Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
{{:UTM/NET/Fallback.lang}}
{{:UTM/NET/Fallback.lang}}


</div>{{DISPLAYTITLE:{{#var:display}}}}{{TOC2}}{{Select_lang}}
{{var | neu--Ping Check IP
{{Header|12.2|
| Ping-Check Host wird zu [[#Fallback | Ping-Check IP]]
* {{#var:neu--AlertingCenter-Hinweis}}
}}
* {{#var:neu--Ablauf}}
 
* {{#var:neu--Ein-Ausgehende Verbindungen}}
</div>{{TOC2}}{{Select_lang}}
* {{#var:neu--RouteHint}}
{{Header|12.5.1|
* {{#var:neu--kein Google}}
* {{#var:neu--Ping Check IP}}
|[[UTM/NET/Fallback_v11.6 | 11.6]]
|[[UTM/NET/Fallback_v11.6 | 11.6]]
| {{Menu|Netzwerk}}
}}
}}
----
== {{#var:Funktionsweise}} ==
== {{#var:Funktionsweise}} ==


Zeile 31: Zeile 35:
* {{#var:Alertingcenter--desc}}
* {{#var:Alertingcenter--desc}}
</div>
</div>




Zeile 38: Zeile 41:
{{#var:Eingehende Verbindungen--desc}}
{{#var:Eingehende Verbindungen--desc}}
</div>
</div>




=== {{#var:Ausgehende Verbindungen}} ===
=== {{#var:Ausgehende Verbindungen}} ===
<div class="Einrücken">{{#var:Ausgehende Verbindungen--desc}}</div>
<div class="Einrücken">
 
{{#var:Ausgehende Verbindungen--desc}}
<br clear=all>
</div><br clear=all>
 




Zeile 57: Zeile 58:


=== {{#var:Unterschiedliche Fallback-Lösungen}} ===
=== {{#var:Unterschiedliche Fallback-Lösungen}} ===
<div class="Einrücken">
 
==== {{#var:Szenario 1}} ====
==== {{#var:Szenario 1}} ====
{{pt3 | {{#var:Szenario 1--Bild}} | {{#var:Szenario 1--cap}} }}{{#var:Szenario 1--desc}}  
{{pt3 | {{#var:Szenario 1--Bild}} | {{#var:Szenario 1--cap}} }}{{#var:Szenario 1--desc}}  
{{h5|{{#var:Netz-IP}} |{{#var:Netz-IP}} }}
{{h5|{{#var:Netz-IP}} |{{#var:Netz-IP}} }}
<div class="Einrücken">
<li class="list--element__alert list--element__hint">{{#var:Netz-IP--desc}}</li>
<li class="list--element__alert list--element__hint">{{#var:Netz-IP--desc}}</li>
<br clear=all>
<br clear=all></div>




Zeile 70: Zeile 72:
<div class="Einrücken">
<div class="Einrücken">
<li class="list--element__alert list--element__hint Hinweis">{{#var:Feste IP--desc}}</li>
<li class="list--element__alert list--element__hint Hinweis">{{#var:Feste IP--desc}}</li>
{{ Hinweis | ! {{#var:Genattete Schnittstelle bearbeiten--desc}} § {{info|{{#var:DHCP--Info}} }} }}</div>
{{Hinweis-box|{{#var:Genattete Schnittstelle bearbeiten--desc}} § {{info|{{#var:DHCP--Info}} }} }}
<br>
</div>
 
 


<div id="Ethernet" class="Einrücken">
===== {{#var:Genattete Schnittstelle bearbeiten}} =====
===== {{#var:Genattete Schnittstelle bearbeiten}} =====


