Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 2: | Zeile 2: | ||
{{:UTM/NET/Cluster.lang}} | {{:UTM/NET/Cluster.lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{var | neu--Wartungsmodus | |||
| [[#Wartungsmodus | Wartungsmodus]] für das Cluster | |||
| [[#Maintenance Mode | Maintenance mode]] for the cluster }} | |||
{{var | neu--virtuelle IP Formulierung | |||
| Klarere Formulierung für [[#Schritt2 | virtuelle IP bei DHCP]] | |||
| Clearer wording for [[#Step2 | virtual IP with DHCP]] }} | |||
</div>{{Select_lang}}{{TOC2|limit=3}} | </div>{{Select_lang}}{{TOC2|limit=3}} | ||
{{Header|12.1| | {{Header|12.1| | ||
* {{#var:neu--Wartungsmodus}} | * {{#var:neu--Wartungsmodus}} | ||
* {{#var:neu--virtuelle IP Formulierung}} <small>(03.2023)</small> | |||
|[[UTM/NET/Cluster_11.7 | '''11.7]] | |[[UTM/NET/Cluster_11.7 | '''11.7]] | ||
}} | }} |
Version vom 13. März 2023, 08:31 Uhr
- Wartungsmodus für das Cluster
- Klarere Formulierung für virtuelle IP bei DHCP (03.2023)
Es sollte immer die neueste Version der Software installiert werden.
Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten.
Einsatzgebiete
Durch Einsatz der UTM in einem Hot-Standby-Cluster kann eine Hochverfügbarkeit der UTM gewährleistet werden.
Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig.
Einrichtung
Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.
Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP.
Voraussetzungen
Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig:
- Eine Cluster-Master-Lizenz
Eine Cluster-Spare-Lizenz
Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die zwei unterschiedliche Lizenzen beinhaltet und die im Securepoint Reseller Portal beantragt werden kann.
Endkunden wenden sich bitte an Ihren autorisierten Securepoint Reseller.
- Die Menüpunkte zur Cluster-Konfiguration sind sichtbar, sobald eine Cluster-Lizenz eingespielt ist.
- Zwei identische Appliances* mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware
Im kleinsten Szenario sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.
* Der Betrieb einer RC300 G3 und einer RC340 G3 in einem gemeinsamen Cluster ist freigegeben. Andere Konstellationen werden nicht unterstützt.
- Die eingesetzten Switches und Router unterstützen gratuitous ARP
Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM gratuitous ARP Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.
Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren.
Funktionsweise des Clusters
[[Datei:|hochkant=2|mini|Abb.: 1.2 ]]
- Der Cluster verwendet eindeutige IP- und MAC-Adressen für die beiden Mitglieder des Clusters sowie virtuelle IP-Adressen für den Cluster selber
- Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv
- Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters
- Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing
Das Cluster VRR Protokoll
VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als High-AvailabilitySchnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.
Mit Hilfe von tcpdump kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)
Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.
Umschalten des Clusters
Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus:
- Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren.
- Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr.
- Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an.
- Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.
Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master.
Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen:
HA-Schnittstelle 1 | HA-Schnittstelle 2 | UTM 1 Status | UTM 2 Status |
---|---|---|---|
UTM 1 UP | UTM 2 UPUTM 1 UP | UTM 2 UP||
UTM 1 DOWN | UTM 2 UPUTM 1 UP | UTM 2 UP||
UTM 1 DOWN | UTM 2 DOWNUTM 1 UP | UTM 2 UP||
UTM 1 DOWN | UTM 2 DOWNUTM 1 UP | UTM 2 DOWN||
UTM 1 DOWN | UTM 2 DOWNUTM 1 DOWN | UTM 2 DOWN
Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt.
Fallback im Cluster
Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der Master wird aktiv.
Hotwire Schnittstelle
Die Hotwire-Schnittstelle ist eine exklusive Schnittstelle, die nur zum Synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Diese Schnittstelle hat exklusiv diese Aufgabe. Bei der Auswahl der Appliances muss darauf geachtet werden, daß für das Hotwire-Netz jeweils eine Schnittstelle frei sein muss.
Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection-Tracking wird über den Port 3780 (UDP) abgeglichen. Ist eine Ethernet-Schnittstelle als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des UTM-Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Mitgliedern des Clusters erfolgen. Das Connection-Tracking wird immer automatisch vom Master im Cluster zum Backup übertragen (Abb. 1.3).
