sein. | |||
| When using the DHCP server, the virtual IP address <u> must not be in the same network</u> as the physical IP address of the interface. }} | |||
{{var | Netzwerkkonfiguration--hinweis--dhcp | {{var | Netzwerkkonfiguration--hinweis--dhcp | ||
| Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. | |||
| Otherwise the DHCP server would access the physical address of the spare UTM during the fallback and not synchronize the leases. }} | |||
{{var | Inbetriebnahme | {{var | Inbetriebnahme | ||
| Inbetriebnahme der UTMs | |||
| Setting up the UTMs }} | |||
{{var | Inbetriebnahme--desc | {{var | Inbetriebnahme--desc | ||
| | |||
* Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet | |||
{{var | inbetriebnahme--hotwire--desc | * Zur Anmeldung auf der UTM wird bereits eine (Cluster-) Lizenz benötigt | ||
* Um eine Doppeleinwahl zu unterbinden, sollte das DSL-Modem nicht angeschlossen sein | |||
* Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse | |||
{{var | Cluster-Konfiguration | * Nach Abschluss des Assistenten werden die UTMs neu gestartet | ||
| | |||
* To set up the UTM cluster, the installation wizard is used first | |||
{{var | Cluster-Konfiguration--desc | * A (cluster) license is already required to log on to the UTM | ||
* To prevent double dial-up, the DSL modem should not be connected | |||
* Up to this point, the configuration of the two UTMs differs only in the internal and external IP address | |||
{{var | | * After the wizard is completed, the UTMs are restarted }} | ||
{{var | inbetriebnahme--hotwire--desc | |||
| Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden. <br>Diese muss auf den Maschinen '''den gleichen Port''' belegen - Bezeichnung je nach verwendeter Hard- und Software A2, eth2 oder LAN3. | |||
{{var | | | The UTMs are now physically connected via the selected Hotwire interface. This must occupy the same port on the machines - Designation depending on the hardware and software used A2, eth2 or LAN3. }} | ||
{{var | Cluster-Konfiguration | |||
| Cluster-Konfiguration | |||
{{var | Netzwerkkonfiguration | | Cluster configuration }} | ||
{{var | 1=Cluster-Konfiguration--desc | |||
| 2=* Die UTMs haben innerhalb des Clusters eine unterschiedliche '''Priorität''' | |||
{{var | IP-Adressen | * Die höhere Priorität hat das aktive Gerät (<i class="host utm">Master</i>), die niedrigere das Backup-System <i class="host utm">Spare</i> | ||
* In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.12.141 Master sein | |||
* Login über das Webinterface mit dieser IP und dem Port für Administration <small>(Default: 11115)</small> | |||
{{var | ip-adressen--desc | | 3=* The UTMs have different '''priorities''' within the cluster. | ||
* The higher priority is given to the active device (<i class="host utm">Master</i>), the lower to the backup system <i class="host utm">Spare</i>. | |||
* In our example, the UTM with the unique internal IP address 192.168.12.141 will be the master. | |||
* Login via the web interface with this IP and the port for administration <small>(Default: 11115)</small>. }} | |||
{{var| cluster-schnittstelle--bild | {{var | Cluster-Konfiguration--Bild | ||
| UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 1.png | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 1-en.png }} | |||
{{var | Cluster-Konfiguration--cap | |||
| Clusterkonfiguration Ausgangssituation | |||
| Cluster configuration Initial situation }} | |||
{{var | ip-hotwire | |||
| IP-Adressen der zukünftigen Hotwire-Schnittstellen | |||
| IP addresses of the upcoming Hotwire interfaces }} | |||
{{var | Netzwerkkonfiguration | |||
| Netzwerkkonfiguration | |||
| Network configuration }} | |||
{{var | IP-Adressen | |||
| IP-Adressen: | |||
| IP addresses: }} | |||
{{var | ip-adressen--desc | |||
| In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. <br>Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.'''2'''/24. | |||
| In the clickbox the IP address of the upcoming Hotwire interface is added. <br>In the example the masters LAN3/A2 gets the IP address 192.168.180.'''2'''/24. }} | |||
{{var | cluster-schnittstelle--bild | |||
| UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN3 master.png | |||
| UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN3 master-en.png }} | |||
{{var | Ethernet-Schnittstelle bearbeiten | |||
| Ethernet-Schnittstelle bearbeiten | |||
| Edit Ethernet interface }} | |||
{{var | wizard1--head | |||
| Start des Cluster-Setup-Wizard unter | |||
| Start the Cluster Setup Wizard at }} | |||
{{var | Schaltfläche | |||
| Schaltfläche | |||
| Button }} | |||
{{var | Cluster Assistent | |||
| Cluster Assistent | |||
| Cluster Wizard }} | |||
{{var | Schritt | |||
| Schritt | |||
| Step }} | |||
{{var | Wizard Schritt 1--Bild | |||
| UTM v14.1.0 Cluster Assistent Master Schritt 1.png | |||
| UTM v14.1.0 Cluster Assistent Master Schritt 1-en.png }} | |||
{{var | Wizard Schritt 1--desc | |||
| * Es wird mit der {{Host|Master}} Konfiguration begonnen | |||
| * Start with the {{Host|Master}} configuration is started }} | |||
{{var | wizard1--hotwire--desc | |||
| Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden! | |||
| The same interface must be selected on both devices! }} | |||
{{var | Wizard Schritt 2--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 2.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 2-en.png }} | |||
{{var | lokale-ip | |||
| Lokale IP‑Adresse: | |||
| Local IP‑address: }} | |||
{{var | wizard1--lokale-ip--desc | |||
| IP-Adresse der Master-UTM | |||
| IP address of the master UTM }} | |||
{{var | remote-ip | |||
| Remote IP‑Adresse: | |||
| Remote IP‑address: }} | |||
{{var | wizard1--remote-ip--desc | |||
| IP-Adresse der Hotwire-Gegenstelle (Spare-UTM) | |||
| IP address of the Hotwire remote unit (spare UTM) }} | |||
{{var | Schnittstelle | |||
| Schnittstelle: | |||
| Interface: }} | |||
{{var | Schnittstellen | |||
| Schnittstellen | |||
| Interfaces }} | |||
{{var | HA-Schnittstelle | |||
| HA-Schnittstelle | |||
| HA interface }} | |||
{{var | wizard2--schnittstelle--desc | |||
| Die zukünftige HA-Schnittstelle. Im Beispiel die interne Schnittstelle. | |||
| The upcoming HA interface. In the example the internal interface. }} | |||
{{var | Wizard Schritt 3--Bild | |||
| UTM v14.1.0 Cluster Assistent Master Schritt 3.png | |||
| UTM v14.1.0 Cluster Assistent Master Schritt 3-en.png }} | |||
{{var | wizard2--virtuelle-ip | |||
| Virtuelle IP‑Adresse: | |||
| Virtual IP‑address: }} | |||
{{var | Nur wenn Schnittstelle ohne IP gewählt | |||
| <small>Nur wenn Schnittstelle ohne IP gewählt</small> | |||
| <small>Only if interface without IP selected</small> }} | |||
{{var | wizard2--virtuelle-ip--desc | |||
| Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen. | |||
| The virtual IP address should be 192.168.200.1. There can also be several virtual IP addresses on one HA interface. }} | |||
{{var | 1=wizard2--hinweis--dhcp | |||
| 2=Bei Verwendung der UTM als DHCP-Server darf die virtuelle IP-Adresse nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] liegen, in der die Master- und Spare-UTM sind. | |||
| 3=When using the UTM as a DHCP server, the virtual IP address must not be in the same [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] as the master and spare UTM. }} | |||
{{var | wizard2--hinweis--info | |||
| Der DHCP-Server würde sich sonst beim Fallback auf die physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. | |||
| Otherwise the DHCP server would key itself to the physical address of the spare UTM during the fallback and not synchronize the leases. }} | |||
{{var | wizard2--hinweis--ha | |||
| Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden. | |||