Zeile 80: Zeile 83:
| colspan="3" | {{#var:Schnittstelle der Fallback-Leitung--Menu}}
| colspan="3" | {{#var:Schnittstelle der Fallback-Leitung--Menu}}
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="3" | {{Bild | {{#var:Schnittstelle der Fallback-Leitung--Bild}}|{{#var:Schnittstelle der Fallback-Leitung--cap}} }}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="3" | {{Bild| {{#var:Schnittstelle der Fallback-Leitung--Bild}} |{{#var:Schnittstelle der Fallback-Leitung--cap}} }}
|-
|-
| {{b|Route Hint IPv4:}} || {{ic| |rechts|icon=/---|iconw=x|iconbc=hgrau}} || {{#var:Route Hint IPv4--desc}}
| {{b|Route Hint IPv4:}} || {{ic| |rechts|icon=/---|iconw=x|iconbc=hgrau}} || {{#var:Route Hint IPv4--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|  
|  
|}
|}
</div>
<br clear=all>
<br clear=all>
</div>




Zeile 95: Zeile 96:
{{pt3 | {{#var:Konfiguration Netzwerkschnittstellen--Bild}} | {{#var:Konfiguration Netzwerkschnittstellen--cap}} }}{{h4| {{#var:Konfiguration Netzwerkschnittstellen}} | {{Reiter|Netzwerkschnittstellen}} }}
{{pt3 | {{#var:Konfiguration Netzwerkschnittstellen--Bild}} | {{#var:Konfiguration Netzwerkschnittstellen--cap}} }}{{h4| {{#var:Konfiguration Netzwerkschnittstellen}} | {{Reiter|Netzwerkschnittstellen}} }}


<div class="Einrücken">
{{#var:Konfiguration Netzwerkschnittstellen--desc}}
{{#var:Konfiguration Netzwerkschnittstellen--desc}}
<li class="list--element__alert list--element__hint">{{#var:Adresse des Netzwerkobjektes}}{{Bild |  {{#var:Adresse des Netzwerkobjektes--Bild}} }}</li>
<li class="list--element__alert list--element__hint">{{#var:Adresse des Netzwerkobjektes}}{{Bild |  {{#var:Adresse des Netzwerkobjektes--Bild}} }}</li>


<br clear=all>
<br clear=all>
{{h3| {{#var:Routing}} | {{Reiter|{{#var:Routing}} }} }}
{{h3|Routing| {{Reiter|Routing}} }}
{{pt3| {{#var:Routing--Bild}} | {{#var:Routing--cap}} }}
{{pt3| {{#var:Routing--Bild}} | {{#var:Routing--cap}} }}
{{#var:Routing--desc}}<br>
{{#var:Routing--desc}}<br>
<li class="list--element__alert list--element__hint">{{#var:Routing--Gateway}} {{Bild |  {{#var:Routing--Gateway--Bild}} }}</li>
<li class="list--element__alert list--element__hint">{{#var:Routing--Gateway}} {{Bild |  {{#var:Routing--Gateway--Bild}} }}</li>
<br clear=all></div>




{{h3|Fallback| {{Reiter|Fallback}} }}
<div class="Einrücken">
{{#var:Fallback--Menu}}
<br>
'''{{#var:Schnittstelle der Default-Leitung}}'''
</div>