Es muss sichergestellt werden, dass niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem synchronisiert werden soll.
Konfiguration abgleichen
Über die Hotwire-Schnittstelle wird die jeweilige Start-Konfiguration synchronisiert. Änderungen, die auf einer Maschine im Cluster gemacht wurden, werden über diese Schnittstelle auf das andere Gerät übertragen. In der Regel wird die Konfiguration, nach der Inbetriebnahme des Clusters, allein auf einer UTM durchgeführt. Wir empfehlen den Master zu verwenden.
Folgende Teile der Konfiguration werden nicht abgeglichen:
- IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden.
Das sind die IP-Adressen, die im Webinterface unter dem Punkt eingestellt werden. Wird ein Ethernet- oder VLAN-Schnittstelle neu erzeugt, wird dies zwar übertragen, jedoch nicht die Information über die IP-Adressen dieser Schnittstellen. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden, denn sie sind immer eindeutig einer UTM zugewiesen. Diese IP-Adressen sind nicht zu verwechseln mit virtuellen IP-Adressen auf einer HA-Schnittstelle, die sich beide Maschinen im Cluster teilen. - Active Directory-Appliance-Account.
Dieser Account ist immer eindeutig im AD. Man erstellt unterschiedliche Namen auf beiden Maschinen und meldet jede separat am Active Directory an.
In dem Fall gelangt man über die virtuelle IP-Adresse auf die UTM, die in dem Augenblick der Master ist.
Soll über diese Schnittstelle das Mitglied des UTM-Clusters eindeutig identifiziert werden, ist es jedoch erforderlich eine eindeutige IP-Adresse zu konfigurieren.
Konfiguration von Austauschgeräten
(Es darf z.B. nicht die Konfiguration der Master auf die Spare eingespielt werden um dann lediglich die IP Adressen zu ändern).
Liegt weder ein lokales, noch ein Cloud Backup der Konfiguration vor, kann das Ersatzgerät mit einer neuen Konfiguration in den Cluster eingebunden werden.
Dazu sind die Einrichtungsschritte als Spare so vorzunehmen, wie sie untenstehend beschrieben sind: • Spare UTM bei externem Modem • Spare UTM bei externem Router
Beispiel-Konfiguration 1: Externes DSL-Modem
In diesem Beispiel wird eine Konfiguration aufgezeigt, mit der ein UTM-Cluster an einem DSL-Modem betrieben werden kann. Die Einwahl erfolgt direkt durch die UTM.
Netzwerkkonfiguration
Erstes Mitglied des Clusters (UTM 1, Master)
LAN1: Externe DSL Verbindung mittels PPPoE.
LAN2: Interne IP-Adresse: 192.168.12.141/24
LAN3: Hotwire-IP-Adresse:192.168.180.2/24
Zweites Mitglied des Clusters (UTM 2, Spare)
LAN1: Externe DSL Verbindung mittels PPPoE.
LAN2: Interne IP-Adresse:192.168.12.142/24
LAN3: Hotwire-IP-Adresse:192.168.180.3/24
Als virtuelle IP-Adresse für die internen Schnittstellen LAN2 wird 192.168.200.1/24 definiert.
Diese IP-Adresse ist das Standard-Gateway des internen Netzwerks.
Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.
Inbetriebnahme der UTMs
- Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet
- Zur Anmeldung auf der UTM wird bereits eine (Cluster-) Lizenz benötigt
- Um eine Doppeleinwahl zu unterbinden, sollte das DSL-Modem nicht angeschlossen sein
- Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse
- Nach Abschluss des Assistenten werden die UTMs neu gestartet
Hotwire Schnittstelle
Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden.
Diese muss auf den Maschinen den gleichen Port belegen - Bezeichnung je nach verwendeter Hard- und Software A2, eth2 oder LAN3.