| After the wizard has run through, other HA interfaces can also be configured. }} | |||
{{var | wizard3--deaktivierte | |||
| Deaktivierte Schnittstellen während das Gerät im Backup Modus ist: | |||
| Disabled interfaces while the device is in backup mode: }} | |||
{{var | wizard3--deaktivierte--desc | |||
| Schnittstellen, die auf dem Backup-System, der Spare-UTM, '''nicht''' hochgefahren werden. <br>Im Beispiel ''wan0'' (das DSL Interface). Die Einwahl soll nur durch die gerade aktive Master-UTM im Cluster erfolgen. | |||
| Interfaces that are '''not''' booted on the backup system, the spare UTM. <br> In the example ''wan0'' (the DSL interface). The dial-in should only be done by the currently active master UTM in the cluster. }} | |||
{{var | wizard3--deaktivierte--info | |||
| Dadurch ist es möglich, beide externen Interfaces der UTMs an das DSL Modem anzuschließen. Falls das Modem nur einen LAN Port besitzt, ist ein separater Switch zu verwenden. | |||
| This makes it possible to connect both external interfaces of the UTMs to the DSL modem. If the modem has only one LAN port, a separate switch must be used. }} | |||
{{var | Wizard Schritt 4-WireGuard--desc | |||
| Auch WireGuard Verbindungen (im Beispiel ''wg0'') werden so im Backup-Modus deaktiviert. | |||
| WireGuard connections (in the example ‘'wg0’') are also deactivated in backup mode. }} | |||
{{var | Wizard Schritt 4--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 4.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 4-en.png }} | |||
{{var | wizard4--deaktivierte | |||
| Deaktivierte Anwendungen während das Gerät im Backup Modus ist: | |||
| Disabled applications while the device is in backup mode: }} | |||
{{var | wizard4--deaktivierte--desc | |||
| Hier sind Anwendungen aufgeführt, die per Default deaktiviert sein sollen, sofern sich die Spare-UTM im Backup-Modus befindet. | |||
| Here applications are listed that should be disabled by default if the spare UTM is in backup mode. }} | |||
{{var | Hinweis für Installationen vor | |||
| Hinweis für Installationen vor | |||
| Note for installations before }} | |||
{{var | Wireguard Cluster-Hinweis | |||
| Gegebenenfalls lässt sich Wireguard im Clusterbetrieb nicht nutzen, wenn die Spare z.B. durch eine öffentliche Management-IP einen Weg Richtung Wireguard-Peer hat. In diesem Fall baut sich der Wireguard-Tunnel zum Peer auf und es besteht ein Tunnel zwischen Spare und dem Wireguard Peer. Das kann mit folgendem Befehl verhindert werden:<br> | |||
{{code|interface set name wg0 flags "DISABLED_IF_SPARE"}} (wenn dass Interface wg0 ist)<br>Wurde die Verbindung mit einer Version ab v12.4.0 erstellt, passiert dies automatisch. | |||
| It may not be possible to use Wireguard in cluster operation if the spare has a path towards the Wireguard peer, e.g. via a public management IP. In this case, the wireguard tunnel to the peer is established and there is a tunnel between the spare and the wireguard peer. The following command must then be entered:<br> | |||
{{code|interface set name wg0 flags "DISABLED_IF_SPARE"}} (if i.e. the interface is wg0)<br> From UTM v12.4.0 this happens automatically, but for existing configurations this must be done retrospectively. }} | |||
{{var | Wizard Schritt 5--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 5.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 5-en.png }} | |||
{{var | wizard5--priorität | |||
| Priorität | |||
| Priority }} | |||
{{var | Hoch | |||
| Hoch | |||
| High }} | |||
{{var | wizard5--priorität--desc | |||
| Die Master-UTM erhält die Priorität »hoch«. | |||
| The Master UTM receives the priority "high". }} | |||
{{var | Wizard Schritt 6--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 6.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 6-en.png }} | |||
{{var | wizard5--Passphrase--desc | |||
| Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) | |||
| The passphrase for the communication between the two UTMs on the HA interfaces (VRR protocol) }} | |||
{{var | wizard5--fertig | |||
| Cluster Assistent abschließen mit {{Button|Fertig}} | |||
| Close the Cluster Wizard with {{Button|Finish}} }} | |||
{{var | Wizard Schritt 7--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 7.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 7-en.png }} | |||
{{var | Einstellung für die Spare | |||
| Einstellung für die Spare | |||
| Setting for the spare }} | |||
{{var | Einstellung für die Spare--desc | |||
| Diese Konfigurationen müssen bei der Konfiguration der Spare eingefügt werden. Dazu können sie mithilfe der Schaltfläche {{Button||copy|class=icon}} in die Zwischenablage kopiert werden. | |||
| These configurations must be inserted when configuring the spare. To do this, they can be copied to the clipboard using the {{Button||copy|class=icon}} button. }} | |||
{{var | Wizard Spare Schritt 1--Bild | |||
| UTM v14.1.0 Cluster Assistent Spare Schritt 1.png | |||
| UTM v14.1.0 Cluster Assistent Spare Schritt 1-en.png }} | |||
{{var | Wizard Spare Schritt 1--desc | |||
| | |||
{{Alert}} Nun wird auf die {{Host|Spare}} gewechselt | |||
* Hier wird ebenfalls der Clusterassistent unter {{Menu-UTM|Netzerk|Clusterkonfiguration}} mit der Schaltfläche {{Button-dialog|Cluster Assistent|fa-wand-magic-sparkles}} gestartet | |||
* Und anschließend wird die Spare Konfiguration gewählt | |||
| | |||
{{Alert}} Now switch to {{Host|Spare}} | |||
* The cluster wizard is also started here under {{Menu-UTM|Netzwerk|Cluster configuration}} with the {{Button-dialog|Cluster wizard|fa-wand-magic-sparkles}} button | |||
* And then the spare configuration is selected }} | |||
{{var | Wizard Spare Schritt 2--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 2.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 2-en.png }} | |||
{{var | Wizard Spare Schritt 2--desc | |||
| * Anschließend kommt die Aufforderung den Cluster Assistent für die {{Host|Master}} UTM bis zu Schritt 7 auszuführen | |||
* Wenn dies geschehen ist kann mit Schritt 3 weitergemacht werden | |||
| * You will then be prompted to run the Cluster Wizard for the {{Host|Master}} UTM up to step 7 | |||
* When this is done, you can continue with step 3 }} | |||
{{var | Wizard Spare Schritt 3--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 3.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 3-en.png }} | |||
{{var | Einstellung des Masters | |||
| Einstellung des Masters | |||
| Setting the master }} | |||
{{var | Einstellung des Masters--desc | |||
| Hier müssen die Konfiguration der {{Host|Master}} UTM eingefügt werden. Diese können im [[#Master Cluster Assistent Schritt 6|Schritt 6 des Master Cluster Assistenten]] kopiert werden. | |||
| The configuration of the {{Host|Master}} UTM must be inserted here. These can be copied in [[#Master Cluster Assistent Step 6|Step 6 of the Master Cluster Wizard]]. }} | |||
{{var | Einstellung des Masters--desc--ohneLink | |||
| Hier müssen die Konfiguration der {{Host|Master}} UTM eingefügt werden. Diese können im ''Schritt 6 des Master Cluster Assistenten'' kopiert werden. | |||
| The configuration of the {{Host|Master}} UTM must be inserted here. These can be copied in ‘'Step 6 of the Master Cluster Wizard’'. }} | |||
{{var | Wizard Spare Schritt 4--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 4.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 4-en.png }} | |||
{{var | Werte automatisch gesetzt--Hinweis | |||
| Diese Werte sollten automatisch aus der Konfiguration des Masters übernommen worden sein. Wenn dies nicht der Fall ist, sollten beide Konfigurationen überprüft werden! | |||
| These values should have been automatically adopted from the configuration of the master. If this is not the case, both configurations should be checked! }} | |||