 
{| class="sptable2 pd5 zh1 Einrücken"
<br clear=all>
{{h3| {{#var:Fallback}} | {{Reiter|{{#var:Fallback}} }} }}
{{#var:Fallback--Menu}}<br>
'''{{#var:Schnittstelle der Default-Leitung}}'''
{| class="sptable2 pd5 zh1 einrücken"
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="6" | {{Bild | {{#var:Fallback wan--Bild}}|{{#var:Fallback wan--cap}} }}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="6" | {{Bild| {{#var:Fallback wan--Bild}} |{{#var:Fallback wan--cap}} }}
|-
|-
| {{b|{{#var:Fallback-Schnittstelle}} }} || {{Button|wan3|dr|class=mw9}} <br>{{#var:oder}}<br>{{Button|LAN2|dr|class=mw9}} || {{#var:Fallback-Schnittstelle wan--desc}}<li class="list--element__alert list--element__hint">{{#var:Fallback-Schnittstelle LAN--Hinweis}}</li>
| {{b|{{#var:Fallback-Schnittstelle}} }} || {{Button|wan3|dr|class=mw9}} <br>{{#var:oder}}<br>{{Button|LAN2|dr|class=mw9}} || {{#var:Fallback-Schnittstelle wan--desc}}<li class="list--element__alert list--element__hint">{{#var:Fallback-Schnittstelle LAN--Hinweis}}</li>
|-
|-
| <span id="Pingcheck"></span>{{b|{{#var:Ping Check Host}} }} || {{ic| |class=mw9 }} || {{#var:Ping Check Host--desc}}<li class="list--element__alert list--element__hint">{{#var:Kein Google-Server--desc}}</li>
| {{Hinweis-box|{{#var:neu ab}} v12.5.1|gr| 12.5.1 |status=neu}}<br> {{b|Ping-check IP:}} || {{ic|192.0.14.129|class=available}} || {{#var:Ping Check Host--desc}}<li class="list--element__alert list--element__hint">{{#var:Kein Google-Server--desc}}</li>
|-
|-
| {{b|{{#var:Ping-Check Intervall}} }} || {{ic| 5 |c}}&emsp;{{#var:Sekunden}} || {{#var:Ping-Check Intervall--desc}}
| {{b|Ping-check Intervall:}} || {{ic|5|c}}&emsp;{{#var:Sekunden}} || {{#var:Ping-Check Intervall--desc}}
|-
|-
| {{b|{{#var:Ping-Check Threshold}} }} || {{ic|4 |c|}}&emsp;{{#var:Versuche}} || {{#var:Ping-Check Threshold--desc}}
| {{b|Ping-check Threshold}} || {{ic|4|c|}}&emsp;{{#var:Versuche}} || {{#var:Ping-Check Threshold--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|}
|}
<br clear=all>


<br clear=all>


=== {{#var:Hinweise zur Anwendung}} ===
=== {{#var:Hinweise zur Anwendung}} ===
<div class="Einrücken">
{{#var:Hinweise zur Anwendung--desc}}
{{#var:Hinweise zur Anwendung--desc}}
</div>

Version vom 7. September 2023, 08:19 Uhr






























De.png
En.png
Fr.png








Fallback-Konfiguration der UTM
Letzte Anpassung zur Version: 12.5.1
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.6

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Netzwerk 


Funktionsweise

Ablauf eines Fallbacks

Über einen regelmäßigen Ping-Check wird die Verfügbarkeit einer Verbindung getestet. Dabei kann das Ziel, das angepingt werden soll (Ping-Check IP), der zeitliche Abstand (Intervall) und die Anzahl der Versuche (Threshold) individuell vorgegeben werden.

Wird die Ping-check IP über die eingestellte Zeit nicht erreicht, wird davon ausgegangen, dass die Leitung gestört ist. Das Fallback wird eingeleitet:

  • Die Default-Route wird auf die Fallback-Schnittstelle geändert
  • Die geänderte Default Route wird nicht in der Netzwerkkonfiguration angezeigt.
    Im Menü Netzwerk Netzwerkwerkzeuge  Bereich Routingtabelle ist aber die aktualisierte Default Route ersichtlich.
  • Die Zonen der Schnittstelle der Hauptleitung werden auf die Fallback-Schnittstelle umgezogen
    Der Umzug der Zonen wird nicht im UI angezeigt
  • Sollte ein DYNDNS konfiguriert sein, wird dieses nun auf der Fallback-Schnittstelle ausgeführt
  • Auf der Schnittstelle der Hauptleitung wird weiterhin ein Ping-check ausgeführt
  • Es erfolgt eine Benachrichtigung durch das Alerting Center


Ablauf Failback

Ist der Ping-check auf der Schnittstelle der Hauptleitung wieder erfolgreich, wird ein Failback durchgeführt. Das Fallback wird "rückabgewickelt":