Cluster-Konfiguration
- Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität
- Die höhere Priorität hat das aktive Gerät (Master), die niedrigere das Backup-System Spare
- In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.12.141 Master sein
- Login über das Webinterface mit dieser IP und dem Port für Administration (Default: 11115)
Master-UTMMaster-UTM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
IP-Adressen der zukünftigen Hotwire-Schnittstellen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master eth2 → IP-Adressen: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IP-Adressen: | »192.168.180.2/24 | In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.2/24. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Start des Cluster-Setup-Wizard unter Master | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Hotwire Schnittstelle: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokale IP‑Adresse: | 192.168.180.2/24 | IP-Adresse der Master-UTM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Remote IP‑Adresse: | 192.168.180.3 | IP-Adresse der Hotwire-Gegenstelle (Spare-UTM) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 2 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Schnittstelle: | Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Virtuelle IP‑Adresse: | 192.168.200.1/24 | Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Der DHCP-Server würde sich sonst beim Fallback auf die physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 3 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Deaktivierte Schnittstellen während das Gerät im Backup Modus ist: wan0 | Schnittstellen, die auf dem Backup-System, der Spare-UTM, nicht hochgefahren werden. Im Beispiel wan0 (das DSL Interface). Die Einwahl soll nur durch die gerade aktive Master-UTM im Cluster erfolgen. Dadurch ist es möglich, beide externen Interfaces der UTMs an das DSL Modem anzuschließen. Falls das Modem nur einen LAN Port besitzt, ist ein separater Switch zu verwenden. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 4 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Deaktivierte Anwendungen während das Gerät im Backup Modus ist:Clientless VPN DHCP Server Greylisting Filter HTTP Proxy IPSEC L2TP VPN Mailrelay POP3 Proxy Routing Daemon SPF Filter SSL-VPN Spamfilter WLAN ServerDefault | Hier sind Anwendungen aufgeführt, die per Default deaktiviert sein sollen, sofern sich die Spare-UTM im Backup-Modus befindet. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 5 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Priorität | Die Master-UTM erhält die Priorität »hoch«. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
insecure | Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent abschließen mit | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Status der Clusterkonfiguration | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master Schnittstellen | Reiter||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eth1 | Schnittstelle benutzt für High Availability | Virtuelle IP 192.168.200.1/24 IP-Adresse: 192.168.12.141/24 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eth2 | Schnittstelle wird benutzt als Hotwire | IP-Adresse 192.168.180.2/24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
wan0 | Schnittstelle ist beim Backup deaktiviert | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Clusterstatus | Der Clusterstatus zeigt offline (schwarz) an, weil der Cluster noch nicht auf aktiv geschaltet ist | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Synchronisationsstatus: | Der Synchronisationsstatus zeigt error' (rot), weil die Gegenstelle nicht erreichbar ist | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Einstellungen für die Clusterkonfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master Einstellungen | Reiter||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokaler SSH-Schlüssel: | Im Reiter Einstellungen wird ein SSH Public Key erzeugt. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ssh-rsa AAAAB3Nz […] zE0SU= root@master.cluster.local |
SSH-Schlüssel in die Zwischenablage kopieren | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Spare-UTMSpare UTM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konfiguration der Spare-Schnittstelle | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login auf das Web-Interface der Spare-UTM. Spare Reiter Schnittstellen Schaltfläche | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eth2 | eth2 Schnittstelle bearbeiten | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verwendung: | Die Schnittstelle LAN3 der Spare-UTM wird als Hotwire gekennzeichnet. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokale IP‑Adresse: | 192.168.180.3/24 | IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Remote IP‑Adresse: | 192.168.180.2 | IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Einstellungen für die Clusterkonfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Spare Einstellungen | Reiter||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Priorität | Niedrig | Die Priorität beim Spare muss auf Niedrig gestellt sein | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
insecure | Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokaler SSH-Schlüssel: | SSH Public Key für die Spare-UTM erzeugen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ssh-rsa AAAAB3Nz […] Q1/k= root@spare.cluster.local |
SSH-Schlüssel noch nicht in die Zwischenablage kopieren | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Schlüssel der Gegenstelle: | ssh-rsa AAAAB3Nz […] zE0SU= root@master.cluster.local |
Public-SSH-Key der Master-UTM aus der Zwischenablage einfügen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokaler SSH-Schlüssel: | Jetzt den lokalen Public-SSH-Key der Spare-UTM in die Zwischenablage einfügen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Einstellungen | Wechsel auf Master||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Schlüssel der Gegenstelle: | ssh-rsa AAAAB3Nz […] Q1/k= root@spare.cluster.local |
Public-Key der Spare-UTM aus der Zwischenablage einfügen. Auf der Master-UTM entspricht die Spare-UTM der Gegenstelle | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der Speichern Schaltfläche.
| Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle befinden.||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Synchronisationsstatus: | Der Synchronisationsstatus sollte nun von error (rot) zu pending (gelb) wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Synchronisationsstatus: | Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf synchronized (grün). Die beiden UTMs sind abgeglichen. Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde. Die Cluster Priorität Bereich Einstellungen der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt. Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormalige Spare-UTM zum Master. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster aktivieren | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master & Spare Einstellungen | Reiter||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
[[Datei:]] | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ein | Dieser Schritt muss auf beiden UTMs ausgeführt werden. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Clusterstatus | Auf der Master-UTM: | Der Cluster ist nun in Betrieb und der Master des Clusters hat die virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Auf der Spare-UTM: | Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sollte der Status nicht sofort aktualisiert werden, kann das auch hier wieder über die Schaltfläche zum Aktualisieren
manuell ausgelöst werden.Beispiel Konfiguration 2: Externer Router
- In diesem Beispiel wird eine Konfiguration mit einem externen Router beschrieben.
- Der Router ist das Gateway zum Internet.
- Eventuell wurde vom Provider ein öffentliches Netz zur Verfügung gestellt.
In diesem Beispiel wird ein privates Netz verwendet. Die Vorgehensweise ist dann analog zum öffentlichen Netz. - Hier werden nun zwei HA-Schnittstellen konfiguriert.
Eine für die interne und eine für die externe Schnittstelle.
Netzwerkkonfiguration
Erstes Mitglied des Clusters (UTM 1, Master)
LAN1: Externe IP Adresse (zum Router) 192.168.175.102/24
LAN2: Interne IP-Adresse: 192.168.12.141/24
LAN3: Hotwire-IP-Adresse: 192.168.180.2/24
Zweites Mitglied des Clusters (UTM 2, Spare)
LAN1: Externe IP Adresse (zum Router) 192.168.175.103/24
LAN2: Interne IP-Adresse: 192.168.12.142/24
LAN3: Hotwire-IP-Adresse: 192.168.180.3/24
Virtuelle IP-Adressen, die sich beide Mitglieder des Clusters teilen:
Externe Schnittstellen (zum Router) 192.168.175.101/24.
Interne Schnittstellen 192.168.200.1/24 | Diese IP ist das Standard-Gateway des internen Netzwerks.
Inbetriebnahme der UTMs
- Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet
- Zur Anmeldung auf der UTM wird bereits eine (Cluster-) Lizenz benötigt
- Diese Einrichtung wird auf jeder UTM separat durchgeführt
- Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse
- Nach Abschluss des Assistenten werden die UTMs neu gestartet
Hotwire Schnittstelle
Diese muss auf den Maschinen den gleichen Port belegen - Bezeichnung je nach verwendeter Hard- und Software A2, eth2 oder LAN3.
Cluster-Konfiguration
Master UTMMaster UTM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
IP-Adressen der zukünftigen Hotwire-Schnittstellen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master eth2 → IP-Adressen: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IP-Adressen:: | »192.168.180.2/24 | In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.2/24. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Start des Cluster-Setup-Wizard unter Master Reiter Cluster Assistent Schaltfläche | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Hotwire Schnittstelle | Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden! | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokale IP‑Adresse: | 192.168.180.2/24 | IP-Adresse der Master-UTM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Remote IP‑Adresse: | 192.168.180.3 | IP-Adresse der Hotwire-Gegenstelle (Spare-UTM) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 2 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Schnittstelle: | Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Virtuelle IP‑Adresse: | 192.168.200.1/24 | Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Der DHCP-Server würde sich sonst beim Fallback auf die physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 3 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Deaktivierte Schnittstellen während das Gerät im Backup Modus ist: | Schnittstellen, die auf dem Backup-System, der Spare-UTM, nicht hochgefahren werden. In dieser Konfiguration ist das nicht erforderlich | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 4 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Deaktivierte Anwendungen während das Gerät im Backup Modus ist:Clientless VPN DHCP Server Greylisting Filter HTTP Proxy IPSEC L2TP VPN Mailrelay POP3 Proxy Routing Daemon SPF Filter SSL-VPN Spamfilter WLAN ServerDefault | Hier sind Anwendungen aufgeführt, die per Default deaktiviert sein sollen, sofern sich die Spare-UTM im Backup-Modus befindet. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent Schritt 5 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Priorität | Die Master-UTM erhält die Priorität »hoch«. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
insecure | Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster Assistent abschließen mit | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Status der Clusterkonfiguration | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master Schnittstellen | Reiter||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eth0 | (Schnittstelle ist noch nicht für HA konfiguriert) | IP-Adresse 192.168.175.102/24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eth1 | Schnittstelle benutzt für High Availability | Virtuelle IP 192.168.200.1/24 IP-Adresse: 192.168.12.141/24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eth2 | Schnittstelle wird benutzt als Hotwire | IP-Adresse 192.168.180.2/24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