{{var | spare wizard4--lokale-ip--desc | |||
| IP-Adresse der Spare-UTM | |||
| IP address of the Spare UTM }} | |||
{{var | spare wizard4--remote-ip--desc | |||
| IP-Adresse der Hotwire-Gegenstelle (hier: Master-UTM) | |||
| IP address of the Hotwire remote peer (here: Master UTM) }} | |||
{{var | Wizard Spare Schritt 5--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 5.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 5-en.png }} | |||
{{var | Schlüssel der Gegenstelle | |||
| Schlüssel der Gegenstelle | |||
| Key of the remote station }} | |||
{{var | spare wizard 5-Schlüssel der Gegenstelle--desc | |||
| Der Schlüssel der Master-UTM für den verschlüsselten Datenaustausch | |||
| The master UTM key for encrypted data exchange }} | |||
{{var | Wizard Spare Schritt 6--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 6.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 6-en.png }} | |||
{{var | Einstellung für den Master | |||
| Einstellung für den Master | |||
| Setting for the master }} | |||
{{var | Einstellung für den Master--desc | |||
| Diese Konfigurationen müssen bei der Konfiguration des Masters eingefügt werden. Dazu können sie mithilfe der Schaltfläche {{Button||copy|class=icon}} in die Zwischenablage kopiert werden. | |||
| These configurations must be inserted when configuring the master. To do this, they can be copied to the clipboard using the {{Button||copy|class=icon}} button. }} | |||
{{var | Wizard Schritt 8--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 8.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 8-en.png }} | |||
{{var | Einstellung der Spare | |||
| Einstellung der Spare | |||
| Setting the spare }} | |||
{{var | Wechsel zur Master--Hinweis | |||
| Es wird wieder zur {{Host|Master}} gewechselt! | |||
| The system switches back to {{Host|Master}}! }} | |||
{{var | Einstellung der Spare--desc | |||
| Hier müssen die Konfiguration der {{Host|Spare}} UTM eingefügt werden. Diese können in [[#Spare Cluster Assistent Schritt 6|Schritt 6 des Spare Cluster Assistenten]] kopiert werden. | |||
| The configuration of the {{Host|Spare}} UTM must be inserted here. These can be copied in [[#Spare Cluster Wizard Step 6|Step 6 of the Spare Cluster Wizard]]. }} | |||
{{var | Wizard Schritt 9--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 9.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 9-en.png }} | |||
{{var | Master Wizard9-Schlüssel der Gegenstelle--desc | |||
| 2=Der Schlüssel der Spare-UTM für den verschlüsselten Datenaustausch. | |||
<li class="list--element__alert list--element__hint">Dieser Werte sollten automatisch aus der Konfiguration der Spare übernommen worden sein. Wenn dies nicht d/9*er Fall ist, sollten beide Konfigurationen überprüft werden!</li> | |||
| 3= The Spare UTM key for encrypted data exchange. | |||
/+<li class=“list--element__alert list--element__hint”>These values should have been automatically adopted from the spare configuration. If this is not the case, both configurations should be checked!</li> }} | |||
{{var | Abschluss | |||
| Abschluss | |||
| Conclusion }} | |||
{{var | Wizard Schritt 10--Bild | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 10.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 10-en.png }} | |||
{{var | Wizard Spare Schritt 7--Bild | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 7.png | |||
| UTM v14.0.0 Cluster Assistent Spare Schritt 7-en.png }} | |||
{{var | Wizard Abschluss--desc | |||
| * Nun kann auf beiden UTMs der Cluster Assistent mit {{Button|Fertig}} abgeschlossen werden | |||
| * The Cluster Wizard can now be completed on both UTMs with {{Button|Done}} }} | |||
{{var | | {{var | Status der Clusterkonfiguration | ||
| Status der Clusterkonfiguration | |||
| Status of the cluster configuration }} | |||
{{var | | {{var | cluster-schnittstellen--eth1 | ||
| Schnittstelle benutzt für '''High Availability''' | |||
| Interface used for '''High Availability''' }} | |||
{{var | cluster-schnittstellen--eth1--desc | |||
| Virtuelle IP 192.168.200.1/24<br> IP-Adresse: 192.168.12.141/24 | |||
| Virtual IP 192.168.200.1/24<br> IP address: 192.168.100.2/24 }} | |||
{{var | | {{var | cluster-schnittstellen--bild | ||
| UTM v14.1.0 Cluster Clusterkonfiguration Schnittstellen 2.png | |||
| UTM v14.1.0 Cluster Clusterkonfiguration Schnittstellen 2-en.png }} | |||
{{var | cluster-schnittstellen--eth2 | |||
| Schnittstelle wird benutzt als '''Hotwire''' | |||
| Interface is used as '''Hotwire''' }} | |||
{{var | cluster-schnittstellen--eth2--desc | |||
| IP-Adresse 192.168.180.2/24 | |||
| IP address 192.168.180.2/24 }} | |||
{{var | | {{var | cluster-schnittstellen--wan0 | ||
| Schnittstelle ist '''beim Backup deaktiviert''' | |||
| Interface is '''deactivated during backup''' }} | |||
{{var | | {{var | Clusterstatus | ||
| Clusterstatus | |||
| Cluster status }} | |||
{{var | | {{var | cluster-schnittstellen--clusterstatus--desc | ||
| Der Clusterstatus zeigt ''offline'' (schwarz) an, weil der Cluster noch nicht auf aktiv geschaltet ist | |||
| The cluster state does indicate ''offline'' (black) because the cluster is not yet set to active }} | |||
{{var | | {{var | Synchronisationsstatus | ||
| Synchronisationsstatus | |||
| Sync state }} | |||
{{var | | {{var | cluster-schnittstellen--sync--desc | ||
| Der Synchronisationsstatus zeigt ''error' (rot), weil die Gegenstelle nicht erreichbar ist | |||
| The Sync state is shows ''error'' (red), because the remote terminal cannot be reached }} | |||
{{var | | {{var | Einstellungen | ||
| Einstellungen | |||
| Options }} | |||
{{var | Einstellungen für die Clusterkonfiguration | |||
| Einstellungen für die Clusterkonfiguration | |||
| Settings für cluster configuration }} | |||
{{var | | {{var | lokaler-ssh-schlüssel | ||
| Lokaler SSH-Schlüssel: | |||
| Local SSH Key: }} | |||
{{var | | {{var | cluster--ssh-button | ||
| Neuen lokalen SSH-Schlüssel generieren | |||
| Generate new local SSH key }} | |||
{{var | | {{var | cluster--ssh-button--desc | ||
| Im Reiter {{Reiter|Einstellungen}} wird ein SSH Public Key erzeugt. | |||
| An SSH public key is created in the {{Reiter|Options}} tab. }} | |||
{{var | | {{var | cluster--einstellungen--bild | ||
| UTM v12.6.1 Cluster Clusterkonfiguration Einstellungen 1.png | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Einstellungen 1-en.png }} | |||
{{var | | {{var | cluster--einstellungen--ssh--desc | ||
| SSH-Schlüssel in die Zwischenablage kopieren | |||
| Copy SSH key to the clipboard }} | |||
{{var | | {{var | Konfiguration der Schnittstelle | ||
| Konfiguration der Spare-Schnittstelle | |||
| Spare interface configuration }} | |||
{{var | | {{var | spare--login | ||
| Login auf das Web-Interface der Spare-UTM. | |||
| Login to the web interface of the spare UTM }} | |||
{{var | | {{var | interface--edit | ||
| Schnittstelle bearbeiten | |||
| Edit interface }} | |||
{{var | | {{var | interface--edit--bild | ||
| UTM v12.6.1 Cluster Clusterkonfiguration Schnittstelle bearbeiten LAN3 spare.png | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Schnittstelle bearbeiten LAN3 spare-en.png }} | |||
{{var | | {{var | interface--edit--cap | ||
| Schnittstelle als Hotwire kennzeichnen | |||
| Mark interface as Hotwire }} | |||
{{var | | {{var | Schnittstelle bearbeiten | ||
| Schnittstelle bearbeiten | |||
| Edit interface }} | |||
{{var | | {{var | Verwendung | ||
| Verwendung: | |||
| Usage: }} | |||
{{var | | {{var | Verwendung--val | ||
| Schnittstelle als Hotwire benutzen | |||
| Use interface as hotwire }} | |||
{{var | | {{var | Verwendung--desc | ||
| Die Schnittstelle LAN3 der Spare-UTM wird als Hotwire gekennzeichnet. | |||
| The interface eth2 of the spare UTM is marked as Hotwire. }} | |||
{{var | spare--lokale-ip--desc | |||
| IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll. | |||
| IP address of the spare UTM to be used for Hotwire. }} | |||
{{var | | {{var | spare--remote-ip--desc | ||
| IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll. | |||
| IP address of the already configured Master UTM to be addressed as Hotwire. }} | |||
{{var | | {{var | lokaler-ssh-schlüssel--spare--desc | ||
| SSH Public Key für die ''Spare-UTM'' erzeugen | |||
| Create SSH Public Key for the ''Spare-UTM''' }} | |||
{{var | lokaler-ssh-schlüssel--spare--bild | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Einstellungen 2.png | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Einstellungen 2-en.png }} | |||
{{var | | {{var | dont-copy-ssh | ||
| SSH-Schlüssel '''noch nicht''' in die Zwischenablage kopieren | |||
| Copy SSH key to the clipboard '''not yet''' }} | |||
{{var | gegenstelle--ssh-schlüssel | |||
| Schlüssel der Gegenstelle: | |||
| Key of the remote terminal: }} | |||
{{var | | {{var | gegenstelle--ssh-schlüssel--desc | ||
| Public-SSH-Key der ''Master-UTM'' aus der Zwischenablage einfügen | |||
| Paste public SSH key of the ''Master UTM'' from the clipboard }} | |||
{{var | | {{var | spare--copy-ssh | ||
| '''Jetzt''' den lokalen Public-SSH-Key der Spare-UTM in die Zwischenablage einfügen. | |||
| '''Now''' paste the local Public-SSH-Key of the spare UTM into the clipboard. }} | |||
{{var | wechsel-auf | |||
| Wechsel auf | |||
| Switch to }} | |||
{{var | | {{var | spare--paste-ssh | ||
| Public-Key der Spare-UTM aus der Zwischenablage einfügen. | |||
| Paste public key of the spare UTM from the clipboard. }} | |||
{{var | | {{var | spare--paste-ssh--info | ||
| Auf der ''Master-UTM'' entspricht die ''Spare-UTM'' der Gegenstelle | |||
| On the ''Master-UTM'' the ''Spare-UTM'' represents the remote station }} | |||
{{var | | {{var | ssh-auf-beiden-seiten | ||
| Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle befinden.<br> Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der {{Button-dialog||fa-save|hover=Speichern}} Schaltfläche. | |||
| On both sides there should now be a local SSH key and the SSH key of the remote terminal.<br> Save the settings on both UTMs in this dialog by pressing the {{Button-dialog||fa-save|hover=Save}} button. }} | |||
{{var | | {{var | nicht synchronisiert Hinweis--Bild | ||
| UTM v12.8.0 Cluster Master nicht synchronisiert Hinweis.png | |||
| UTM v12.8.0 Cluster Master nicht synchronisiert Hinweis-en.png }} | |||
{{var | | {{var | Synchronisationsstatus--gelb--desc | ||
| Der Synchronisationsstatus sollte nun von ''error'' (rot) zu ''pending'' (gelb) wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. {{Hinweis-box|Neu ab v12.8.0|gr|12.8.0|status=neu}} Außerdem ist dieser Status an Folgendem zu erkennen: Hinweis im Header "nicht synchronisiert", Warnzeichen im Seitenmenü, Hinweis beim Aufrufen des Admin-Webinterfaces der Master-UTM {{info|{{Bild|{{#var:nicht synchronisiert Hinweis--Bild}} }} }}. | |||
| The synchronisation status should now change from ''error'' (red) to ''pending'' (yellow). This means that the two UTMs can see each other via the Hotwire interface, but the configuration is not yet synchronised. {{Hinweis-box|New for v12.8.0|gr|12.8.0|status=neu}} This status can also be recognised by the following: Note in the header "not synchronised", warning sign in the side menu, note when calling up the admin web interface of the master UTM {{info|{{Bild|{{#var:nicht synchronisiert Hinweis--Bild}} }} }}. }} | |||
{{ | {{var | Status aktualisieren | ||
| Die <u>Statusanzeige</u> wird in bestimmten Intervallen aktualisiert. In dem Reiter {{Reiter|Schnittstellen}} kann die Anzeige mit der Schaltfläche {{button||refresh}} manuell aktualisiert werden. | |||
| The <u>status display</u> is refreshed at certain intervals. In the {{Reiter|Interfaces}} tab, the display can be refreshed manually using the {{button||refresh}} button. }} | |||
{{ | {{var | Bereich Management--Hinweis | ||
| Informationen zu den Bereich {{Reiter|Management}} lassen sich im Artikel [[UTM/NET/Cluster-Management | Cluster Management]] finden. | |||
| Information on the {{Reiter|Management}} area can be found in the article [{{#var:host}}UTM/NET/Cluster Management Cluster Management]. }} | |||
{{var | | {{var | Bereich Management | ||
| Bereich {{Reiter|Management}} | |||
| {{Reiter|Management}} area }} | |||
{{var | | {{var | konfig-sync | ||
| Konfiguration synchronisieren | |||
| Synchronize configuration }} | |||
{{var | Synchronisationsstatus--success | |||
| Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf ''synchronized'' (grün). Die beiden UTMs sind abgeglichen.<br> Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.<br> Die Cluster {{b|Priorität}} {{Menu-UTM|Netzwerk|Clusterkonfiguration|Einstellungen}} der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt. | |||
| If the synchronization was completed successfully, the synchronization status is now green. The two UTMs are synchronized.<br> This process can be checked by calling up a configuration on the spare UTM that has been changed in the Master.<br> The cluster {{b|Priority}} {{Menu-UTM|Network|Cluster Configuration|Settings}} of the spare UTM (backup) has been automatically set to low. }} | |||
{{var | Synchronisationsstatus--success--hinweis | |||
| Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormalige Spare-UTM zum Master. | |||
| If the priority on the current spare UTM were set to high and the configuration were synchronized from there, the first machine would automatically be degraded to spare and the former spare UTM to master. }} | |||
{{var | cluster-aktivieren | |||
| Cluster aktivieren | |||
| Activate cluster }} | |||
{{ | {{var | externe-schnittstelle--dsl | ||
| Externe Interfaces an das DSL-Modem anschließen | |||
| Connecting external interfaces to the DSL modem }} | |||
{{var | | {{var | cluster-konfig--ergebnis-spare--bild | ||
| UTM v14.1.0 Cluster Ergebnis 1 spare.png | |||
| UTM v14.1.0 Cluster Ergebnis 1 spare-en.png }} | |||
{{ | {{var | cluster-konfig--ergebnis-master--bild | ||
| UTM v14.1.0 Cluster Ergebnis 1 master.png | |||
| UTM v14.1.0 Cluster Ergebnis 1 master-en.png }} | |||
{{var | | {{var | passiver Pfad | ||
| benutzer@firewall.name.fqdn (Passiver Cluster) | |||
| user@firewall.name.fqdn (passive cluster) }} | |||
{{var | aktiver Pfad | |||
| benutzer@firewall.name.fqdn (Aktiver Cluster) | |||
| user@firewall.name.fqdn (active cluster) }} | |||
{{var | {{var | cluster-aktivieren--ein--desc | ||
| Dieser Schritt muss auf '''beiden UTMs''' ausgeführt werden. | |||
| This step must be executed at '''both UTMs'''. }} | |||
{{var | | {{var | cluster--master | ||
| Auf der Master-UTM: | |||
| At the master UTM: }} | |||
{{var | | {{var | cluster--master--desc | ||
| Der Cluster ist nun in Betrieb und der Master des Clusters hat die virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface. | |||
| The cluster is now operational and the cluster master has the virtual IP address 192.168.200.1 on the internal interface. }} | |||
{{var | | {{var | cluster--spare | ||
| Auf der Spare-UTM: | |||
| At the Spare UTM: }} | |||
{{var | cluster--spare--desc | |||
| Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund | |||
| The Spare-UTM runs as hot standby in backup mode in the background }} | |||
{{ | {{var | 1=Manuelle Syncronisation--Hinweis | ||
| 2=Die Syncronisation des Clusters muss immer manuell erfolgen {{info|unter {{Menu-UTM|Netzwerk|Clusterkonfiguration|Management}} → {{b|Synchronisationsstatus:}} {{Button||class=fas fa-paper-plane-top}} }} | |||
| 3=The cluster must always be synchronised manually {{info|under {{Menu-UTM|Network|Cluster configuration|Management}} → {{b|Sync state:}} {{Button||class=fas fa-paper-plane-top}} }} }} | |||