  • Die Default-Route wird auf die Schnittstelle der Hauptleitung geändert
  • Die Zonen der Fallback-Schnittstelle werden wieder auf die Schnittstelle der Hauptleitung umgezogen
  • Sollte ein DYNDNS konfiguriert sein, wird dieses nun wieder auf der Schnittstelle der Hauptleitung ausgeführt
  • Es erfolgt eine Benachrichtigung durch das Alerting Center


Eingehende Verbindungen

Stehen aus dem Internet heraus bestimmte Dienste zur Verfügung, sind diese eventuell nach einem Switch auf das Fallback nicht verfügbar.
Das lässt sich in gewissem Umfang durch die Verwendung von DynDNS umgehen, jedoch gibt es - je nach Art der Fallback-Leitung - Grenzen:

  • Die IP der Fallback-Leitung darf keine private IP sein (geschieht in der Regel bei LTE-Verbindungen)
    Die Verbindung zur Unified Security Console (USC) ist auch mit einer privaten IP möglich
  • Eingehende Verbindungen müssen einen DynDNS-Namen verwenden
  • Besonders betroffene Anwendungen:
    • Mailrelay
    • IPSec- und SSL-VPN Verbindungen
    • Freigabe für Administrativen Zugriff
    • Portweiterleitungen (Netzwerkobjekte werden nicht mit umgezogen)
    • Reverse Proxy


Ausgehende Verbindungen

  • Ausgehende Verbindungen, von Anwendungen auf der UTM oder im lokalen Netz, die an eine IP gebunden sind, sollten auf eine private IP konfiguriert sein, die auch beim Fallback noch zur Verfügung steht.
  • Besonders betroffene Anwendungen:
    • HTTP-Proxy
    • Mailrelay



Vorbereitungen

Anbindung der UTM im lokalen Netz

  • Das Gateway für die Default-Internetanbindung muss eine eigene Schnittstelle verwenden.
    Bei einem Fallback werden alle Zonen der Schnittstelle, über die die Ping-check IP geprüft wird, umgezogen.
    Ist ein Netz an der gleichen Schnittstelle vorhanden über die diese Prüfung erfolgt, ist auch dieses gesamte Netz bei einem Fallback nicht mehr erreichbar.
    Fehlerhafter Netzwerkaufbau
    • Die UTM ist in einem lokalen Netz hinter einem Router, der den Default-Internetzugang bereitstellt.
    • Die UTM dient z.B. als Cloud-Connector nur für bestimmte Anwendungen
    • Die LTE-Schnittstelle der UTM soll als Fallback dienen
    • Die UTM prüft nun über den Default-Internetzugang die Ping-check IP und stellt fest, dass dieser nicht erreichbar ist
    • Daraufhin werden alle Zonen der UTM, die auf der Schnittstelle zum Router des Default-Internetzugangs liegen auf die LTE-Schnittstelle umgezogen
    • Damit ist die UTM dann aber nicht mehr erreichbar, weil das ja auch der Zugang zum lokalen Netz war.
    Abhilfe schafft hier eine separate Verbindung zwischen UTM und dem Router für den Default-Internetzugang.

  • Unterschiedliche Anbindungen an das Internet

    PPPoE (wan)-Schnittstellen

    Direkter Anschluss von zwei Verbindungen über PPPoE

    Der Zugang erfolgt über PPPoE (wan)-Schnittstellen

    Fallback beim gleichen Provider
    Fallback beim gleichen Provider
  • Wird die Fallback-Leitung durch den gleichen Provider mit der gleichen Zugangstechnik gestellt, kann dies dazu führen, daß beide Leitungen eine IP aus dem gleichen Netz erhalten.
    In diesem Falle würden sich Netz-IPs und Router-IPs überschneiden können.
    Abhilfe verschafft hier die Verwendung eines Routers zwischen Netzzugang und UTM, der ein Transfer-Netz aufbaut und die Verbindung dabei nattet.


