(Lauritzl verschob die Seite UTM/VPN/SSL VPN-S2S-Fallback nach UTM/VPN/SSL VPN-S2S-Fallback v11.7) Markierung: Neue Weiterleitung |
KKeine Bearbeitungszusammenfassung |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
# | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{:UTM/VPN/SSL VPN-S2S-Fallback.lang}} | |||
{{var | neu-Layoutanpassungen | |||
| Layoutanpassungen | |||
| Layout adjustments }} | |||
</div> {{TOC2}} | |||
{{Select_lang}} | |||
{{Header|12.2.5.1| | |||
* {{#var:neu-Layoutanpassungen}} | |||
|[[UTM/VPN/SSL_VPN-S2S-Fallback_v11.7 | 11.7]] | |||
[[UTM/VPN/SSL_VPN-S2S-Fallback_v11.6 | 11.6.12]] | |||
|{{Menu|VPN|SSL-VPN}} | |||
}} | |||
---- | |||
=== {{#var:Einleitung}} === | |||
{{pt3| {{#var:Einleitung--Bild}} |{{#var:Einleitung--cap--desc}}{{#var:Einleitung--cap}} }} | |||
<div class="Einrücken"> | |||
{{#var:Einleitung--desc}} | |||
</div><br clear=all> | |||
=== {{#var:Konfiguration der Zentrale}} === | |||
{{pt3| {{#var:Konfiguration der Zentrale--Bild}} |{{#var:Konfiguration der Zentrale--cap}} }} | |||
<div class="Einrücken"> | |||
{{#var:Konfiguration der Zentrale--desc}} | |||
<br> | |||
{{Hinweis-neu|! {{#var:Konfiguration der Zentrale-Hinweis}}|g}} | |||
</div><br clear=all> | |||
=== {{#var:Konfiguration der Außenstelle}} === | |||
{{pt3| {{#var:Konfiguration der Außenstelle--Bild}} |{{#var:Konfiguration der Außenstelle--cap}} }} | |||
<div class="Einrücken"> | |||
{{#var: Konfiguration der Außenstelle--desc}} | |||
<br><br> | |||
{{code|198.51.100.2,203.0.113.2}} | |||
</div><br clear=all><br> | |||
{{pt3| {{#var:Konfiguration mit Doppelpunkt--Bild}} |{{#var:Konfiguration mit Doppelpunkt--cap}} }} | |||
<div class="Einrücken"> | |||
{{#var:Konfiguration mit Doppelpunkt--desc}} | |||
<br><br> | |||
{{code|198.51.100.2:1195,203.0.113.2:1195}} | |||
</div><br clear=all> | |||
=== {{#var:Ablauf im Falle eines Ausfalls}} === | |||
{{#var:Ablauf im Falle eines Ausfalls--desc}} | |||
<br clear=all> | |||
=== {{#var:Tunnel wieder auf Leitung 1 umgeschaltet}} === | |||
<div class="Einrücken"> | |||
{{#var:Tunnel wieder auf Leitung 1 umgeschaltet--desc}} | |||
</div><br clear=all> | |||
Aktuelle Version vom 8. März 2023, 16:45 Uhr
- Layoutanpassungen
Einleitung
In diesem Wiki Artikel wird beschrieben, wie für ein SSL-VPN Site-to-Site Tunnel ein Fallback eingerichtet werden kann. Für die Einrichtung des Fallback ist ein vorhandener SSL-VPN Site-to-Site Server vorausgesetzt.
Der Aufbau gestaltet sich dann wie folgt:
In der Außenstelle ist eine Internetverbindung vorhanden und auf der Firewall in der Hauptstelle ist ein Multipathrouting über zwei Internetleitungen konfiguriert.
Der Tunnel wird nun so konfiguriert, dass die Außenstelle über eine der beiden Leitungen der Zentrale einen Site-to-Site-Tunnel initiiert.
Konfiguration der Zentrale
In der Zentrale muss ein Multipathrouting konfiguriert sein, es gibt also zwei Schnittstellen mit jeweils einer öffentlichen IP und zwei Default-Routen.
Die Konfiguration des OpenVPN-Servers, falls noch nicht erfolgt, kann wie im Artikel SSL-VPN Site-to-Site erfolgen.
Konfiguration der Außenstelle
Der Site-to-Site-Client wird wie gewohnt eingerichtet, jedoch mit einer Besonderheit:
In Schritt 5 in dem Feld Host(s): müssen nun beide IP-Adressen der Zentrale eingetragen, und durch ein Komma getrennt werden.
198.51.100.2,203.0.113.2
Wenn der SSL-VPN Server in der Zentrale die Verbindungen nicht auf 1194 entgegennimmt, muss der Port durch ein Doppelpunkt getrennt, direkt hinter der IP eingetragen werden.
198.51.100.2:1195,203.0.113.2:1195
Ablauf im Falle eines Ausfalls
- Site-to-Site-Tunnel ist aufgebaut (Außenstelle <-> Zentrale - Leitung 1).
- Leitung 1 in der Zentrale verliert die Verbindung.
- Die Außenstelle versucht zwei Minuten lang einen Tunnel über Leitung 1 der Zentrale aufzubauen.
- Die Zentrale antwortet auf Leitung 1 zwei Minuten lang nicht.
- Die Außenstelle wechselt und versucht nun den Tunnel über die Leitung 2 der Zentrale zu initiieren.
- Der Tunnel ist nun über Leitung 2 der Zentrale aufgebaut.
Wann wird der Tunnel wieder auf Leitung 1 umgeschaltet?
Der Tunnel wird nicht ohne Weiteres wieder auf die Leitung 1 initiiert. Dies geschieht erst, wenn Leitung 2 der Zentrale die Verbindung verliert oder der SSL-VPN-Dienst auf der Außenstelle neu gestartet wird.