{{ | {{var | status--desc | ||
| Sollte der Status nicht sofort aktualisiert werden, kann das auch hier wieder über die Schaltfläche zum Aktualisieren {{Button||refresh}} manuell ausgelöst werden. | |||
| If the status is not updated immediately, this can again be triggered manually via the button for updating {{Button||refresh}}. }} | |||
{{ | {{var | konfig--extern | ||
| Beispiel Konfiguration 2: Externer Router | |||
| Example Configuration 2: External Router }} | |||
{{var | | {{var | konfig--extern--desc | ||
| | |||
* In diesem Beispiel wird eine Konfiguration mit einem externen Router beschrieben. | |||
{{var | | * Der Router ist das Gateway zum Internet. | ||
* Eventuell wurde vom Provider ein öffentliches Netz zur Verfügung gestellt. <br>In diesem Beispiel wird ein privates Netz verwendet. Die Vorgehensweise ist dann analog zum öffentlichen Netz. | |||
* Hier werden nun zwei HA-Schnittstellen konfiguriert. <br>Eine für die interne und eine für die externe Schnittstelle. | |||
{{var | | | | ||
* This example describes a configuration with an external router. | |||
* The router is the gateway to the Internet. | |||
{{var | | * It is possible that a public network was given by the provider. <br>A private network is used in this example. The procedure is then the same as for the public network. | ||
* Two HA interfaces are now configured here. <br>One for the internal and one for the external interface. }} | |||
{{var | extern--nk--desc | |||
| 2=<p>'''Erstes Mitglied des Clusters (UTM 1, <i class="host utm">Master</i>)'''<br>''LAN1:'' Externe IP Adresse (zum Router) 192.168.175.102/24<br>''LAN2:'' Interne IP-Adresse: 192.168.12.141/24<br>''LAN3:'' Hotwire-IP-Adresse: 192.168.180.2/24</p><p>'''Zweites Mitglied des Clusters (UTM 2, <i class="host utm">Spare</i>)'''<br />''LAN1:'' Externe IP Adresse (zum Router) 192.168.175.103/24<br>''LAN2:'' Interne IP-Adresse: 192.168.12.142/24<br>''LAN3:'' Hotwire-IP-Adresse: 192.168.180.3/24</p> | |||
| 3=<p>'''First member of the cluster (UTM 1, <i class="host utm">Master</i>)'''<br>''LAN1:'' External IP address (to router) 192.168.175.102/24<br>''LAN2:'' Internal IP address: 192.168.12.141/24<br>''LAN3:'' Hotwire IP address: 192.168.180.2/24</p><p>'''Second member of the cluster (UTM 2, <i class="host utm">Spare</i>)'''<br />''LAN1:'' External IP address (to the router) 192.168.175.103/24<br>''LAN2:'' Internal IP address: 192.168.12.142/24<br>''LAN3:'' Hotwire IP address: 192.168.180.3/24 </p>}} | |||
{{var | Netzwerkkonfiguration--extern--virtuelle-ip | |||
{{var | | | '''Virtuelle IP-Adressen''', die sich beide Mitglieder des Clusters teilen:<br> | ||
''Externe Schnittstellen'' (zum Router) 192.168.175.101/24.<br> | |||
''Interne Schnittstellen'' 192.168.200.1/24 | Diese IP ist das '''Standard-Gateway''' des internen Netzwerks. | |||
{{var | | | The '''virtual IP addresses''' that both members of the cluster will share are:<br> | ||
''External interfaces'' (to the router) 192.168.175.101/24.<br> | |||
'''Internal interfaces''' 192.168.200.1/24 | This IP is the '''default gateway''' of the internal network. }} | |||
{{var | | {{var | wizard3--deaktivierte-non--desc | ||
| Schnittstellen, die auf dem Backup-System, der Spare-UTM, '''nicht''' hochgefahren werden. In dieser Konfiguration ist das '''nicht erforderlich''' | |||
| Interfaces that are '''not''' booted on the backup system, the spare UTM. In this configuration, that is '''not required''' }} | |||
{{ | {{var | Wizard Schritt 4b--Bild | ||
| UTM v14.0.0 Cluster Assistent Master Schritt 4b.png | |||
| UTM v14.0.0 Cluster Assistent Master Schritt 4b-en.png }} | |||
{{ | {{var | cluster-schnittstellen--eth0 | ||
| (Schnittstelle ist noch nicht für HA konfiguriert) | |||
| (Interface is not yet configured for HA) }} | |||
{{var | | {{var | cluster-schnittstellen--eth0--desc | ||
| ''IP-Adresse'' 192.168.175.102/24 | |||
| ''IP address'' 192.168.175.102/24 }} | |||
{{var | cluster-schnittstellen-extern--bild | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 3.png | |||
| UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 3-en.png }} | |||
{{var | externe-schnittstelle--ha | |||
| Externe Schnittstelle auf HA-Betrieb konfigurieren | |||
| Configure external interface to HA operation }} | |||
{{var | externe-schnittstelle--ha--router | |||
| Externe Schnittstelle zum Router | |||
| Configure external interface to HA operation }} | |||
{{var | externe-schnittstelle--ha--bild | |||
| UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN1.png | |||
| UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN1-en.png }} | |||
{{var | verwendung--schnittstelle--ha--val | |||
| Schnittstelle für High Availability benutzen | |||
| Use interface for High Availability }} | |||
{{var | verwendung--schnittstelle--ha--desc | |||
| Hochverfügbarkeit konfigurieren | |||
| Configure high availability }} | |||
{{var | 1=virtuelle-ip--router | |||
| 2=Virtuelle IP-Adresse aus dem Netz des Routers<br><li class="list--element__alert list--element__warning">Identisch für <i class="host utm">Master</i> und <i class="host utm">Spare</i></li> | |||
| 3=Virtual IP address from the network of the router<br><li class="list--element__alert list--element__warning">Identical for <i class="host utm">Master</i> and <i class="host utm">Spare</i></li> }} | |||
{{var | externe-ip | |||
| Externe IP UTM | |||
| External IP UTM }} | |||
{{var | virtuelle-ip--cluster | |||
| Virtuelle IP Cluster | |||
| Virtual IP Cluster }} | |||
{{var | ip--router | |||
| IP des Routers | |||
| IP of the Router }} | |||
{{var | tcpdump--bild--cap | |||
| tcpdump auf master.cluster.local | |||
| tcpdump at master.cluster.local }} | |||
{{var | tcpdump--desc | |||
| Die UTM 1 ist der Master und besitzt die virtuelle IP-Adresse.<br> Setzt man nun einen ping aus dem internen Netz auf die IP-Adresse des Routers ab, sieht man nebenstehendes im tcpdump der UTM1 auf dem externen Interface.</p> <p>Der Ping wird vom Client im Standard-Regelwerk ''nicht über die virtuelle IP-Adresse'' des Clusters geNATet, sondern über die ''dem Master eindeutige IP-Adresse 192.168.175.102.''<br> Das kommt zustande, weil die eindeutige IP-Adresse die erste IP auf der Schnittstelle ist und der Router sich in der gleichen Broadcast Domain befindet. Wechselt der Cluster auf das Backup System, wird dort nicht mehr die IP-Adresse der externen Schnittstelle der <i class="host utm">Master</i>-UTM 192.168.175.102 stehen, sondern die IP-Adresse der externen Schnittstelle der <i class="host utm">Spare</i>-UTM 192.168.175.103. </p> | |||
| The UTM 1 is the master and has the virtual IP address.<br> If you now ping the IP address of the router from the internal network, you can see the tcpdump of the UTM1 on the external interface.</p> <p>The ping is not NAT'ed by the client in the standard set of rules ''not via the virtual IP address'' of the cluster, but via the ''the master's unique IP address 192.168.175.102.''<br> This happens because the unique IP address is the first IP on the interface and the router is located in the same broadcast domain. If the cluster switches to the backup system, the IP address of the external interface of the <i class="host utm">Master</i>-UTM 192.168.175.102 is no longer located there, but the IP address of the external interface of the <i class="host utm">Spare</i>-UTM 192.168.175.103. </p> }} | |||
{{var | cluster--netzwerkobjekt--bild | |||
| UTM v12.6.1 Cluster Netzwerkobjekt HA.png | |||
| UTM v12.6.1 Cluster Netzwerkobjekt HA-en.png }} | |||
{{var | Netzwerkobjekt hinzufügen | |||
| Netzwerkobjekt hinzufügen | |||
| Add Networkobjects }} | |||
{{var | Netzwerkobjekte | |||
| Netzwerkobjekte | |||