wan0 | Schnittstelle ist beim Backup deaktiviert | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Clusterstatus | Der Clusterstatus zeigt offline (schwarz) an, weil der Cluster noch nicht auf aktiv geschaltet ist | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Synchronisationsstatus: | Der Synchronisationsstatus zeigt error' (rot), weil die Gegenstelle nicht erreichbar ist | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Einstellungen für die Clusterkonfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master Einstellungen | Reiter||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokaler SSH-Schlüssel: | Im Reiter Einstellungen wird ein SSH Public Key erzeugt. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ssh-rsa AAAAB3Nz […] zE0SU= root@master.cluster.local |
SSH-Schlüssel in die Zwischenablage kopieren | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Spare UTMSpare UTM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konfiguration der Spare-Schnittstelle | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Login auf das Web-Interface der Spare-UTM. Spare Reiter Schnittstellen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eth2 | eth2 Schnittstelle bearbeiten | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verwendung: | Die Schnittstelle LAN3 der Spare-UTM wird als Hotwire gekennzeichnet. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokale IP‑Adresse: | 192.168.180.3/24 | IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Remote IP‑Adresse: | 192.168.180.2 | IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Einstellungen für die Clusterkonfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Spare Einstellungen | Reiter||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Priorität | Niedrig | Die Priorität beim Spare muss auf Niedrig gestellt sein | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
insecure | Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokaler SSH-Schlüssel: | Im Reiter Einstellungen wird ein SSH Public Key erzeugt. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ssh-rsa AAAAB3Nz […] Q1/k= root@spare.cluster.local |
SSH-Schlüssel noch nicht in die Zwischenablage kopieren | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Schlüssel der Gegenstelle: | ssh-rsa AAAAB3Nz […] zE0SU= root@master.cluster.local |
Public-SSH-Key der Master-UTM aus der Zwischenablage einfügen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Lokaler SSH-Schlüssel: | Jetzt den lokalen Public-SSH-Key der Spare-UTM in die Zwischenablage einfügen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Einstellungen | Master Reiter||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Schlüssel der Gegenstelle: | ssh-rsa AAAAB3Nz […] Q1/k= root@spare.cluster.local |
Public-Key der Spare-UTM aus der Zwischenablage einfügen. Auf der Master-UTM entspricht die Spare-UTM der Gegenstelle | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der Speichern Schaltfläche.
| Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle befinden.||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Synchronisationsstatus: | Der Synchronisationsstatus sollte nun von error (rot) zu pending (gelb) wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Synchronisationsstatus: | Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf synchronized (grün). Die beiden UTMs sind abgeglichen. Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde. Die Cluster Priorität Bereich Einstellungen der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt. Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormalige Spare-UTM zum Master. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Externe Schnittstelle auf HA-Betrieb konfigurieren | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master eth0 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eth0 | Externe Schnittstelle zum Router | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Hochverfügbarkeit konfigurieren | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Virtuelle IP-Adressen: | »192.168.175.101/24 | Virtuelle IP-Adresse aus dem Netz des Routers | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konfiguration synchronisieren | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cluster aktivieren |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master & Spare | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ein → | Dieser Schritt muss auf beiden UTMs ausgeführt werden. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Clusterstatus | Auf der Master-UTM: | Der Cluster ist nun in Betrieb und der Master des Clusters hat die virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Auf der Spare-UTM: | Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
NAT in der Cluster-Konfiguration
Wir beziehen uns hier auf das Beispiel »Cluster Konfiguration: Externer Router«.
Die externe virtuelle IP-Adresse des Clusters ist in der selben Broadcast Domain wie die externen IP-Adressen der Schnittstellen.
Die Standardroute der UTMs zeigt auf den Router der die Internet Verbindung herstellt.
Externe IP UTM 1 Master | 192.168.175.102/24 |
Externe IP UTM 2 Spare | 192.168.175.103/24 |
Virtuelle IP Cluster Cluster | 192.168.175.101/24 |
IP des Routers | 192.168.175.1/24 |
Die UTM 1 ist der Master und besitzt die virtuelle IP-Adresse.
Setzt man nun einen ping aus dem internen Netz auf die IP-Adresse des Routers ab, sieht man nebenstehendes im tcpdump der UTM1 auf dem externen Interface.
Der Ping wird vom Client im Standard-Regelwerk nicht über die virtuelle IP-Adresse des Clusters geNATet, sondern über die dem Master eindeutige IP-Adresse 192.168.175.102.
Das kommt zustande, weil die eindeutige IP-Adresse die erste IP auf der Schnittstelle ist und der Router sich in der gleichen Broadcast Domain befindet. Wechselt der Cluster auf das Backup System, wird dort nicht mehr die IP-Adresse der externen Schnittstelle der Master-UTM 192.168.175.102 stehen, sondern die IP-Adresse der externen Schnittstelle der Spare-UTM 192.168.175.103.
Um das zu ändern wird im Menü Master
ein neues Objekt mit der virtuellen IP-Adresse auf dem Cluster Interface erstellt.
Master Schaltfläche
Wird der Ping-Test jetzt wiederholt, wird die Cluster-IP 192.168.175.101 verwendet.
Der Ping muss unterbrochen werden. Nach frühestens 30 Sekunden kann der Ping dann neu gestartet werden.
Das gilt nicht nur für HideNATs sondern auch Portweiterleitungen bzw. Destination NATs.
Applikationen in der Cluster-Konfiguration
Anwendungen verwenden IP-Adressen, um sich bei anderen Servern zu identifizieren.
Es ist bei einigen Anwendungen möglich, dafür die Cluster-IP festzulegen.
Beispielhaft wird das hier für das Mailrelay gezeigt.
Es sollen E-Mails über das Mailrelay der UTMs verschickt und empfangen werden.
Dazu wurden entsprechende PTR, A, MX Records und SPF Einträge in den TXT Records der Domain gemacht, die auf die externe virtuelle IP-Adresse des Clusters zeigen.
Damit das Mailrelay nun auch E-Mails über diese virtuelle IP verschickt, muss in der Applikation die ausgehende IP-Adresse korrekt eingestellt werden. In unserem Fall die virtuelle IP 192.168.175.101
Anschließend muss die Cluster Konfiguration erneut synchronisiert werden.
Kommunikation von Applikationen, die auf der Firewall laufen
Alle Applikationen, die von der Firewall selber eine Verbindung aufbauen, verwenden dafür (sofern nicht anders konfiguriert) die primären IPs der Schnittstellen. Sollten Management-IPs aus der gleichen Broadcast-Domäne verwendet werden, sind diese primären IPs nicht die virtuellen IP-Adressen.
RADIUS-/LDAP-/AD-Anbindung
IPSec
Bereich Verbindungen Schaltfläche → Allgemein Local Gateway
Schaltfläche → Erweitert Multihome: Ein
Kommunikation mit Applikationen, die auf anderen Geräten laufen
Bedeutung | |
---|---|
master.cluster.local> openvpn get | Ermittelt die ID der SSL-VPN-Verbindung |
master.cluster.local> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT> | Setzt die lokale Adresse |
master.cluster.local> appmgmt restart application openvpn | Aktiviert die Einstellungen |
Beispiel | |
master.cluster.local> openvpn get [...] master.cluster.local> openvpn set id <1> local_addr <192.168.175.101> local_port <20000> master.cluster.local> appmgmt restart application openvpn |
Beispiel |
Beschreibung | ||
---|---|---|
cli> cluster info |
|
|
|
||
|
||
cli> system config save name <Name der Konfiguration> | ||
cli> system config synchronize | ||
cli> extc value get application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" | Value ∣2 | |
cli> extc value set application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" value 2 | OK | |
| ||
cli> cluster maintainance set value "1" cli> system update interface |
OK | |
cli> cluster maintainance set value "0" cli> system update interface |
OK | |
Master cli> cluster info |
attribute |value -------------+----- cluster_state|backup sync_state |synchronized hotwire_dev |eth2 maintainance |true |
|
Spare cli> cluster info |
attribute |value -------------+----- cluster_state|master sync_state |synchronized hotwire_dev |eth2 maintainance |false |
Einschränkungen
DHCP-Client nicht mit HA-Schnittstelle kombinieren
Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt.
DHCP-Server in einer Clusterumgebung
Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. Siehe: Cluster Konfiguration Schritt 2