  • Ethernet (LAN)-Schnittstellen

    Anschluss über Router bzw. Router/Modem-Kombination
    • Die Default-Leitung und / oder die Fallback-Leitung wird über einen weiteren Router (z.B. eine Fritzbox oder einen Speedport) angesprochen.
  • Die UTM sollte über eine feste IP verfügen und diese nicht per DHCP erhalten
  • notempty
    Auf diesen Schnittstellen muss ein RouteHint eingetragen werden (der Nexthop, in diesem Falle also das jeweilige Gateway) §
    Diese Konfiguration wäre nicht notwendig, wenn die UTM ihre IP-Adresse und damit auch Informationen über das Defaultgateway per DHCP erhalten würde. Das bringt allerdings zahlreiche Probleme mit Diensten und Netzwerkobjekten mit sich. Daher wird davon dringend abgeraten!


    Ethernet Schnittstellen bearbeiten
    Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen Schaltfläche des jeweiligen Interfaces, Abschnitt Einstellungen
    Beschriftung Wert Beschreibung UTM v12.6 Schnittstelle bearbeiten Einstellungen.png
    Schnittstelle der Fallback-Leitung
    Route Hint IPv4:    /--- IP-Adresse des Routers, der der Schnittstelle den Internetzugang ermöglicht



    Abschnitt Netzwerkschnittstellen

    Konfiguration Netzwerkschnittstellen

    Netzwerkschnittstellen

    Konfiguration unter Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen

    • Das Netzwerk sollte so konfiguriert sein, dass die externen Zonen (external, firewall-external und die VPN-Zonen) auf dem primären Interface liegen.
    • Auf dem Fallback-Interface (im Beispiel World.svg wan1) dürfen keine Zonen vorhanden sein.
  • Die Adresse des Netzwerkobjektes, mit dem die Verbindung Richtung Internet genattet wird, muss auf 0.0.0.0/0 eingestellt sein.

    Ggf. unter Firewall Netzwerkobjekte Schaltfläche das Ziel von z.B. A0, eth0 oder LAN1 auf 0.0.0.0/0 ändern.

    UTM v12.6 Fallback Netzwerkobjekte.png

  • Routing

    Routing
    Defaultroute über wan0

    Auf der Firewall wird genau eine Default-Route über die "Standardleitung" benötigt.
    Im Beispiel wan0

  • Als Gateway für die Default-Route muss beim Fallback immer eine Schnittstelle angegeben werden, keine Gateway-IP. UTM v12.6 Fallback Routing Gateway.png


  • Fallback

    Fallback

    Konfiguration unter Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen Schaltfläche Bearbeiten der betreffenden Schnittstelle, Abschnitt Fallback
    Schnittstelle der Default-Leitung konfigurieren

    Beschriftung Wert Beschreibung UTM v12.6 Fallback Netzwerkschnittstellen bearbeiten.png
    Fallback-Einstellungen
    Fallback-Schnittstelle: wan3

    LAN2
    Schnittstelle, auf die im Falle eines Ausfalls gewechselt werden soll.
  • Wird eine Ethernet LAN-Schnittstelle (Verbindung zu einem weiteren Router) als Fallbackschnittstelle verwendet muss dort ein RouteHint eingetragen werden (s.o.)
  • notempty
    Neu ab v12.5.1

    Ping-check IP:
    192.0.14.129 Bis zu 4 Hosts eigener Wahl, die angepingt werden sollen um so die Verfügbarkeit des Netzes zu bestätigen.
    Antwortet ein Ping-Check-Host nicht, wird unmittelbar die darauf folgende IP-Adresse probiert. Anwortet keiner der Ping-check-Hosts wird das als ein Fehlversuch gewertet und nach dem Ping-Check-Intervall erneut geprüft.
  • Ping-check Intervall: 5Link= Sekunden Die "Pause" zwischen den Pings.
    Ping-check Threshold 4Link= Versuche Anzahl der erlaubten aufeinander folgenden Pings ohne Antwort, bevor das Fallback ausgelöst wird.



    Hinweise zur Anwendung

    Eine Einschränkung bezüglich Hostnamen in der Liste der Administration in Verbindung mit Fallback existiert nicht mehr.