| Networkobjects }} | |||
{{var | 1=cluster--netzwerkobjekt--desc | |||
| 2=Um das zu ändern wird im Menü <i class="host utm">Master</i> {{Menu-UTM|Firewall|Netzwerkobjekte}} ein neues Objekt mit der virtuellen IP-Adresse auf dem Cluster Interface erstellt. | |||
| 3=To change this, create a new object with the virtual IP address on the cluster interface in the menu <i class="host utm">Master</i> {{Menu-UTM|Firewall|Network Objects}}. }} | |||
{{var | cluster--regel--bild | |||
| UTM_v11.8.7_Cluster_Regel.png | |||
| UTM_v11.8.7_Cluster_Regel-en.png }} | |||
{{var | cluster--regel--cap | |||
| Anschließend wird unter {{Menu-UTM|Firewall|Paketfilter}} die entsprechende HideNAT-Regel bearbeitet. In Beispiel die Regel Nummer 7. | |||
| The corresponding HideNAT rule is then edited under {{Menu-UTM|Firewall|Packetfilter}}. In the example, rule number 7. }} | |||
{{var | cluster--regel--detail--bild | |||
| UTM v12.6.1 Cluster Regel bearbeiten HN-HA.png | |||
| UTM v12.6.1 Cluster Regel bearbeiten HN-HA-en.png }} | |||
{{var | Regel bearbeiten | |||
| Regel bearbeiten | |||
| Edit rule }} | |||
{{var | Paketfilter | |||
| Paketfilter | |||
| Packetfilter }} | |||
{{var | 1=cluster regel--desc | |||
| 2=Anschließend wird unter <i class="host utm">Master</i>{{Menu-UTM|Firewall|Paketfilter}} die entsprechende HideNAT-Regel bearbeitet. | |||
| 3=Next, the corresponding HideNAT rule is edited under <i class="host utm">Master</i>{{Menu-UTM|Firewall|Packet filter}}. }} | |||
{{var | cluster--regel--detail--bild--desc | |||
| Das Objekt {{button|external-interface|dr}} wird durch das gerade erstellte Objekt {{button|HA-Externe-IP|dr}} ersetzt. | |||
| The object {{button|external-interface|dr}} is replaced by the object {{button|HA-External-IP|dr}} just created. }} | |||
{{var | Speichern und schließen | |||
| Speichern und schließen | |||
| Save and close }} | |||
{{var | Schließen | |||
| Schließen | |||
| Close }} | |||
{{var | regel-aktualisieren | |||
| Regel aktualisieren | |||
| Update rule }} | |||
{{var | cluster--tcpdump2--bild | |||
| UTM_v11.8.7_Cluster_tcpdump2.png | |||
| UTM_v11.8.7_Cluster_tcpdump2.png }} | |||
{{var | cluster--tcpdump2--desc | |||
| Wird der Ping-Test jetzt wiederholt, wird die Cluster-IP 192.168.175.101 verwendet. | |||
| If the ping test is now repeated, the cluster IP 192.168.175.101 is used. }} | |||
{{var | hinweis--tcpdump--ping | |||
| Wenn der Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse geNATet.<br> Der Ping muss unterbrochen werden. Nach frühestens 30 Sekunden kann der Ping dann neu gestartet werden. | |||
| If the ping to the router ran without interruption, it is still stored in the Conntrack, so the ping is still being NATed via the wrong IP address.<br> The ping must be interrupted. After 30 seconds at the earliest the ping can be restarted. }} | |||
{{var | hinweis--nat-einstellungen | |||
| Für NAT Einstellungen müssen immer eindeutige IP-Adressen in den Netzwerkobjekten benutzt werden, wenn das NAT über ein HA-Interface konfiguriert wird. <br>Das gilt nicht nur für HideNATs sondern auch Portweiterleitungen bzw. Destination NATs. | |||
| For NAT settings, unique IP addresses must always be used in the network objects when configuring NAT via an HA interface. <br>This applies not only to HideNATs but also to port forwarding or destination NATs. }} | |||
{{var | Anwendungen in der Cluster-Konfiguration | |||
| Anwendungen in der Cluster-Konfiguration | |||
| Applications in the cluster configuration }} | |||
{{var | applikationen--bild | |||
| UTM v12.6.1 Cluster Mailfilter.png | |||
| UTM v12.6.1 Cluster Mailfilter-en.png }} | |||
{{var | Anwendungen | |||
| Anwendungen | |||
| Applications }} | |||
{{var | applikationen--allgemein | |||
| Anwendungen verwenden IP-Adressen, um sich bei anderen Servern zu identifizieren.<br> Es ist bei einigen Anwendungen möglich, dafür die Cluster-IP festzulegen. | |||
| Applications use IP addresses to identify themselves to other servers.<br> For some applications, it is possible to set the cluster IP for this. }} | |||
{{var | applikationen--beispiel | |||
| Beispielhaft wird das hier für das Mailrelay gezeigt. | |||
| This is shown here as an example for the mailrelay. }} | |||
{{var | 1=applikationen--mailrelay | |||
| 2=Es sollen E-Mails über das Mailrelay der UTMs verschickt und empfangen werden.<br> Dazu wurden entsprechende PTR, A, MX Records und SPF Einträge in den TXT Records der Domain gemacht, die auf die externe virtuelle IP-Adresse des Clusters zeigen. <li class="list--element__alert list--element__warning">Diese IP-Adressen müssen natürlich vom Router, der den Internetzugang in das eigene Netz weiterleitet, geroutet werden.<br> Damit das Mailrelay nun auch E-Mails über diese virtuelle IP verschickt, muss in der Applikation die ausgehende IP-Adresse korrekt eingestellt werden. In unserem Fall die virtuelle IP 192.168.175.101</li> | |||
| 3=Emails are to be sent and received via the mailrelay of the UTMs.<br> For this purpose, corresponding PTR, A, MX records and SPF entries were made in the TXT records of the domain, which point to the external virtual IP address of the cluster. <li class="list--element__alert list--element__warning"> Of course, these IP addresses must be routed by the router that forwards the Internet access to your own network.<br> In order for the mail relay to send emails via this virtual IP, the outgoing IP address must be set correctly in the application. In our case the virtual IP 192.168.175.101</li> }} | |||
{{var | applikationen--sync | |||
| Anschließend muss die Cluster Konfiguration erneut synchronisiert werden. | |||
| Then the cluster configuration must be synchronized again. }} | |||
{{var | appliaktionen--hinweis | |||
| Das Mailrelay kommuniziert jetzt '''immer''' mit der virtuellen IP-Adresse 192.168.175.101. Auch der interne Mailserver wird mit dieser IP als Absender kontaktiert. Das muss bei der Konfiguration des Mailservers berücksichtigt werden, sollte dieser nur SMTP-Verbindungen von bestimmten IPs akzeptieren. | |||
| The mail relay now '''always''' communicates with the virtual IP address 192.168.175.101. The internal mail server is also contacted with this IP as sender. This has to be taken into account when configuring the mail server if it only accepts SMTP connections from certain IPs. }} | |||
{{var | Anwendungen auf dem Backup deaktivieren | |||
| Anwendungen auf dem Backup deaktivieren | |||
| Deactivate applications on the backup }} | |||
{{var | Anwendungen auf dem Backup deaktivieren--desc | |||
| Unter {{Menu-UTM|Netzwerk|Clusterkonfiguration|Anwendungen}} können einzelne Anwendungen, mithilfe der Schiebeschaltfläche in der Tabelle, auf der Backup UTM deaktiviert werden, um Probleme vorzubeugen. {{Hinweis-box|Schaltflächen Beschriftung aktualisiert|gr|14.1.0|status=update}} | |||
| Under {{Menu-UTM|Network|Cluster configuration|Applications}}, individual applications can be deactivated on the backup UTM using the slide button in the table to prevent problems. {{Hinweis-box|Buttons label updated|gr|14.1.0|status=update}} }} | |||
{{var | Abschnitt Anwendungen--Bild | |||
| UTM v14.1.0 Cluster Clusterkonfiguration Anwendungen.png | |||
| UTM v14.1.0 Cluster Clusterkonfiguration Anwendungen-en.png }} | |||
{{var | Abschnitt Anwendungen--cap | |||
| Abschnitt {{Reiter|Anwendungen}} | |||
| Section {{Tab|Applications}} }} | |||
{{var | | {{var | appliaktionen--kommunikation | ||
| Kommunikation von Applikationen, die auf der Firewall laufen | |||
| Communication of applications running on the firewall }} | |||
{{var | appliaktionen--kommunikation--desc | |||
| Alle Applikationen, die von der Firewall selber eine Verbindung aufbauen, verwenden dafür (sofern nicht anders konfiguriert) die primären IPs der Schnittstellen. Sollten Management-IPs aus der gleichen Broadcast-Domäne verwendet werden, sind diese primären IPs '''nicht''' die virtuellen IP-Adressen. | |||
| All applications that establish a connection from the firewall itself use the primary IPs of the interfaces for this purpose (unless otherwise configured). If management IPs from the same broadcast domain are used, these primary IPs are '''not''' the virtual IP addresses. }} | |||
{{var | syslog--desc | |||
| Syslog-Nachrichten werden von der Management-IP der Master verschickt, wenn diese die aktive Maschine im Cluster ist, und von der Management-IP der Spare wenn diese aktiviert wurde. | |||
| Syslog messages are sent by the management IP of the master if it is the active machine in the cluster, and by the management IP of the spare if it has been activated. }} | |||
{{var | http-proxy--desc | |||
| Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese im Menü {{Menu-UTM|Anwendungen| HTTP-Proxy|Allgemein}} → {{b|Ausgehende IP-Adresse}} angegeben werden. | |||
| If a parent proxy is in use, which accepts connections only from a certain IP, it must be configured in the menu {{Menu-UTM|Applications|HTTP-Proxy|General}} → {{b|Outgoing address}} can be specified. }} | |||
{{var | radius | |||
| RADIUS-/LDAP-/AD-Anbindung | |||
| RADIUS/LDAP/AD connection }} | |||
{{var | radius--desc | |||
| Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem '''Ziel-Server''' jeweils die '''Management-IPs beider''' Geräte freigegeben werden. | |||
| If the server only allows connections from certain IPs, the '''management IPs of both''' devices must be released on the '''target server.''' }} | |||
{{var | ipsec--desc | |||
| Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld „Local Gateway“ eine der virtuellen IPs fest eingetragen ist.<br> {{Menu-UTM|VPN|IPSec|Verbindungen|Phase 1|w}} → {{Reiter|Allgemein}} {{b| Local Gateway}} {{Button|192.168.175.101|dr}} | |||
| All IPSec connections must be adjusted in phase 1 so that one of the virtual IPs is permanently entered in the "Local Gateway" field.<br> {{Menu-UTM|VPN|IPSec|Connections|Phase 1|w}} → {{Reiter|General}} {{b|Local Gateway}} {{Button|192.168.175.101|dr}} }} | |||
{{var | appliaktionen--extern | |||
| Kommunikation mit Applikationen, die auf anderen Geräten laufen | |||
| Communication with applications running on other devices }} | |||
{{var | ssl-vpn--server--desc | |||
| In allen SSL-VPN-Server-Instanzen muss die Option Multihome aktiviert werden:<br> {{Menu-UTM|VPN|SSL-VPN|||w}} → {{Reiter| Erweitert}} {{b|Multihome:}} {{ButtonAn|Ein}} | |||
| In all SSL-VPN server instances the option Multihome must be activated:<br> {{Menu-UTM|VPN|SSL-VPN|||w}} → {{Reiter|Advanced}} {{b|Multihome:}} {{ButtonAn|On}} }} | |||
{{var | ssl-vpn--clients--desc | |||
| Alle SSL-VPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Dazu sind folgende CLI-Befehle erforderlich: | |||
| All SSL-VPN client instances must be customized to use one of the virtual IPs to connect. The following CLI commands are required for this: }} | |||
{{var | bedeutung | |||
| Bedeutung | |||
| Meaning }} | |||
{{var | cli--openvpn-get | |||
| Ermittelt die ID der SSL-VPN-Verbindung | |||
| Determines the ID of the SSL-VPN connection }} | |||
{{var | cli--openvpn-set | |||
| Setzt die lokale Adresse | |||
| Sets the local address }} | |||
{{var | cli--openvpn-restart | |||
| Aktiviert die Einstellungen | |||
| Enables the settings }} | |||
{{var | Beispiel | |||
| Beispiel | |||
| Example }} | |||
{{var | pop3--desc | |||
| Der POP3-Proxy kommuniziert '''immer mit der Management-IP''', sofern diese in der gleichen Broadcast-Domain wie das Default-Gateway ist. Dies ist bei der Beschränkung des Zugriffs auf POP3-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten. | |||
| The POP3 proxy always communicates '''with the management IP'', if this is in the same broadcast domain as the default gateway. This should be noted when restricting access to POP3 servers to certain IP addresses in their configuration. }} | |||
{{var | clientless-vpn--desc | |||
| Verbindungen zu RDP/VNC-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf RDP/VNC-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten. | |||
| Connections to RDP/VNC servers are always established with the management IPs. This must be considered when restricting access to RDP/VNC servers to certain IP addresses in their configuration. }} | |||
{{var | Nameserver--desc | |||
| Verbindungen zu DNS-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf DNS-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten. | |||
| Connections to DNS servers are always established with the management IPs. This must be taken into account when restricting access to DNS servers to certain IP addresses in their configuration. }} | |||
{{var | Einschränkungen | |||
| Einschränkungen | |||
| Restrictions }} | |||
{{var | Einschränkungen--dhcp--ha | |||
| DHCP-Client nicht mit HA-Schnittstelle kombinieren | |||
| Combine DHCP client with HA interface }} | |||
{{var | Einschränkungen--dhcp--ha--desc | |||
| Es darf kein HA Interface auf einem Ethernet oder VLAN Interface konfiguriert werden, wenn das Interface als DHCP Client konfiguriert wurde und die UTM dort eine IP-Adresse dynamisch zugewiesen bekommt. <br>Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt. | |||
| No HA interface may be configured on an Ethernet or VLAN interface if the interface has been configured as a DHCP client and UTM is dynamically assigned an IP address there. <br>If the DHCP server is not available after you have started the UTM and it is also the master in the cluster at that moment, the virtual IP address is removed from the interface as soon as the DHCP server is available again and the UTM receives a new IP address from the DHCP server. }} | |||
{{var | Einschränkungen--dhcp--cluster | |||
| DHCP-Server in einer Clusterumgebung | |||
| DHCP server in a cluster environment }} | |||
{{var | Einschränkungen--dhcp--cluster--desc | |||
| Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] der anderen IP-Adressen liegen.<br> Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. Siehe: [[#Schritt2 | Cluster Konfiguration Schritt 2]] | |||
| When using the UTM as DHCP server, these IP addresses must not be located in the same [http://en.wikipedia.org/wiki/Broadcast_domain Broadcast Domain] of the other IP addresses.<br> Otherwise the DHCP server would key itself to the physical address of the spare UTM during the fallback and would not synchronize the leases. See: [{{#var:host}}UTM/NET/Cluster#Step2 Cluster Configuration Step 2] }} | |||
{{var | Speichern | |||
| Speichern | |||
| Save }} | |||
{{var | Konfiguration-Austauschgeräte | |||
| Konfiguration von Austauschgeräten | |||
| Replacement unit configuration }} | |||
{{var | 1=Konfiguration-Austauschgeräte--desc | |||
| 2=Ist ein Gerät defekt und muss ersetzt werden, muss die Konfiguration exakt dieser Maschine auf dem neuen Gerät wieder hergestellt werden. <br>(Es darf z.B. nicht die Konfiguration der Master auf die Spare eingespielt werden um dann lediglich die IP Adressen zu ändern). <br>Liegt weder ein lokales, noch ein Cloud Backup der Konfiguration vor, kann das Ersatzgerät mit einer neuen Konfiguration in den Cluster eingebunden werden.<br> Dazu sind die Einrichtungsschritte als <i class="host utm">Spare</i> so vorzunehmen, wie sie untenstehend beschrieben sind: | |||
• [[#Spare-UTM | Spare UTM]] bei externem Modem | |||
• [{{#var:host}}UTM/NET/Cluster#Spare-UTM_2 Spare UTM] bei externem Router | |||
| 3=If a device is defective and needs to be replaced, the configuration of exactly this machine must be restored on the new device. <br>(e.g. the master configuration must not be copied to the spare in order to change only the IP addresses). <br> | |||
If neither a local nor a cloud backup of the configuration is available, the replacement unit can be integrated into the cluster with a new configuration.<br> For this purpose, the setup steps as <i class="host utm">Spare</i> must be carried out as described below: | |||
• [[#Spare UTM | Spare UTM]] with external modem | |||
• [{{#var:host}}UTM/NET/Cluster#Spare UTM_2 Spare UTM] with external modem }} | |||
{{var | Konfiguration-Austauschgeräte--SSH | |||
| Die SSH-Keys müssen dabei '''beide''' aus dem aktuell aktiven Gerät vice versa in das jeweilige Pendant kopiert werden | |||
| The SSH keys must be copied '''both''' from the current active device vice versa to the respective counterpart }} | |||
{{var | NAT in der Cluster-Konfiguration | |||
| NAT in der Cluster-Konfiguration | |||
| NAT in the cluster configuration }} | |||
{{var | NAT in der Cluster-Konfiguration--desc | |||
| In der beschriebenen Konstellationen mit externen HA-Schnittstellen ist es sinnvoll die NAT Einstellungen anzupassen.{{info|Die Ausfallzeit des Clusters wird reduziert, da keine neue IP-Adressen für die Kommunikation vergeben werden müssen.}} <br> | |||
Wir beziehen uns hier auf das Beispiel »Cluster Konfiguration: Externer Router«.<br> Die externe virtuelle IP-Adresse des Clusters ist in der selben Broadcast Domain wie die externen IP-Adressen der Schnittstellen.<br> Die Standardroute der UTMs zeigt auf den Router der die Internet Verbindung herstellt. | |||
| In the described constellations with external HA interfaces, it makes sense to adjust the NAT settings.{{info|The downtime of the cluster is reduced because no new IP addresses have to be assigned for communication.}}<br> | |||
We refer here to the example »Cluster configuration: External router«.<br> The external virtual IP address of the cluster is in the same broadcast domain as the external IP addresses of the interfaces.<br> The default route of the UTMs points to the router that connects to the Internet. }} | |||
{{var | Priorität | |||
| Priorität | |||
| Priority }} | |||
{{var | Priorität--Spare | |||
| Niedrig | |||
| Low }} | |||
{{var | Priorität--Spare--desc | |||
| Die Priorität beim Spare muss auf ''Niedrig'' gestellt sein | |||
| The priority of the spare must be set to "Low". }} | |||
{{var | 1=Priorität--Austausch--Hinweis | |||
| 2=Bei einem Austauschgerät muss die Priorität gemäß des zukünftigen Einsatzzweckes auf {{Button|Hoch|dr}} für <i class="host utm">Master</i> bzw. auf {{Button|Niedrig|dr}} für <i class="host utm">Spare</i> gestellt werden. | |||
| 3=For a replacement unit, the priority must be set to {{ic|High|dr}} for <i class="host utm">Master</i> or to {{ic|Low|dr}} for <i class="host utm">Spare</i> according to the future purpose. }} | |||
{{var | Vorbereitungen | |||
| Vorbereitungen | |||
| Preparations }} | |||
{{var | Hotwire IP der | |||
| Hotwire IP der | |||
| Hotwire IP of the }} | |||
{{var | ip-adressen Spare--desc | |||
| Im Beispiel bekommt LAN3/A2 der '''Spare''' die IP-Adresse 192.168.180.'''3'''/24. | |||
| In the example LAN3/A2 the '''spare''' gets the IP address 192.168.180.'''3'''/24. }} | |||
{{var | Remote IP-Adressen | |||
| Remote IP-Adressen | |||
| Remote IP addresses }} | |||
{{var | Remote IP-Adressen--desc | |||
| Adressen weiterer Geräte im Cluster | |||
| Addresses of other devices in the cluster }} | |||
{{var | Virtuelle IP-Adressen | |||
| Virtuelle IP-Adressen | |||
| Virtual IP addresses }} | |||
{{var | 1=Virtuelle IP-Adressen--desc | |||
| 2=Diese Adresse ist nur auf dem jeweils aktiven Gerät <i class="host utm">Master</i> verfügbar | |||
| 3=This address is only available on the respective active <i class="host utm">Master</i> device }} | |||
{{var | Virtual Router ID Offset--desc | |||
| Mitglieder des selben Clusterverbundes müssen immer die selbe ''Virtual Router ID'' haben | |||
| Members of the same cluster must always have the same ''Virtual Router ID'' }} | |||
{{var | Cluster-aus--desc | |||
| Der Cluster wird erst aktiviert, wenn beide Geräte über die notwendigen SSH-Schlüssel verfügen | |||
| The cluster is not activated until both devices have the necessary SSH keys }} | |||
{{var | Priorität Master--desc | |||
| Die Priorität für den Master bleibt auf ''Hoch'' | |||
| The priority for the master remains at ''High'' }} | |||
{{var | Passphrase ändern | |||
| Die Passphrase könnte hier noch einmal geändert werden | |||
| The passphrase may be changed again here }} | |||
{{var | Reiter Einstellungen | |||
| Reiter Einstellungen | |||
| Settings tab }} | |||
{{var | Bereich Einstellungen | |||
| Bereich {{Reiter|Einstellungen}} | |||
| {{Reiter|Settings}} area }} | |||
{{var | Beispiel DSL | |||
| Beispiel {{Hover|1|UTM an externem DSL-Modem}} | |||
| Example {{Hover|1|UTM on external DSL modem}} }} | |||
{{var | Konfiguration synchronisieren--desc | |||
| Mit Klick auf die Schaltfläche wird die Konfiguration vom Master auf die Spare übertragen.<br>Es erfolgt noch eine Sicherheitsabfrage, mit der die Synchronisation abgebrochen werden kann. | |||
| By clicking on the button, the configuration is transferred from the master to the spare.<br>Another security query is displayed, which can be used to cancel the synchronization. }} | |||
{{var | Offline-synchronized--Bild | |||
| UTM v14.1.0 Cluster Sync-Status gruen.png | |||
| UTM v14.1.0 Cluster Sync-Status gruen-en.png }} | |||
{{var | Offline-synchronized--cap | |||
| Reiter ''Management'' | |||
| Tab ''Management'' }} | |||
{{var | Hotwire-Schnittstelle verbinden | |||
| Hotwire-Schnittstelle verbinden | |||
| Connect Hotwire interface }} | |||
{{var | Beispiel Router | |||
| Beispiel {{Hover|2|UTM an externem Router}} | |||
| Example {{Hover|2|UTM on external router}} }} | |||
{{var | Beispiel Router default--Bild | |||
| UTM v12.6.1 Cluster Netzwerkschnittstellen Schnittstellen.png | |||
| UTM v12.6.1 Cluster Netzwerkschnittstellen Schnittstellen-en.png }} | |||
{{var | Vorläufiger Zustand der Clusterkonfiguration | |||
| Vorläufiger Zustand der Clusterkonfiguration | |||
| Preliminary state of the cluster configuration }} | |||
{{var | Firmware übertragen | |||
| Firmware synchronisieren: | |||
| Synchronize firmware: }} | |||
{{var | Firmware übertragen--desc | |||
| Siehe Artikel zum [[UTM/NET/Cluster-Updateverfahren | Update eine UTM Clusters]] | |||
| See article on [{{#var:host}}UTM/NET/Cluster-Updateverfahren Update a UTM Cluster] }} | |||
{{var | Nur bei eingerichtetem Cluster verwenden | |||
| Nur bei eingerichtetem Cluster verwenden! | |||
| Use only when cluster is set up! }} | |||
{{var | 1=Reiter Schnittstellen nach Aktivierung | |||
| 2=Reiter {{Reiter|Schnittstellen}} nach Aktivierung des Clusters im Reiter {{Reiter|Einstellungen}} auf <i class="host utm">Master</i> & <i class="host utm">Spare</i> setzen | |||
| 3=Set {{Reiter|Interfaces}} tab to <i class="host utm">Master</i> & <i class="host utm">Spare</i> after activating the cluster in the {{Reiter|Settings}} tab. }} | |||
{{var | Einsatzgebiete--Bild | |||
| Cluster.png | |||
| Cluster-en.png }} | |||
{{var | Einsatzgebiete mit IP--Bild | |||
| Cluster mit IP.png | |||
| Cluster mit IP-en.png }} | |||
{{var | Einsatzgebiete--Abb | |||
| Über das Bild hovern für mehr Details! | |||
| Hover over the image for more details! }} | |||
{{var | mit IP-Adressen | |||
| mit IP-Adressen | |||
| with IP addresses }} | |||
{{var | Hotwire-Schnittstelle--Bild | |||
| Cluster-Hotwire.png | |||
| Cluster-Hotwire-en.png }} | |||
{{var | | |||
| | |||
| }} | |||
---- | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
</div> | |||
UTM/NET/Cluster.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki