Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{Set_lang}}
{{Set_lang}}
 
{{:UTM/NET/Cluster.lang}}
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}


</div>{{DISPLAYTITLE:Cluster}}{{TOC2}}
</div>{{Select_lang}}{{DISPLAYTITLE:{{#var:display| Cluster }} Spielwiese}} {{TOC2}}
<p>'''Securepoint Cluster Konfiguration'''<br>
<p>'''{{#var:headline| Securepoint Cluster Konfiguration}}'''<br>
'''Best Practice'''
'''Best Practice'''
</p>
</p>


<p>Letzte Anpassung zur Version: '''11.8.7''' </p>
<p>{{#var:ver|Letzte Anpassung zur Version:}} '''11.8.7''' </p>
<br>
<br>
{{cl |Neu: |
{{cl |{{#var:neu}} |
* Erweiterte Hinweise zu DHCP
* {{#var:neu--dhcp| Erweiterte Hinweise zu DHCP }}
* Artikelanpassung
* {{#var:neu--anpassung| Artikelanpassung }}
* {{#var:translation}}
|w=40px}}
|w=40px}}


<br>
<br>
Vorherige Versionen: [[UTM/NET/Cluster_11.7 | '''11.7]]
{{#var:prev|Vorherige Versionen:}} [[UTM/NET/Cluster_11.7 | '''11.7]]
<br>
<br>


Zeile 22: Zeile 23:




'''Wichtige Information'''
'''{{#var:Wichtige Information|  }}'''


'''Aktuelle Software'''<br>
'''{{#var:Aktuelle Software|  }}'''<br>
{{Hinweis | !|r}} Es sollte immer die neueste Version der Software installiert werden. Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten.
{{Hinweis | ! § {{#var:aktuell--desc| Es sollte immer die neueste Version der Software installiert werden. Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten. }} |r}}


----
----


=== Einsatzgebiete ===
=== {{#var:Einsatzgebiete| e }} ===
Die UTM wird, durch die Umwandlung in einen Hot-Standy UTM-Cluster, aufgewertet und sichert geschäftskritische Prozesse gegen den Ausfall einer UTM ab. Securepoint stellt dazu einen Aktiv-/Passiv-Cluster zur Verfügung. Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig.  
{{#var:Einsatzgebiete--desc| Die UTM wird, durch die Umwandlung in einen Hot-Standy UTM-Cluster, aufgewertet und sichert geschäftskritische Prozesse gegen den Ausfall einer UTM ab. Securepoint stellt dazu einen Aktiv-/Passiv-Cluster zur Verfügung. Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig. }}


{{Bild|Cluster-01.jpg|Abb.: 1.1}}
{{Bild|{{#var:Einsatzgebiete--bild| Cluster-01.jpg }} | {{#var:Abb| Abb.: }} 1.1}}


----
----


==== Einrichtung ====
==== {{#var:Einrichtung| e2 }} ====
Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.  
{{#var:Einrichtung--desc| Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.
 
<br>
Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.
Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.
 
<br>
Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP.
Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP. }}


----
----


==== Voraussetzungen ====
==== {{#var:Voraussetzungen|  v}} ====
Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig:
{{#var:Voraussetzungen--desc| Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig: }}




* '''Eine Cluster-Lizenz'''<br><p>Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die im [https://my.securepoint.de/index/login Securepoint Reseller Portal] beantragt werden kann:</p><p>Endkunden wenden sich bitte an Ihren [https://www.securepoint.de/partner/partnerprogramm.html autorisierten Securepoint Reseller.]</p><p>{{Hinweis | !! Die Menüpunkte zur Cluster-Konfiguration sind sichtbar, sobald eine Cluster-Lizenz eingespielt ist.|gelb|c=white-l}}<p>
* {{#var:Voraussetzungen--cluster-lizenz| '''Eine Cluster-Lizenz'''<br><p>Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die im [https://my.securepoint.de/index/login Securepoint Reseller Portal] beantragt werden kann:</p><p>Endkunden wenden sich bitte an Ihren [https://www.securepoint.de/partner/partnerprogramm.html autorisierten Securepoint Reseller.]</p><p>{{Hinweis | !! Die Menüpunkte zur Cluster-Konfiguration sind sichtbar, sobald eine Cluster-Lizenz eingespielt ist.|gelb|c=}}<p> }}


* '''Zwei identische Appliances mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br><p>Im kleinsten Szenario (siehe Abbildung 1.1) sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p>
* {{#var:Voraussetzungen--hardware| '''Zwei identische Appliances mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br><p>Im kleinsten Szenario (siehe Abbildung 1.1) sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p> }}
 
* '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br><p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br>Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren.


* {{#var:Voraussetzungen--software| '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br><p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br>Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren. }}
----
----




{{pt3|UTM11_BP_Cluster_pic5.png|Abb.: 1.2 | {{h4| Funktionsweise des Clusters |Funktionsweise des Clusters}} }}
{{pt3|{{#var:funktionsweise--bild| UTM11_BP_Cluster_pic5.png }}|{{#var:Abb}} 1.2 | {{h4| {{#var:funktionsweise| Funktionsweise des Clusters }} |{{#var:funktionsweise|Funktionsweise des Clusters}} }} }}
Der Cluster verwendet '''eindeutige IP- und MAC-Adressen''' für die beiden Mitglieder des Clusters sowie '''virtuelle IP-Adressen''' für den Cluster selber. Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv. Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters.
{{#var:funktionsweise--desc| Der Cluster verwendet '''eindeutige IP- und MAC-Adressen''' für die beiden Mitglieder des Clusters sowie '''virtuelle IP-Adressen''' für den Cluster selber. Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv. Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters.
<br>
Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing (also zum Beispiel das Standard Gateway, siehe Abb. 1.2). }}
<br clear=All>


Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing (also zum Beispiel das Standard Gateway, siehe Abb. 1.2).
<br clear=All>
----
----


 
{{pt3|UTM11_BP_Cluster_pic6.png| | {{ h4| {{#var:cluster-protokoll| Das Cluster VRR Protokoll }} | {{#var:cluster-protokoll|Das Cluster VRR Protokoll}} }} }}
{{pt3|UTM11_BP_Cluster_pic6.png| | {{ h4| Das Cluster VRR Protokoll | Das Cluster VRR Protokoll }} }}
{{#var:cluster-protokoll--desc| <p>VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als {{hover|HA-|High-Availibility}}Schnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.</p>
<p>VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als {{hover|HA-|High-Availibility}}Schnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.</p>


<p>Mit Hilfe von '''tcpdump''' kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)</p>
<p>Mit Hilfe von '''tcpdump''' kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)</p>


<p>Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.</p>
<p>Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.</p> }}


----
----


==== Umschalten des Clusters ====
==== {{#var:Umschalten| Umschalten des Clusters }} ====
Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus:
{{#var:Umschalten--desc| Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus:


* Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren.
* Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren.
Zeile 84: Zeile 84:
<br />
<br />


Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master.
Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master. }}




Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen:
{{#var:Umschalten--tabelle| Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen: }}
 
{| class="sptable0"
{| class="sptable0"
! HA-Schnittstelle 1 !! HA-Schnittstelle 2 !! UTM 1 Status !! UTM 2 Status
! {{#var:HA-Schnittstelle| HA-Schnittstelle }} 1 !! {{#var:HA-Schnittstelle}} 2 !! UTM 1 Status !! UTM 2 Status
|-
|-
| UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__ja"| <center>'''Aktiv'''</center> || class="bc__teilweise"| <center>'''Passiv'''</center>
| UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__ja"| <center>'''{{#var:Aktiv| Aktiv }}'''</center> || class="bc__teilweise"| <center>'''{{#var:Passiv| Passiv }}'''</center>
|-
|-
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 UP || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__teilweise"| <center>'''Passiv'''</center> || class="bc__ja"| <center>'''Aktiv'''</center>
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 UP || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__teilweise"| <center>'''{{#var:Passiv}}'''</center> || class="bc__ja"| <center>'''{{#var:Aktiv}}'''</center>
|-
|-
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__ja"| <center>'''Aktiv'''</center> || class="bc__teilweise" | <center>'''Passiv'''</center>
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 UP{{mobil|<br>|, }}UTM 2 UP || class="bc__ja"| <center>'''{{#var:Aktiv}}'''</center> || class="bc__teilweise" | <center>'''{{#var:Passiv}}'''</center>
|-
|-
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 UP{{mobil|<br>|, }}UTM 2 DOWN || class="bc__nein"| <center>'''Aktiv'''</center> || class="bc__nein"| <center>'''Aktiv'''</center>
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 UP{{mobil|<br>|, }}UTM 2 DOWN || class="bc__nein"| <center>'''{{#var:Aktiv}}'''</center> || class="bc__nein"| <center>'''{{#var:Aktiv}}'''</center>
|-
|-
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || class="bc__nein"| <center>'''Aktiv'''</center> || class="bc__nein"| <center>'''Aktiv'''</center>
| UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || UTM 1 DOWN{{mobil|<br>|, }}UTM 2 DOWN || class="bc__nein"| <center>'''{{#var:Aktiv}}'''</center> || class="bc__nein"| <center>'''{{#var:Aktiv}}'''</center>
|}
|}
<br>
<br>
<p>Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt.</p>
===== Fallback im Cluster =====
<li class="list--element__alert list--element__hint">Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die <i class="host utm>Spare</i> aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen <i class="host utm>Master</i> zurückgeben. <br>Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der <i class="host utm>Master</i> wird aktiv.</li>


<p>{{#var:Umschalten--tabelle--desc| Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt. }}</p>
----
----


{{pt3 | UTM11_BP_Cluster_pic7.png|Abb.: 1.3 | {{h4| Hotwire-Schnittstelle |Hotwire-Schnittstelle}} }}
===== {{#var:Fallback| Fallback im Cluster }} =====
Die Hotwire-Schnittstelle ist eine exklusive Schnittstelle, die nur zum Synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Diese Schnittstelle hat ''exklusiv'' diese Aufgabe. Bei der Auswahl der Appliances muss darauf geachtet werden, daß für das Hotwire-Netz jeweils eine Schnittstelle frei sein ist.
<li class="list--element__alert list--element__hint">{{#var:Fallback--desc| Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die <i class="host utm">Spare</i> aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen <i class="host utm">Master</i> zurückgeben. <br>Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der <i class="host utm">Master</i> wird aktiv. }}</li>


Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection-Tracking wird über den Port 3780 (UDP) abgeglichen. Ist eine Ethernet-Schnittstelle als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des UTM-Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Mitgliedern des Clusters erfolgen. Das Connection-Tracking wird immer automatisch vom Master im Cluster zum Backup übertragen (Abb. 1.3).
----


{{Hinweis | !! Die Hotwire-Verbindung soll immer über eine direkte Kabelverbindung erfolgen (kein Switch etc. dazwischen). Es muss sichergestellt werden, dass niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem synchronisiert werden soll.}}
{{pt3 | UTM11_BP_Cluster_pic7.png|{{#var:Abb}} 1.3 | {{h4| {{#var:Hotwire-Schnittstelle| Hotwire-Schnittstelle }} | {{#var:Hotwire-Schnittstelle}} }} }}
{{#var:Hotwire-Schnittstelle--desc| Die Hotwire-Schnittstelle ist eine exklusive Schnittstelle, die nur zum Synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Diese Schnittstelle hat ''exklusiv'' diese Aufgabe. Bei der Auswahl der Appliances muss darauf geachtet werden, daß für das Hotwire-Netz jeweils eine Schnittstelle frei sein ist.
<br>
Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection-Tracking wird über den Port 3780 (UDP) abgeglichen. Ist eine Ethernet-Schnittstelle als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des UTM-Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Mitgliedern des Clusters erfolgen. Das Connection-Tracking wird immer automatisch vom Master im Cluster zum Backup übertragen (Abb. 1.3). }}


{{Hinweis | !! {{#var:Hotwire-Schnittstelle--hinweis| Die Hotwire-Verbindung soll immer über eine direkte Kabelverbindung erfolgen (kein Switch etc. dazwischen). Es muss sichergestellt werden, dass niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem synchronisiert werden soll. }} }}
<br clear=All>
----
----


==== Konfiguration abgleichen ====
==== {{#var:Konfiguration-abgleichen| Konfiguration abgleichen }} ====
Über die Hotwire-Schnittstelle wird die Konfiguration synchronisiert. Änderungen, die auf einer Maschine im Cluster gemacht wurden, werden über diese Schnittstelle auf das andere Gerät übertragen. In der Regel wird die Konfiguration, nach der Inbetriebnahme des Clusters, allein auf einer UTM durchgeführt. Wir empfehlen den Master zu verwenden. '''Der Abgleich erfolgt immer manuell.''' Der Administrator entscheidet, wann er die Konfiguration im UTM-Cluster abgleichen möchte.
{{#var:Konfiguration-abgleichen--desc| Über die Hotwire-Schnittstelle wird die Konfiguration synchronisiert. Änderungen, die auf einer Maschine im Cluster gemacht wurden, werden über diese Schnittstelle auf das andere Gerät übertragen. In der Regel wird die Konfiguration, nach der Inbetriebnahme des Clusters, allein auf einer UTM durchgeführt. Wir empfehlen den Master zu verwenden. '''Der Abgleich erfolgt immer manuell.''' Der Administrator entscheidet, wann er die Konfiguration im UTM-Cluster abgleichen möchte. }}




Folgende Teile der Konfiguration werden '''nicht abgeglichen''':
{{#var:Konfiguration-abgleichen--list| Folgende Teile der Konfiguration werden '''nicht abgeglichen''': }}
#'''IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden.'''<br> Das sind die IP-Adressen, die im Webinterface unter dem Punkt {{Menu|Netzwerk |Netzwerkkonfiguration}} eingestellt werden. Wird ein Ethernet- oder VLAN-Schnittstelle neu erzeugt, wird dies zwar übertragen, jedoch nicht die Information über die IP-Adressen dieser Schnittstellen. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden, denn sie sind immer eindeutig einer UTM zugewiesen. Diese IP-Adressen sollen nicht mit virtuellen IP-Adressen auf einer HA-Schnittstelle verwechselt werden, die sich beide Maschinen im Cluster teilen.<br><br>
#{{#var:Konfiguration-abgleichen--list--ip| '''IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden.'''<br> Das sind die IP-Adressen, die im Webinterface unter dem Punkt {{Menu|Netzwerk |Netzwerkkonfiguration}} eingestellt werden. Wird ein Ethernet- oder VLAN-Schnittstelle neu erzeugt, wird dies zwar übertragen, jedoch nicht die Information über die IP-Adressen dieser Schnittstellen. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden, denn sie sind immer eindeutig einer UTM zugewiesen. Diese IP-Adressen sind nicht zu verwechseln mit virtuellen IP-Adressen auf einer HA-Schnittstelle, die sich beide Maschinen im Cluster teilen. }}<br><br>
# '''Active Directory-Appliance-Account.'''<br> Dieser Account ist immer eindeutig im AD. Man erstellt unterschiedliche Namen auf beiden Maschinen und meldet jede separat am Active Directory an.
# {{#var:Konfiguration-abgleichen--list--ad-account| '''Active Directory-Appliance-Account.'''<br> Dieser Account ist immer eindeutig im AD. Man erstellt unterschiedliche Namen auf beiden Maschinen und meldet jede separat am Active Directory an. }}


{{ Hinweis| !! Es ist nicht zwingend notwendig, eindeutige IP-Adressen auf Schnittstellen zu konfigurieren, auf dem eine HA-Schnittstelle mit virtuellen IP-Adressen betrieben wird. Soll über diese Schnittstelle das Mitglied des UTM-Clusters eindeutig identifiziert werden, ist dies jedoch erforderlich. In dem Fall gelangt man über die virtuelle IP-Adresse auf die UTM, die in dem Augenblick der Master ist. | gelb |c=white-l }}
{{ Hinweis| !! {{#var:Konfiguration-abgleichen--hinweis| Es ist nicht zwingend notwendig, eindeutige IP-Adressen auf Schnittstellen zu konfigurieren, auf dem eine HA-Schnittstelle mit virtuellen IP-Adressen betrieben wird. Soll über diese Schnittstelle das Mitglied des UTM-Clusters eindeutig identifiziert werden, ist dies jedoch erforderlich. In dem Fall gelangt man über die virtuelle IP-Adresse auf die UTM, die in dem Augenblick der Master ist. }} | gelb |c=graul }}
<br />
<br />
----
----


=== Beispiel-Konfiguration: Externes DSL-Modem ===
=== {{#var:beispiel-konfig| Beispiel-Konfiguration: Externes DSL-Modem }} ===
In diesem Beispiel wird eine Konfiguration aufgezeigt, mit der ein UTM-Cluster an einem DSL-Modem betrieben werden kann. Die Einwahl erfolgt direkt durch die UTM.
{{#var:beispiel-konfig--desc| In diesem Beispiel wird eine Konfiguration aufgezeigt, mit der ein UTM-Cluster an einem DSL-Modem betrieben werden kann. Die Einwahl erfolgt direkt durch die UTM. }}


==== Netzwerkkonfiguration:====
==== {{#var:Netzwerkkonfiguration| Netzwerkkonfiguration: }} ====


'''Erstes Mitglied des Clusters (UTM 1, <i class="host utm>Master</i>)'''<br />
{{#var:Netzwerkkonfiguration--desc | '''Erstes Mitglied des Clusters (UTM 1, <i class="host utm">Master</i>)'''<br />
''eth0:'' Externe DSL Verbindung mittels PPPoE.<br>
''eth0:'' Externe DSL Verbindung mittels PPPoE.<br>
''eth1:'' Interne IP-Adresse: 192.168.100.2/24<br>
''eth1:'' Interne IP-Adresse: 192.168.100.2/24<br>
''eth2:'' Hotwire-IP-Adresse:192.168.180.2/24
''eth2:'' Hotwire-IP-Adresse:192.168.180.2/24
 
<br>
'''Zweites Mitglied des Clusters (UTM 2, <i class="host utm>Spare</i>)'''<br />
'''Zweites Mitglied des Clusters (UTM 2, <i class="host utm">Spare</i>)'''<br />
''eth0:'' Externe DSL Verbindung mittels PPPoE.<br>
''eth0:'' Externe DSL Verbindung mittels PPPoE.<br>
''eth1:'' Interne IP-Adresse:192.168.100.3/24<br>
''eth1:'' Interne IP-Adresse:192.168.100.3/24<br>
''eth2:'' Hotwire-IP-Adresse:192.168.180.3/24
''eth2:'' Hotwire-IP-Adresse:192.168.180.3/24 }}


<p>Als virtuelle IP-Adresse wird 192.168.200.1/24 definiert. <br>
<p>{{#var:Netzwerkkonfiguration--virtuelle-ip| Als virtuelle IP-Adresse wird 192.168.200.1/24 definiert. <br>
Diese IP-Adresse ist das Standard-Gateway des internen Netzwerks.</p>
Diese IP-Adresse ist das Standard-Gateway des internen Netzwerks. }}</p>
<p>{{Hinweis|! Bei Verwendung des DHCP-Servers, darf die Virtuelle IP-Adresse <u>nicht im gleichen Netz</u> wie die physische IP Adresse der Schnittstelle sein.}} <p>
<li class="list--element__alert list--element__warning">{{Hinweis| {{#var:Netzwerkkonfiguration--hinweis| Bei Verwendung des DHCP-Servers, darf die Virtuelle IP-Adresse <u>nicht im gleichen Netz</u> wie die physische IP Adresse der Schnittstelle sein. }} }}<br>
<p>Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.</p>
{{#var:Netzwerkkonfiguration--hinweis--dhcp| Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. }} </li>
----
----


==== Inbetriebnahme der UTMs ====
==== {{#var:Inbetriebnahme| Inbetriebnahme der UTMs }} ====
Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet. Um eine Doppeleinwahl zu unterbinden, soll das DSL-Modem nicht angeschlossen sein. Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse. Im letzten Schritt des Installationsassistenten wird die Cluster-Lizenz ausgewählt. Nach Abschluss des Assistenten werden die UTMs neu gestartet.
{{#var:Inbetriebnahme--desc| Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet. Um eine Doppeleinwahl zu unterbinden, soll das DSL-Modem nicht angeschlossen sein. Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse. Im letzten Schritt des Installationsassistenten wird die Cluster-Lizenz ausgewählt. Nach Abschluss des Assistenten werden die UTMs neu gestartet. }}
----
----
==== Hotwire-Schnittstelle ====
===== {{#var:Hotwire-Schnittstelle}} =====
Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden. Diese muss auf den Maschinen den gleichen Port belegen - zum Beispiel LAN3/eth2.
{{#var:inbetriebnahme--hotwire--desc| Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden. Diese muss auf den Maschinen den gleichen Port belegen - zum Beispiel LAN3/eth2. }}
----
----


==== Cluster-Konfiguration ====
 
{{Set_lang}}</div>
==== {{#var:Cluster-Konfiguration| Cluster-Konfiguration }} ====
Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität. Die höhere Priorität hat der Master, die niedrigere das Backup-System. In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.100.2 Master sein. Login über das Webinterface mit dieser IP und dem Port für Administration <small>(Default: 11115)</small>.
 
{{#var:Cluster-Konfiguration--desc| Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität. Die höhere Priorität hat der Master, die niedrigere das Backup-System. In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.100.2 Master sein. Login über das Webinterface mit dieser IP und dem Port für Administration <small>(Default: 11115)</small>. }}


{| class="sptable2 pd5"
{| class="sptable2 pd5"
|+ Cluster-Konfiguration
|+ {{#var:Cluster-Konfiguration}}
|-
|-
! colspan="3" | {{h5| Master-UTM |Master-UTM}}
! colspan="3" | {{h5| Master-UTM |Master-UTM}}
|-
|-
| class="Leerzeile" colspan="3" | '''IP-Adresse der zukünftigen Hotwire-Schnittstelle'''<br><i class="host utm>Master</i> {{Menu|Netzwerk | Netzwerkkonfiguration}} {{ic|eth2}} → {{Button||w}} {{Reiter|IP-Adressen}}  
| class="Leerzeile" colspan="3" | '''{{#var:ip-hotwire| IP-Adresse der zukünftigen Hotwire-Schnittstelle }}'''<br><i class="host utm">Master</i> {{Menu| {{#var:Netzwerk| Netzwerk }} | {{#var:Netzwerkkonfiguration| Netzwerkkonfiguration }}}} {{ic|eth2}} → {{Button||w}} {{Reiter| {{#var:IP-Adressen| IP-Adressen }}}}  
|-
|-
| {{b|IP-Adressen:}} || style="min-width: 165px" |{{ic|{{cb|192.168.180.2/24}} |pd=5px 5px 2em 5px|lh=2em}} || In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. <br>Im Beispiel bekommt LAN3/eth2 die IP-Adresse 192.168.180.2/24. || rowspan="1" class="bild" | {{bild|UTM v11.8.7 Cluster Schnittstelle1.png|hochkant=1.5|l=Abb.}}
| {{b|{{#var:IP-Adressen}} }} || style="min-width: 165px" |{{ic|{{cb|192.168.180.2/24}} |cb}} || {{#var:ip-adressen--desc| In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. <br>Im Beispiel bekommt LAN3/eth2 die IP-Adresse 192.168.180.2/24. }} || rowspan="1" class="bild" | {{bild| {{#var:cluster-schnittstelle--bild}}|hochkant=1.5|l={{#var:Abb}} 1.4 }}
|-
|-
| class="Leerzeile"|  {{hrzeile}}<br> Start des Cluster-Setup-Wizard unter <i class="host utm>Master</i> {{Menu|Netzwerk|Clusterkonfiguration}} {{button|Cluster Assistent|+}}<br>'''Cluster Assistent Schritt 1'''
| class="Leerzeile"|  {{hrzeile}}<br> {{#var:wizard1--head| Start des Cluster-Setup-Wizard unter }} <i class="host utm">Master</i> {{Menu|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration| Clusterkonfiguration }} }} {{button|{{#var:Cluster Assistent}}|+}}<br>'''{{#var:Cluster Assistent| Cluster Assistent }} {{#var:Schritt| Schritt }} 1'''
|-
|-
| {{b| Hotwire Schnittstelle}} || {{Button|eth2: 192.168.180.2/24|dr}} || {{Hinweis|!|r}} Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden! || rowspan="3" class="bild" | {{bild| UTM_v11.8.7_Cluster-Assistent_Schritt1.png | hochkant=1.5 | l=Abb.: 1.5}}
| {{b| {{#var:Hotwire-Schnittstelle}} }} || {{Button|eth2: 192.168.180.2/24|dr}} || {{Hinweis|!|r}} {{#var:wizard1--hotwire--desc| Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden! }} || rowspan="3" class="bild" | {{bild| {{#var:wizard1--hotwire--bild| UTM_v11.8.7_Cluster-Assistent_Schritt1.png }} | hochkant=1.5 | l={{#var:Abb}} 1.5}}
|-
|-
| {{b| Lokale IP&#8209;Adresse: }} || {{ic| 192.168.180.2/24}} || IP-Adresse der Master-UTM
| {{b| {{#var:lokale-ip| Lokale IP&#8209;Adresse: }} }} || {{ic| 192.168.180.2/24}} || {{#var:wizard1--lokale-ip--desc| IP-Adresse der Master-UTM }}
|-
|-
| {{b| Remote IP&#8209;Adresse:}} ||  {{ic | 192.168.180.3 }} || IP-Adresse der Hotwire-Gegenstelle (Spare-UTM)
| {{b| {{#var:remote-ip| Remote IP&#8209;Adresse: }} }} ||  {{ic | 192.168.180.3 }} || {{#var:wizard1--remote-ip--desc| IP-Adresse der Hotwire-Gegenstelle (Spare-UTM) }}
|-
|-
| class="Leerzeile" colspan="3" id="Schritt2" | {{mobil|<hr>|<br>}}'''Cluster Assistent Schritt 2'''
| class="Leerzeile" colspan="3" id="{{#var:Schritt}}2" | {{mobil|<hr>|<br>}}'''{{#var:Cluster Assistent}} {{#var:Schritt}} 2'''
|-
|-
| {{ b| Schnittstelle: }} || {{Button|eth1|dr}} || Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. || rowspan="3" class="bild" | {{bild|UTM_v11.8.7_Cluster-Assistent_Schritt2.png|hochkant=1.5 | l=Abb.: 1.6}}
| {{ b| {{#var:Schnittstelle| Schnittstelle:}} }} || {{Button|eth1|dr}} || {{#var:wizard2--schnittstelle--desc| Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. }} || rowspan="3" class="bild" | {{bild|{{#var:wizard2--bild| UTM_v11.8.7_Cluster-Assistent_Schritt2.png }}|hochkant=1.5 | l={{#var:Abb}} 1.6}}
|-
|-
| {{b| Virtuelle IP&#8209;Adresse: }} || {{ic|192.168.200.1/24}} || Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen.
| {{b| {{#var:wizard2--virtuelle-ip| Virtuelle IP&#8209;Adresse: }} }} || {{ic|192.168.200.1/24}} || {{#var:wizard2--virtuelle-ip--desc| Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen. }}
|-
|-
|colspan="3" | {{Hinweis | !|r}} Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain ] der anderen IP-Adressen liegen.{{info| Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.}} <br>{{Hinweis|!|g}} Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden.
|colspan="3" | {{Hinweis | ! § {{#var:wizard2--hinweis--dhcp| Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain ] der anderen IP-Adressen liegen. }} {{info| {{#var:wizard2--hinweis--info| Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. }} }} |r}}<br>
{{Hinweis|! § {{#var:wizard2--hinweis--ha| Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden. }} |g}}
|-
|-
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}'''Cluster Assistent Schritt 3''' || class="noborder" |
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}'''{{#var:Cluster Assistent}} {{#var:Schritt}} 3''' || class="noborder" |
|-
|-
| colspan="2" | {{b|Deaktivierte Schnittstellen während das Gerät im Backup Modus ist:}} <span style="float:inline-end;">{{ic| {{cb|wan0|-}}|pd=5px 5px 2em 5px|lh=2em }}</span>|| Schnittstellen, die auf dem Backup-System, der Spare-UTM, '''nicht''' hochgefahren werden. <br>Im Beispiel ''wan0'' (das DSL Interface). Die Einwahl soll nur durch die gerade aktive Master-UTM im Cluster erfolgen. {{info| Dadurch ist es möglich, beide externen Interfaces der UTMs an das DSL Modem anzuschließen. Falls das Modem nur einen LAN Port besitzt, ist ein separater Switch zu verwenden.}}  
| colspan="2" | {{b|{{#var:wizard3--deaktivierte| Deaktivierte Schnittstellen während das Gerät im Backup Modus ist: }} }} <span style="float:inline-end;">{{ic| {{cb|wan0|-}}|pd=5px 5px 2em 5px|lh=2em }}</span>|| {{#var:wizard3--deaktivierte--desc| Schnittstellen, die auf dem Backup-System, der Spare-UTM, '''nicht''' hochgefahren werden. <br>Im Beispiel ''wan0'' (das DSL Interface). Die Einwahl soll nur durch die gerade aktive Master-UTM im Cluster erfolgen. }} {{info| {{#var:wizard3--deaktivierte--info| Dadurch ist es möglich, beide externen Interfaces der UTMs an das DSL Modem anzuschließen. Falls das Modem nur einen LAN Port besitzt, ist ein separater Switch zu verwenden. }} }}  
| rowspan="1" class="bild" | {{bild| UTM_v11.8.7_Cluster-Assistent_Schritt3.png|hochkant=1.5 | l=Abb.: 1.7}}
| rowspan="1" class="bild" | {{bild| {{#var:wizard3--bild| UTM_v11.8.7_Cluster-Assistent_Schritt3.png }} |hochkant=1.5 | l={{#var:Abb}} 1.7}}
|-
|-
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}'''Cluster Assistent Schritt 4'''
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}'''{{#var:Cluster Assistent}} {{#var:Schritt}} 4'''
|-
|-
| colspan="2" | {{b|Deaktivierte Anwendungen während das Gerät im Backup Modus ist:}}{{ic| {{cb|Clientless VPN|-}} {{cb|DHCP Server|-}} {{cb|Greylisting Filter|-}} {{cb|HTTP Proxy|-}} {{cb|IPSEC|-}} {{cb|L2TP VPN|-}} {{cb|Mailrelay|-}} {{cb|POP3 Proxy|-}} {{cb|Routing Daemon|-}} {{cb|SPF Filter|-}} {{cb|SSL-VPN|-}} {{cb|Spamfilter|-}} {{cb|WLAN Server|-}} |pd=5px}}<small>'''Default'''</small>  || Per Default sind hier Anwendungen aufgeführt, die, sofern sich die Spare-UTM im Backup-Modus befindet, deaktiviert sein sollen || rowspan="1" class="bild" | {{bild| UTM_v11.8.7_Cluster-Assistent_Schritt4.png|hochkant=1.5 |l=Abb.: 1.8}}
| colspan="2" | {{b|{{#var:wizard4--deaktivierte| Deaktivierte Anwendungen während das Gerät im Backup Modus ist: }} }}{{ic| {{cb|Clientless VPN|-}} {{cb|DHCP Server|-}} {{cb|Greylisting Filter|-}} {{cb|HTTP Proxy|-}} {{cb|IPSEC|-}} {{cb|L2TP VPN|-}} {{cb|Mailrelay|-}} {{cb|POP3 Proxy|-}} {{cb|Routing Daemon|-}} {{cb|SPF Filter|-}} {{cb|SSL-VPN|-}} {{cb|Spamfilter|-}} {{cb|WLAN Server|-}} |pd=5px}}<small>'''Default'''</small>  || {{#var:wizard4--deaktivierte--desc| Per Default sind hier Anwendungen aufgeführt, die, sofern sich die Spare-UTM im Backup-Modus befindet, deaktiviert sein sollen. }} || rowspan="1" class="bild" | {{bild| {{#var:wizard4--bild| UTM_v11.8.7_Cluster-Assistent_Schritt4.png }}|hochkant=1.5 |l={{#var:Abb}} 1.8}}
|-
|-
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}'''Cluster Assistent Schritt 5'''
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}'''{{#var:Cluster Assistent}} {{#var:Schritt}} 5'''
|-
|-
| {{b|Priorität}} || {{Button|Hoch|dro}} || Die Master-UTM erhält die Priorität »hoch«. || rowspan="3" class="bild" | {{bild| UTM_v11.8.7_Cluster-Assistent_Schritt5.png|hochkant=1.5 |l=Abb.: 1.9}}
| {{b|{{#var:wizard5--priorität| Priorität }} }} || {{Button|{{#var:Hoch| Hoch }}|dro}} || {{#var:wizard5--priorität--desc| Die Master-UTM erhält die Priorität »hoch«. }} || rowspan="3" class="bild" | {{bild| {{#var:wizard5--bild| UTM_v11.8.7_Cluster-Assistent_Schritt5.png }} |hochkant=1.5 |l={{#var:Abb}} 1.9}}
|-
|-
| {{b|Passphrase: }} || {{ic|insecure}} || Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll)
| {{b|{{#var:wizard5--Passphrase| Passphrase:}} }} || {{ic|insecure}} || {{#var:wizard5--Passphrase--desc| Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) }}
|-
|-
| class="hrzeile" colspan="3" | Cluster Assistent abschließen mit {{Button| Fertig }}
| class="hrzeile" colspan="3" | {{#var:wizard5--fertig| Cluster Assistent abschließen mit {{Button| Fertig }} }}
|-
|-
| class="hrzeile"|  {{hrzeile}}<br><i class="host utm>Master</i> {{Menu|Netzwerk | Clusterkonfiguration}} {{Reiter|Schnittstellen}}
| class="hrzeile"|  {{hrzeile}}<br><i class="host utm">Master</i> {{Menu|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} }} {{Reiter|{{#var:Schnittstellen}} }}
|-
|-
| {{ic|eth1|bc=#EAE0E0;| c=#444444;}} || Schnittstelle benutzt für '''High Availability''' || Virtuelle IP 192.168.200.1/24<br>IP-Adresse: 192.168.100.2/24 || rowspan="5" class="bild" | {{bild|UTM_v11.8.7_Cluster_Konfig.png|hochkant=1.5|l=Abb.: 1.10}}
| {{ic|eth1|bc=#EAE0E0;| c=#444444;}} || {{#var:cluster-schnittstellen--eth1| Schnittstelle benutzt für '''High Availability''' }} || {{#var:cluster-schnittstellen--eth1--desc| Virtuelle IP 192.168.200.1/24<br>IP-Adresse: 192.168.100.2/24 }} || rowspan="5" class="bild" | {{bild|{{#var:cluster-schnittstellen--bild| UTM_v11.8.7_Cluster_Konfig.png }}|hochkant=1.5|l={{#var:Abb}} 1.10}}
|-
|-
| {{ic|eth2|bc=#EAE0E0;| c=#444444;}} || Schnittstelle wird benutzt als '''Hotwire''' || IP-Adresse 192.168.180.2/24
| {{ic|eth2|bc=#EAE0E0;| c=#444444;}} || {{#var:cluster-schnittstellen--eth2| Schnittstelle wird benutzt als '''Hotwire''' }} || {{#var:cluster-schnittstellen--eth2--desc| IP-Adresse 192.168.180.2/24 }}
|-
|-
| {{ic|wan0|bc=#EAE0E0;| c=#444444;}} || Schnittstelle ist '''beim Backup deaktiviert''' ||
| {{ic|wan0|bc=#EAE0E0;| c=#444444;}} || {{#var:cluster-schnittstellen--wan0| Schnittstelle ist '''beim Backup deaktiviert''' }} ||
|-
|-
| {{b|Clusterstatus:}} || <span style="color:{{Farbe|#515151;}}">⬤</span> ||  Der Clusterstatus zeigt noch keinen Zustand an, weil der Cluster noch nicht auf aktiv geschaltet ist.
| {{b|{{#var:Clusterstatus|  }}}} || <span style="color:{{Farbe|#515151;}}">⬤</span> ||  {{#var:cluster-schnittstellen--clusterstatus--desc| Der Clusterstatus zeigt noch keinen Zustand an, weil der Cluster noch nicht auf aktiv geschaltet ist. }}
|-
|-
| {{b|Synchronisationsstatus:}} || <span style="color:{{Farbe|#DD463E;}}">⬤</span> || Der Synchronisationsstatus steht auf rot, weil die Gegenstelle nicht erreichbar ist.
| {{b|{{#var:Synchronisationsstatus| Synchronisationsstatus: }}}} || <span style="color:{{Farbe|#DD463E;}}">⬤</span> || {{#var:cluster-schnittstellen--sync--desc| Der Synchronisationsstatus steht auf rot, weil die Gegenstelle nicht erreichbar ist. }}
|-
|-
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}<br><i class="host utm>Master</i> {{Menu|Netzwerk | Clusterkonfiguration}} {{Reiter|Einstelungen}}
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}<br><i class="host utm">Master</i> {{Menu|Netzwerk | {{#var:Clusterkonfiguration}} }} {{Reiter|{{#var:Einstellungen| Einstelungen }} }}
|-
|-
| rowspan="2" | {{b|Lokaler SSH&#8209;Schlüssel:}} || {{Button | Neuen lokalen SSH-Schlüssel generieren}} || Im Reiter {{ Reiter | Einstellungen}} wird ein SSH Public Key erzeugt. || rowspan="2" class="bild" | {{bild| UTM_v11.8.7_Netzwerk_Cluster-Config_Einstellungen.png | hochkant=1.5 | l=Abb.: 1.11}}
| rowspan="2" | {{b|{{#var:lokaler-ssh-schlüssel| Lokaler SSH&#8209;Schlüssel: }}}} || {{Button | {{#var:cluster--ssh-button| Neuen lokalen SSH-Schlüssel generieren }} }} || {{#var:cluster--ssh-button--desc| Im Reiter {{ Reiter | Einstellungen}} wird ein SSH Public Key erzeugt. }} || rowspan="2" class="bild" | {{bild| {{#var:cluster--einstellungen--bild| UTM_v11.8.7_Netzwerk_Cluster-Config_Einstellungen.png }} | hochkant=1.5 | l={{#var:Abb}} 1.11}}
|-
|-
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || SSH-Schlüssel in die Zwischenablage kopieren
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || {{#var:cluster--einstellungen--ssh--desc| SSH-Schlüssel in die Zwischenablage kopieren }}
|-
|-
| class="Leerzeile noborder" colspan="4"| <hr>
| class="Leerzeile noborder" colspan="4"| <hr>
Zeile 227: Zeile 230:
! colspan="3"| {{h5|Spare-UTM | Spare UTM}} </td><td class="noborder" style="border-top: 0;">
! colspan="3"| {{h5|Spare-UTM | Spare UTM}} </td><td class="noborder" style="border-top: 0;">
|-
|-
| colspan="3" class="Leerzeile" | <br>Login über die IP-Adresse 192.168.180.3 auf das Web-Interface der Spare-UTM.<br><i class="host utm>Spare</i> {{Menu| Netzwerk| Clusterkonfiguration}} {{Reiter|Schnittstellen}}  
| colspan="3" class="Leerzeile" | <br>{{#var:spare--login| Login über die IP-Adresse 192.168.180.3 auf das Web-Interface der Spare-UTM. }}<br><i class="host utm">Spare</i> {{Menu| {{#var:Netzwerk}}| {{#var:Clusterkonfiguration}} | {{#var:Schnittstellen}} | &shy;|w }}  
|-
|-
| {{b|Name:}} || eth2 || {{ic|eth2}} {{b| |w}} Schnittstelle bearbeiten || rowspan="4" class="bild" | {{bild|UTM_v11.8.7_Netzwerk_Cluster-Config_UTM2_eth2.png|hochkant=1.5 |l=Abb.: 1.12}}
| {{b|{{#var:Name| Name: }}}} || eth2 || {{ic|eth2}} {{Button| |w}} {{#var:interface--edit| Schnittstelle bearbeiten }} || rowspan="4" class="bild" | {{bild|{{#var:interface--edit--bild| UTM_v11.8.7_Netzwerk_Cluster-Config_UTM2_eth2.png }} |hochkant=1.5 |l={{#var:Abb}} 1.12}}
|-
|-
| {{b|Verwendung:}} || {{ button|Schnittstelle als Hotwire benutzen|dr}} || Die Schnittstelle eth2 der Spare-UTM wird als Hotwire gekennzeichnet.
| {{b|{{#var:Verwendung| Verwendung: }}}} || {{ button|{{#var:Verwendung--val| Schnittstelle als Hotwire benutzen }} |dr}} || {{#var:Verwendung--desc| Die Schnittstelle eth2 der Spare-UTM wird als Hotwire gekennzeichnet. }}
|-
|-
| {{b| Lokale IP-Adresse: }} || {{ic|192.168.180.3/24}} || IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll.
| {{b| {{#var:lokale-ip|Lokale IP-Adresse:}} }} || {{ic|192.168.180.3/24}} || {{#var:spare--loakle-ip--desc| IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll. }}
|-
|-
| {{b| Remote IP-Adresse: }} || {{ic|192.168.180.2}} || IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll.
| {{b| {{#var:remote-ip|Remote IP-Adresse:}} }} || {{ic|192.168.180.2}} || {{#var:spare--remote-ip| IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll. }}
|-
|-
| class="Leerzeile noborder" colspan="4"| {{mobil|<hr>|<br>}}<i class="host utm>Spare</i> {{Menu | Netzwerk | Clusterkonfiguration }} {{Reiter| Einstellungen}}
| class="Leerzeile noborder" colspan="4"| {{mobil|<hr>|<br>}}<i class="host utm">Spare</i> {{Menu | Netzwerk | {{#var:Clusterkonfiguration}} }} {{Reiter| {{#var:Einstellungen}} }}
|-
|-
| rowspan="2" | {{b|Lokaler SSH&#8209;Schlüssel:}} || {{Button | Neuen lokalen SSH-Schlüssel generieren}} || SSH Public Key für die ''Spare-UTM'' erzeugen || rowspan="4" class="bild" | {{bild| UTM_v11.8.7_Netzwerk_Cluster-Config_Einstellungen-Spare.png | hochkant=1.5 | l=Abb.: 1.13}}
| rowspan="2" | {{b|{{#var:lokaler-ssh-schlüssel|Lokaler SSH&#8209;Schlüssel:}} }} || {{Button | {{#var:cluster--ssh-button|Neuen lokalen SSH-Schlüssel generieren}} }} || {{#var:lokaler-ssh-schlüssel--spare--desc| SSH Public Key für die ''Spare-UTM'' erzeugen }} || rowspan="4" class="bild" | {{bild| {{#var:lokaler-ssh-schlüssel--spare--bild| UTM_v11.8.7_Netzwerk_Cluster-Config_Einstellungen-Spare.png }} | hochkant=1.5 | l={{#var:Abb}} 1.13}}
|-
|-
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || SSH-Schlüssel '''noch nicht''' in die Zwischenablage kopieren
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || {{#var:dont-copy-ssh| SSH-Schlüssel '''noch nicht''' in die Zwischenablage kopieren }}
|-
|-
| {{b| SSH&#8209;Schlüssel der Gegenstelle: }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || Public-SSH-Key der ''Master-UTM'' aus der Zwischenablage einfügen
| {{b| {{#var:gegenstelle--ssh-schlüssel| SSH&#8209;Schlüssel der Gegenstelle: }} }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || {{#var:gegenstelle--ssh-schlüssel--desc| Public-SSH-Key der ''Master-UTM'' aus der Zwischenablage einfügen }}
|-  
|-  
| {{b|Lokaler SSH&#8209;Schlüssel:}} || colspan="2" | '''Jetzt''' den lokalen Public-SSh-Key der Spare-UTM in die Zwischenablage einfügen.
| {{b|{{#var:lokaler-ssh-schlüssel|Lokaler SSH&#8209;Schlüssel:}} }} || colspan="2" | {{#var:spare--copy-ssh| '''Jetzt''' den lokalen Public-SSh-Key der Spare-UTM in die Zwischenablage einfügen. }}
|-
|-
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}Wechsel auf <i class="host utm>Master</i> {{Menu | Netzwerk |Clusterkonfiguration}} {{Reiter| Einstellungen}}
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}{{#var:wechsel-auf| Wechsel auf }} <i class="host utm">Master</i> {{Menu | {{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} }} {{Reiter| {{#var:Einstellungen}} }}
|-
|-
| {{b| SSH&#8209;Schlüssel der Gegenstelle: }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || colspan="2" | Public-Key der Spare-UTM aus der Zwischenablage einfügen. {{info|Auf der ''Master-UTM'' ist entspicht die ''Spare-UMT'' der Gegenstelle}}
| {{b| {{#var:gegenstelle--ssh-schlüssel|SSH&#8209;Schlüssel der Gegenstelle:}} }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || colspan="2" | {{#var:spare--paste-ssh| Public-Key der Spare-UTM aus der Zwischenablage einfügen. }} {{info| {{#var:spare--paste-ssh--info| Auf der ''Master-UTM'' ist entspicht die ''Spare-UMT'' der Gegenstelle }} }}
|-
|-
| colspan="3" class="Leerzeile" | {{mobil|<hr>}}Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle gefinden. Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der {{Button|Speichern}} Schaltfläche.  
| colspan="4" class="Leerzeile" | {{mobil|<hr>}}{{#var:ssh-auf-beiden-seiten| Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle gefinden. Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der {{Button|Speichern}} Schaltfläche. }}
|-
|-
| {{b|Synchronisationsstatus}} ||<span style="color:{{Farbe|#E9C321;}}">⬤</span> ||colspan="2" |  Der Synchronisationsstatus sollte nun von rot zu orange wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. <br>{{Hinweis|!|g}} Der Status wird in bestimmten Intervallen aktualisiert. In dem Reiter {{Reiter |Schnittstellen}} kann die Aktualisierung mit der Synchronisieren-Schaltfläche {{button||refresh}} manuell ausgelöst werden.
| {{b|{{#var:Synchronisationsstatus}} }} ||<span style="color:{{Farbe|#E9C321;}}">⬤</span> ||colspan="2" |  {{#var:Synchronisationsstatus--gelb--desc| Der Synchronisationsstatus sollte nun von rot zu orange wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. <br>{{Hinweis|! § Der Status wird in bestimmten Intervallen aktualisiert. In dem Reiter {{Reiter |Schnittstellen}} kann die Aktualisierung mit der Synchronisieren-Schaltfläche {{button||refresh}} manuell ausgelöst werden.|g}}  }}
|-
|-
| class="Leerzeile" colspan="3"|<i class="host utm>Master</i> {{button|Konfiguration synchronisieren}}
| class="Leerzeile" colspan="3"|<i class="host utm">Master</i> {{button| {{#var:konfig-sync| Konfiguration synchronisieren }} }}
|-
|-
| {{b|Synchronisationsstatus}} || <span style="color:{{Farbe|#3EAB30;}}">⬤</span>||colspan="2" |  Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf grün. Die beiden UTMs sind abgeglichen.<br>Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.<br>
| {{b|{{#var:Synchronisationsstatus}} }} || <span style="color:{{Farbe|#3EAB30;}}">⬤</span>||colspan="2" |  {{#var:Synchronisationsstatus--success| Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf grün. Die beiden UTMs sind abgeglichen.<br>Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.<br>
Die Cluster {{b|Priorität}} {{Menu|Netzwerk|Clusterkonfiguration}} {{Reiter|Einstellungen}} der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt.<br>
Die Cluster {{b|Priorität}} {{Menu|Netzwerk|Clusterkonfiguration}} {{Reiter|Einstellungen}} der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt. }} <br>
{{Hinweis|!|g}} Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormals Spare-UTM zum Master.
{{Hinweis|! § {{#var:Synchronisationsstatus--success--hinweis| Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormals Spare-UTM zum Master. }} |g}}
|-
|-
| class="Leerzeile" colspan="3" | {{mobil|<hr>}}<br>'''Cluster aktivieren'''<br><i class="host utm>Master</i> & <i class="host utm>Spare</i> {{Menu|Netzwerk | Clusterkonfiguration}} {{Reiter|Einstelungen}}
| class="Leerzeile" colspan="3" | {{mobil|<hr>}}<br>'''{{#var:cluster-aktivieren| Cluster aktivieren }}'''<br><i class="host utm">Master</i> & <i class="host utm">Spare</i> {{Menu|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | {{#var:Einstelungen}} }}
|-
|-
| colspan="3" | Externe Interfaces an das DSL-Modem anschließen || class="bild" rowspan="4" | {{bild|UTM_v11.8.7_Cluster_Konfig_Ergebnis.png|hochkant=1.5|Abb.: 1.14}}
| colspan="3" | <br>{{#var:externe-schnittstelle--dsl| Externe Interfaces an das DSL-Modem anschließen}} || class="bild" rowspan="4" | {{bild|{{#var:cluster-konfig--ergebnis--bild| UTM_v11.8.7_Cluster_Konfig_Ergebnis.png }}|hochkant=1.5| {{#var:Abb}} 1.14 }}
|-
|-
| {{b|Cluster:}} || {{ButtonAn|Ein}} ||  
| {{b|{{#var:Cluster| Cluster}}: }} || {{ButtonAn|{{#var:ein}} }} ||  
Dieser Schritt muss auf '''beiden UTMs''' ausgeführt werden.
{{#var:cluster-aktivieren--ein--desc| Dieser Schritt muss auf '''beiden UTMs''' ausgeführt werden. }}
|-
|-
| rowspan="2" | {{b| Clusterstatus }} || Auf der Master-UTM: <span style="color:{{Farbe|#3EAB30;}}">⬤</span> || Der Cluster ist nun in Betrieb und der Master des Clusters hat unsere virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface.
| rowspan="2" | {{b| {{#var:Clusterstatus}} }} || {{#var:cluster--master| Auf der Master-UTM: }} <span style="color:{{Farbe|#3EAB30;}}">⬤</span> || {{#var:cluster--master--desc| Der Cluster ist nun in Betrieb und der Master des Clusters hat unsere virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface. }}
|-
|-
| class="no1cell" | Auf der Spare-UTM: <span style="color:{{Farbe|#E9C321;}}">⬤</span> || Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund
| class="no1cell" | {{#var:cluster--spare| Auf der Spare-UTM: }} <span style="color:{{Farbe|#E9C321;}}">⬤</span> || {{#var:cluster--spare--desc| Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund }}
|}
|}




Sollte der Status nicht sofort aktualisiert werden, kann das auch hier wieder über die Schaltfläche zum Aktualisieren manuell ausgelöst werden.
{{#var:status--desc|Sollte der Status nicht sofort aktualisiert werden, kann das auch hier wieder über die Schaltfläche zum Aktualisieren {{Button||renew}} manuell ausgelöst werden. }}


----
----


=== Beispiel Konfiguration: Externer Router ===
=== {{#var:konfig--extern| Beispiel Konfiguration: Externer Router }} ===
In diesem Beispiel wird eine Konfiguration mit einem externen Router beschrieben. Der Router ist das Gateway zum Internet. Eventuell wurde vom Provider ein öffentliches Netz zur Verfügung gestellt. In diesem Beispiel wird ein privates Netz verwendet. Die Vorgehensweise ist dann analog zum öffentlichen Netz. Hier werden nun zwei HA-Schnittstellen konfiguriert. Eine für die interne und eine für die externe Schnittstelle.
{{#var:konfig--extern--desc| In diesem Beispiel wird eine Konfiguration mit einem externen Router beschrieben. Der Router ist das Gateway zum Internet. Eventuell wurde vom Provider ein öffentliches Netz zur Verfügung gestellt. In diesem Beispiel wird ein privates Netz verwendet. Die Vorgehensweise ist dann analog zum öffentlichen Netz. Hier werden nun zwei HA-Schnittstellen konfiguriert. Eine für die interne und eine für die externe Schnittstelle. }}




==== Netzwerkkonfiguration: ====
==== {{#var:Netzwerkkonfiguration}} ====


'''Erstes Mitglied des Clusters (UTM 1, <i class="host utm>Master</i>)'''<br />
{{#var:extern--nk--desc| '''Erstes Mitglied…}}
''eth0:'' Externe IP Adresse (zum Router) 192.168.175.102/24<br>
''eth1:'' Interne IP-Adresse: 192.168.100.2/24<br>
''eth2:'' Hotwire-IP-Adresse:192.168.180.2/24


'''Zweites Mitglied des Clusters (UTM 2, <i class="host utm>Spare</i>)'''<br />
{{#var:Netzwerkkonfiguration--extern--virtuelle-ip| Die virtuellen IP-Adressen, die sich beide Mitglieder des Clusters teilen werden, sind die IP-Adressen 192.168.200.1/24 für die internen Schnittstellen und 192.168.175.101/24 für die extern Schnittstellen (zum Router).<br>
''eth0:'' Externe IP Adresse (zum Router) 192.168.175.103/24<br>
Die virtuelle IP-Adresse 192.168.200.1 ist das Standard-Gateway des internen Netzwerks. }}
''eth1:'' Interne IP-Adresse:192.168.100.3/24<br>
''eth2:'' Hotwire-IP-Adresse:192.168.180.3/24
 
Die virtuellen IP-Adressen, die sich beide Mitglieder des Clusters teilen werden, sind die IP-Adressen 192.168.200.1/24 für die internen Schnittstellen und 192.168.175.101/24 für die extern Schnittstellen (zum Router).<br>
Die virtuelle IP-Adresse 192.168.200.1 ist das Standard-Gateway des internen Netzwerks.


----
----


==== Inbetriebnahme der UTMs ====
==== {{#var:Inbetriebnahme|Inbetriebnahme der UTMs}} ====
Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet. Diese Einrichtung wird auf jeder UTM separat durchgeführt. Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse. Im letzten Schritt des Installationsassistenten wird die Cluster-Lizenz ausgewählt. Nach Abschluss des Assistenten werden die UTMs neu gestartet.
{{#var:inbetriebnahme--extern--desc| Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet. Diese Einrichtung wird auf jeder UTM separat durchgeführt. Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse. Im letzten Schritt des Installationsassistenten wird die Cluster-Lizenz ausgewählt. Nach Abschluss des Assistenten werden die UTMs neu gestartet. }}
----
----
==== Hotwire-Schnittstelle ====
==== {{#var:Hotwire-Schnittstelle}} ====
Die UTMs werden nun physikalisch über die Hotwire-Schnittstelle verbunden. Diese muss auf den Maschinen den gleiche Port belegen, zum Beispiel LAN3/eth2.
{{#var:inbetriebnahme--hotwire--desc|Die UTMs werden nun physikalisch über die Hotwire-Schnittstelle verbunden. Diese muss auf den Maschinen den gleiche Port belegen, zum Beispiel LAN3/eth2.}}
----
----
==== Cluster Konfiguration ====
==== {{#var:Cluster-Konfiguration}} ====




{| class="sptable2 pd5"
{| class="sptable2 pd5"
|+ Cluster-Konfiguration
|+ {{#var:Cluster-Konfiguration}}
|-
|-
! colspan="3" | {{h5| Master-UTM |Master-UTM}}
! colspan="3" | {{h5| Master-UTM |Master-UTM}}
|-
|-
| class="Leerzeile" colspan="3" | '''IP-Adresse der zukünftigen Hotwire-Schnittstelle'''<br><i class="host utm>Master</i> {{Menu|Netzwerk | Netzwerkkonfiguration}} {{ic|eth2}} → {{Button||w}} {{Reiter|IP-Adressen}}  
| class="Leerzeile" colspan="3" | '''{{#var:ip-hotwire|IP-Adresse der zukünftigen Hotwire-Schnittstelle}}'''<br><i class="host utm">Master</i> {{Menu|{{#var:Netzwerk}} | {{#var:Netzwerkkonfiguration}} }} {{ic|eth2}} → {{Button||w}} {{Reiter|{{#var:IP-Adressen}} }}  
|-
|-
| {{b|IP-Adressen:}} || style="min-width: 165px" |{{ic|{{cb|192.168.180.2/24}} |pd=5px 5px 2em 5px|lh=1.5em}} || In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. <br>Im Beispiel bekommt LAN3/eth2 die IP-Adresse 192.168.180.2/24. || rowspan="1" class="bild" | {{bild|UTM v11.8.7 Cluster Schnittstelle1.png|hochkant=1.5|l=Abb.}}
| {{b|{{#var:IP-Adressen:}} }} || style="min-width: 165px" |{{ic|{{cb|192.168.180.2/24}} |pd=5px 5px 2em 5px|lh=1.5em}} || {{#var:ip-adressen--desc|In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. <br>Im Beispiel bekommt LAN3/eth2 die IP-Adresse 192.168.180.2/24.}} || rowspan="1" class="bild" | {{bild|{{#var:cluster-schnittstelle--bild|UTM v11.8.7 Cluster Schnittstelle1.png}} |hochkant=1.5|l={{#var:Abb}} 1.4}}
|-
|-
| class="hrzeile"|  {{hrzeile}}<br> Start des Cluster-Setup-Wizard unter <i class="host utm>Master</i> {{Menu|Netzwerk|Clusterkonfiguration}} {{button|Cluster Assistent|+}}<br>'''Cluster Assistent Schritt 1'''
| class="hrzeile"|  {{hrzeile}}<br> {{#var:wizard1--head|Start des Cluster-Setup-Wizard unter}} <i class="host utm">Master</i> {{Menu|{{#var:Netzwerk}}|{{#var:Clusterkonfiguration}} }} {{button|{{#var:Cluster Assistent|cla}}|+}}<br>'''{{#var:Cluster Assistent|clus}} {{#var:Schritt|step}} 1'''
|-
|-
| {{b| Hotwire Schnittstelle}} || {{Button|eth2: 192.168.180.2/24|dr}} || {{Hinweis|!|r}} Auf beiden Geräten muss die gleiche Schnitstelle gewählt werden! || rowspan="3" class="bild" | {{bild| UTM_v11.8.7_Cluster-Assistent_Schritt1.png | hochkant=1.5 | l=Abb.: 1.5}}
| {{b| {{#var:Hotwire-Schnittstelle}}|hw }} || {{Button|eth2: 192.168.180.2/24|dr}} || {{Hinweis|!|r}} {{#var:wizard1--hotwire--desc|Auf beiden Geräten muss die gleiche Schnitstelle gewählt werden!}} || rowspan="3" class="bild" | {{bild| {{#var:wizard1--hotwire--bild|UTM_v11.8.7_Cluster-Assistent_Schritt1.png}} | hochkant=1.5 | l={{#var:Abb}} 1.5}}
|-
|-
| {{b| Lokale IP&#8209;Adresse: }} || {{ic| 192.168.180.2/24}} || IP-Adresse der Master-UTM
| {{b| {{#var:lokale-ip|Lokale IP&#8209;Adresse:}} }} || {{ic| 192.168.180.2/24}} || {{#var:wizard1--lokale-ip--desc|IP-Adresse der Master-UTM}}
|-
|-
| {{b| Remote IP&#8209;Adresse:}} ||  {{ic | 192.168.180.3 }} || IP-Adresse der Hotwire-Gegenstelle (Spare-UTM)
| {{b| {{#var:remote-ip|Remote IP&#8209;Adresse:}} }} ||  {{ic | 192.168.180.3 }} || {{#var:wizard1--remote-ip--desc|IP-Adresse der Hotwire-Gegenstelle (Spare-UTM) }}
|-
|-
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}'''Cluster Assistent Schritt 2'''
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}'''{{#var:Cluster Assistent}} {{#var:Schritt}} 2'''
|-
|-
| {{ b| Schnittstelle: }} || {{Button|eth1|dr}} || Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. || rowspan="3" class="bild" | {{bild|UTM_v11.8.7_Cluster-Assistent_Schritt2.png|hochkant=1.5 | l=Abb.: 1.6}}
| {{ b| {{#var:Schnittstelle}} }} || {{Button|eth1|dr}} || {{#var:wizard2--schnittstelle--desc|Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle.}} || rowspan="3" class="bild" | {{bild|{{#var:wizard2--bild|UTM_v11.8.7_Cluster-Assistent_Schritt2.png}} |hochkant=1.5 | l={{#var:Abb}} 1.6}}
|-
|-
| {{b| Virtuelle IP&#8209;Adresse: }} || {{ic|192.168.200.1/24}} || Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen.
| {{b| {{#var:virtuelle-ip|Virtuelle IP&#8209;Adresse:}} }} || {{ic|192.168.200.1/24}} || {{#var:virtuelle-ip--desc|Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen.}}
|-
|-
|colspan="3" | {{Hinweis | !|r}} Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain ] der anderen IP-Adressen liegen.{{info| Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.}} <br>{{Hinweis|!|g}} Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden.
|colspan="3" | {{Hinweis | ! § {{#var:wizard2--hinweis--dhcp|Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain ] der anderen IP-Adressen liegen.}} {{info| {{#var:wizard2--hinweis--info|Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.}} }} |r}}<br>{{Hinweis|! § {{#var:wizard2--hinweis--ha|Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden.}} |g}}
|-
|-
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}'''Cluster Assistent Schritt 3''' || class="noborder" |
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}'''{{#var:Cluster Assistent}} {{#var:Schritt}} 3''' || class="noborder" |
|-
|-
| colspan="2" | {{b|Deaktivierte Schnittstellen während das Gerät im Backup Modus ist:}} || Schnittstellen, die auf dem Backup-System, der Spare-UTM, '''nicht''' hochgefahren werden. <!--********-->In dieser Konfiguration ist das '''nicht erforderlich''' || rowspan="1" class="bild" | {{bild| UTM_v11.8.7_Cluster-Assistent_Schritt3b.png|hochkant=1.5 | l=Abb.: 1.7}}
| colspan="2" | {{b|{{#var:wizard3--deaktivierte|Deaktivierte Schnittstellen während das Gerät im Backup Modus ist:}} }} || {{#var:wizard3--deaktivierte-non--desc| Schnittstellen, die auf dem Backup-System, der Spare-UTM, '''nicht''' hochgefahren werden. <!--********-->In dieser Konfiguration ist das '''nicht erforderlich''' }} || rowspan="1" class="bild" | {{bild| {{#var:wizard3b--bild| UTM_v11.8.7_Cluster-Assistent_Schritt3b.png }} |hochkant=1.5 | l={{#var:Abb}} 1.7}}
|-
|-
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}'''Cluster Assistent Schritt 4'''
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}'''{{#var:Cluster Assistent}} {{#var:Schritt}} 4'''
|-
|-
| colspan="2" | {{b|Deaktivierte Anwendungen während das Gerät im Backup Modus ist:}}{{ic| {{cb|Clientless VPN|-}} {{cb|DHCP Server|-}} {{cb|Greylisting Filter|-}} {{cb|HTTP Proxy|-}} {{cb|IPSEC|-}} {{cb|L2TP VPN|-}} {{cb|Mailrelay|-}} {{cb|POP3 Proxy|-}} {{cb|Routing Daemon|-}} {{cb|SPF Filter|-}} {{cb|SSL-VPN|-}} {{cb|Spamfilter|-}} {{cb|WLAN Server|-}} |pd=5px}}<small>'''Default'''</small>  || Per Default sind hier Anwendungen aufgeführt, die, sofern sich die Spare-UTM im Backup-Modus befindet, deaktiviert sein sollen || rowspan="1" class="bild" | {{bild| UTM_v11.8.7_Cluster-Assistent_Schritt4.png|hochkant=1.5 |l=Abb.: 1.8}}
| colspan="2" | {{b|{{#var:wizard4--deaktivierte|Deaktivierte Anwendungen während das Gerät im Backup Modus ist:}} }}{{ic| {{cb|Clientless VPN|-}} {{cb|DHCP Server|-}} {{cb|Greylisting Filter|-}} {{cb|HTTP Proxy|-}} {{cb|IPSEC|-}} {{cb|L2TP VPN|-}} {{cb|Mailrelay|-}} {{cb|POP3 Proxy|-}} {{cb|Routing Daemon|-}} {{cb|SPF Filter|-}} {{cb|SSL-VPN|-}} {{cb|Spamfilter|-}} {{cb|WLAN Server|-}} |pd=5px}}<small>'''Default'''</small>  || {{#var:wizard4--deaktivierte--desc|Per Default sind hier Anwendungen aufgeführt, die, sofern sich die Spare-UTM im Backup-Modus befindet, deaktiviert sein sollen}} || rowspan="1" class="bild" | {{bild| {{#var:wizard4--bild|UTM_v11.8.7_Cluster-Assistent_Schritt4.png}} |hochkant=1.5 |l={{#var:Abb}} 1.8}}
|-
|-
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}'''Cluster Assistent Schritt 5'''
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}'''{{#var:Cluster Assistent}} {{#var:Schritt}} 5'''
|-
|-
| {{b|Priorität}} || {{Button|Hoch|dro}} || Die Master-UTM erhält die Priorität »hoch«. || rowspan="3" class="bild" | {{bild| UTM_v11.8.7_Cluster-Assistent_Schritt5.png|hochkant=1.5 |l=Abb.: 1.9}}
| {{b|{{#var:Priorität}} }} || {{Button|{{#var:Hoch}}|dro}} || {{#var:wizard5--priorität--desc|Die Master-UTM erhält die Priorität »hoch«.}} || rowspan="3" class="bild" | {{bild| {{#var:wizzard5--bild|UTM_v11.8.7_Cluster-Assistent_Schritt5.png}}|hochkant=1.5 |l={{#var:Abb}} 1.9}}
|-
|-
| {{b|Passphrase: }} || {{ic|insecure}} || Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll)
| {{b|{{#var:wizard5--Passphrase}} }} || {{ic|insecure}} || {{#var:wizard5--Passphrase--desc|Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll) }}
|-
|-
| class="hrzeile no1cell" colspan="3" | Cluster Assistent abschließen mit {{Button| Fertig }}
| class="hrzeile no1cell" colspan="3" | {{#var:wizard5--fertig|Cluster Assistent abschließen mit {{Button| Fertig }} }}
|-
|-
| class="hrzeile"|  {{hrzeile}}<br><i class="host utm>Master</i> {{Menu|Netzwerk | Clusterkonfiguration}} {{Reiter|Schnittstellen}}
| class="hrzeile"|  {{hrzeile}}<br><i class="host utm">Master</i> {{Menu|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | {{#var:Schnittstellen}} }}
|-
|-
|{{ic|eth0|bc=#EDEDED;| c=#444444;}} ||<small>(Schnittstelle ist noch nicht für HA konfiguriert)</small> || ''IP-Adresse'' 192.168.175.102/24 || rowspan="5" class="bild" | {{bild|UTM_v11.8.7_Cluster_Konfig-exr.png|hochkant=1.5|l=Abb.: 1.10}}
|{{ic|eth0|bc=#EDEDED;| c=#444444;}} ||<small>{{#var:cluster-schnittstellen--eth0| (Schnittstelle ist noch nicht für HA konfiguriert) }}</small> || {{#var:cluster-schnittstellen--eth0--desc| ''IP-Adresse'' 192.168.175.102/24 }} || rowspan="5" class="bild" | {{bild|{{#var:cluster-schnittstellen-extern--bild| UTM_v11.8.7_Cluster_Konfig-exr.png }}|hochkant=1.5|l={{#var:Abb}} 1.10}}
|-
|-
| {{ic|eth1|bc=#EAE0E0;| c=#444444;}} || Schnittstelle benutzt für '''High Availability''' || ''Virtuelle&nbsp;IP-Adresse: ''192.168.200.1/24<br>''IP-Adresse:'' 192.168.100.2/24  
| {{ic|eth1|bc=#EAE0E0;| c=#444444;}} || {{#var:cluster-schnittstellen--eth1|Schnittstelle benutzt für '''High Availability'''}} || {{#var:cluster-schnittstellen--eth1--desc--desc|''Virtuelle&nbsp;IP-Adresse: ''192.168.200.1/24<br>''IP-Adresse:'' 192.168.100.2/24 }}
|-
|-
| {{ic|eth2|bc=#EAE0E0;| c=#444444;}} || Schnittstelle wird benutzt als '''Hotwire''' || IP-Adresse 192.168.180.2/24
| {{ic|eth2|bc=#EAE0E0;| c=#444444;}} || {{#var:cluster-schnittstellen--eth2|Schnittstelle wird benutzt als '''Hotwire'''}} || {{#var:cluster-schnittstellen--eth2--desc|IP-Adresse 192.168.180.2/24}}
|-
|-
| {{ic|wan0|bc=#EAE0E0;| c=#444444;}} || Schnittstelle ist '''beim Backup deaktiviert''' ||
| {{ic|wan0|bc=#EAE0E0;| c=#444444;}} || {{#var:cluster-schnittstellen--wan0|Schnittstelle ist '''beim Backup deaktiviert'''}} ||
|-
|-
| {{b|Clusterstatus:}} || <span style="color:{{Farbe|#515151;}}">⬤</span> ||  Der Clusterstatus zeigt noch keinen Zustand an, weil der Cluster noch nicht auf aktiv geschaltet ist.
| {{b|{{#var:Clusterstatus}} }} || <span style="color:{{Farbe|#515151;}}">⬤</span> ||  {{#var:cluster-schnittstellen--clusterstatus--desc|Der Clusterstatus zeigt noch keinen Zustand an, weil der Cluster noch nicht auf aktiv geschaltet ist.}}
|-
|-
| {{b|Synchronisationsstatus:}} || <span style="color:{{Farbe|#DD463E;}}">⬤</span> || Der Synchronisationsstatus steht auf rot, weil die Gegenstelle nicht erreichbar ist.
| {{b|{{#var:Synchronisationsstatus}} }} || <span style="color:{{Farbe|#DD463E;}}">⬤</span> || {{#var:cluster-schnittstellen--sync--desc|Der Synchronisationsstatus steht auf rot, weil die Gegenstelle nicht erreichbar ist.}}
|-
|-
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}<br><i class="host utm>Master</i> {{Menu|Netzwerk | Clusterkonfiguration}} {{Reiter|Einstelungen}}
| class="Leerzeile" colspan="3"| {{mobil|<hr>|<br>}}<br><i class="host utm">Master</i> {{Menu|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | {{#var:Einstelungen}} }}
|-
|-
| rowspan="2" | {{b|Lokaler SSH&#8209;Schlüssel:}} || {{Button | Neuen lokalen SSH-Schlüssel generieren}} || Im Reiter {{ Reiter | Einstellungen}} wird ein SSH Public Key erzeugt. || rowspan="2" class="bild" | {{bild| UTM_v11.8.7_Netzwerk_Cluster-Config_Einstellungen.png | hochkant=1.5 | l=Abb.: 1.11}}
| rowspan="2" | {{b|{{#var:lokaler-ssh-schlüssel|Lokaler SSH&#8209;Schlüssel:}} }} || {{Button | {{#var:cluster--ssh-button|Neuen lokalen SSH-Schlüssel generieren}} }} || {{#var:cluster--ssh-button--desc|Im Reiter {{ Reiter | Einstellungen}} wird ein SSH Public Key erzeugt.}} || rowspan="2" class="bild" | {{bild| {{#var:cluster--einstellungen--bild|UTM_v11.8.7_Netzwerk_Cluster-Config_Einstellungen.png}} | hochkant=1.5 | l={{#var:Abb}} 1.11}}
|-
|-
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || SSH-Schlüssel in die Zwischenablage kopieren
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || {{#var:cluster--einstellungen--ssh--desc|SSH-Schlüssel in die Zwischenablage kopieren}}
|-
|-
| class="Leerzeile noborder" colspan="4"| <hr>
| class="Leerzeile noborder" colspan="4"| <hr>
Zeile 373: Zeile 368:
! colspan="3"| {{h5|Spare-UTM | Spare UTM}} </td><td class="noborder" style="border-top: 0;">
! colspan="3"| {{h5|Spare-UTM | Spare UTM}} </td><td class="noborder" style="border-top: 0;">
|-
|-
| colspan="3" class="Leerzeile" | <br>Login über die IP-Adresse 192.168.180.3 auf das Web-Interface der Spare-UTM.<br><i class="host utm>Spare</i> {{Menu| Netzwerk| Clusterkonfiguration}} {{Reiter|Schnittstellen}}  
| colspan="3" class="Leerzeile" | <br>{{#var:spare--login|Login über die IP-Adresse 192.168.180.3 auf das Web-Interface der Spare-UTM.}}<br><i class="host utm">Spare</i> {{Menu| {{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | {{#var:Schnittstellen}} }}
|-
|-
| {{b|Name:}} || eth2 || {{ic|eth2}} {{b| |w}} Schnittstelle bearbeiten || rowspan="4" class="bild" | {{bild|UTM_v11.8.7_Netzwerk_Cluster-Config_UTM2_eth2.png|hochkant=1.5 |l=Abb.: 1.12}}
| {{b|{{#var:Name}} }} || eth2 || {{ic|eth2}} {{b| |w}} {{#var:interface--edit|Schnittstelle bearbeiten}} || rowspan="4" class="bild" | {{bild|{{#var:interface--edit--bild|UTM_v11.8.7_Netzwerk_Cluster-Config_UTM2_eth2.png}}|hochkant=1.5 |l={{#var:Abb}} 1.12}}
|-
|-
| {{b|Verwendung:}} || {{ button|Schnittstelle als Hotwire benutzen|dr}} || Die Schnittstelle eth2 der Spare-UTM wird als Hotwire gekennzeichnet.
| {{b|{{#var:Verwendung}} }} || {{ button| {{#var:verwendung--val|Schnittstelle als Hotwire benutzen}}|dr}} || {{#var:verwendung--desc|Die Schnittstelle eth2 der Spare-UTM wird als Hotwire gekennzeichnet.}}
|-
|-
| {{b| Lokale IP-Adresse: }} || {{ic|192.168.180.3/24}} || IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll.
| {{b| {{#var:lokale-ip|Lokale IP-Adresse}} }} || {{ic|192.168.180.3/24}} || {{#var:spare--lokale-ip--desc|IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll.}}
|-
|-
| {{b| Remote IP-Adresse: }} || {{ic|192.168.180.2}} || IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll.
| {{b| {{#var:remote-ip|Remote IP-Adresse:}} }} || {{ic|192.168.180.2}} || {{#var:spare--remote-ip--desc|IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll.}}
|-
|-
| class="Leerzeile noborder" colspan="4"| {{mobil|<hr>|<br>}}<i class="host utm>Spare</i> {{Menu | Netzwerk |Clusterkonfiguration}} {{Reiter| Einstellungen}}
| class="Leerzeile noborder" colspan="4"| {{mobil|<hr>|<br>}}<i class="host utm">Spare</i> {{Menu | {{#var:Netzwerk}} |{{#var:Clusterkonfiguration}} | {{#var:Einstellungen}} }}
|-
|-
| rowspan="2" | {{b|Lokaler SSH&#8209;Schlüssel:}} || {{Button | Neuen lokalen SSH-Schlüssel generieren}} || SSH Public Key für die ''Spare-UTM'' erzeugen || rowspan="4" class="bild" | {{bild| UTM_v11.8.7_Netzwerk_Cluster-Config_Einstellungen-Spare.png | hochkant=1.5 | l=Abb.: 1.13}}
| rowspan="2" | {{b|{{#var:lokaler-ssh-schlüssel|Lokaler SSH&#8209;Schlüssel:}} }} || {{Button | {{#var:cluster--ssh-button|Neuen lokalen SSH-Schlüssel generieren}} }} || {{#var:cluster--ssh-button--desc|SSH Public Key für die ''Spare-UTM'' erzeugen}} || rowspan="4" class="bild" | {{bild| {{#var:lokaler-ssh-schlüssel--spare--bild|UTM_v11.8.7_Netzwerk_Cluster-Config_Einstellungen-Spare.png}} | hochkant=1.5 | l={{#var:Abb}} 1.13}}
|-
|-
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || SSH-Schlüssel '''noch nicht''' in die Zwischenablage kopieren
| {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || {{#var:dont-copy-ssh|SSH-Schlüssel '''noch nicht''' in die Zwischenablage kopieren}}
|-
|-
| {{b| SSH&#8209;Schlüssel der Gegenstelle: }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || Public-SSH-Key der ''Master-UTM'' aus der Zwischenablage einfügen
| {{b| {{#var:gegenstelle--ssh-schlüssel|SSH&#8209;Schlüssel der Gegenstelle:}} }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] zE0SU=</nowiki><br>''<nowiki>root@master.cluster.local</nowiki>''}} || {{#var:gegenstelle--ssh-schlüssel--desc|Public-SSH-Key der ''Master-UTM'' aus der Zwischenablage einfügen}}
|-  
|-  
| {{b|Lokaler SSH&#8209;Schlüssel:}} || colspan="2" | '''Jetzt''' den lokalen Public-SSh-Key der Spare-UTM in die Zwischenablage einfügen.
| {{b|{{#var:lokaler-ssh-schlüssel|Lokaler SSH&#8209;Schlüssel:}} }} || colspan="2" | {{#var:spare--copy-ssh|'''Jetzt''' den lokalen Public-SSh-Key der Spare-UTM in die Zwischenablage einfügen.}}
|-
|-
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}Wechsel auf <i class="host utm>Master</i> {{Menu | Netzwerk |Clusterkonfiguration}} {{Reiter| Einstellungen}}
| class="Leerzeile" colspan="3" | {{mobil|<hr>|<br>}}{{#var:Wechsel-auf}} <i class="host utm">Master</i> {{Menu | {{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | {{#var:Einstellungen}} }}
|-
|-
| {{b| SSH&#8209;Schlüssel der Gegenstelle: }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || colspan="2" | Public-Key der Spare-UTM aus der Zwischenablage einfügen. {{info|Auf der ''Master-UTM'' ist entspicht die ''Spare-UMT'' der Gegenstelle}}
| {{b| {{#var:gegenstelle--ssh-schlüssel|SSH&#8209;Schlüssel der Gegenstelle:}} }} || {{ic| <nowiki>ssh-rsa</nowiki><br><nowiki>AAAAB3Nz […] Q1/k=</nowiki><br>''<nowiki>root@spare.cluster.local</nowiki>''}} || colspan="2" | {{#var:spare--paste-ssh|Public-Key der Spare-UTM aus der Zwischenablage einfügen.}} {{info| {{#var:spare--paste-ssh--info|Auf der ''Master-UTM'' entspicht die ''Spare-UMT'' der Gegenstelle}} }}
|-
|-
| colspan="3" class="Leerzeile" | {{mobil|<hr>}}Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle gefinden. Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der {{Button|Speichern}} Schaltfläche.  
| colspan="4" class="Leerzeile" | {{mobil|<hr>}}{{#var:ssh-auf-beiden-seiten|Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle gefinden. Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der {{Button|Speichern}} Schaltfläche.}}
|-
|-
| {{b|Synchronisationsstatus}} ||<span style="color:{{Farbe|#E9C321;}}">⬤</span> ||colspan="2" |  Der Synchronisationsstatus sollte nun von rot zu orange wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. <br>{{Hinweis|!|g}} Der Status wird in bestimmten Intervallen aktualisiert. In dem Reiter {{Reiter |Schnittstellen}} kann die Aktualisierung mit der Synchronisieren-Schaltfläche {{button||refresh}} manuell ausgelöst werden.
| {{b|{{#var:Synchronisationsstatus}} }} ||<span style="color:{{Farbe|#E9C321;}}">⬤</span> || colspan="2" |  {{#var:Synchronisationsstatus--gelb--desc|Der Synchronisationsstatus sollte nun von rot zu orange wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert. <br>{{Hinweis|!|g}} Der Status wird in bestimmten Intervallen aktualisiert. In dem Reiter {{Reiter |Schnittstellen}} kann die Aktualisierung mit der Synchronisieren-Schaltfläche {{button||refresh}} manuell ausgelöst werden.}}
|-
|-
| class="Leerzeile" colspan="3"| <i class="host utm>Master</i> {{button|Konfiguration synchronisieren}}
| class="Leerzeile" colspan="3"| <i class="host utm">Master</i>
|-
|-
| {{b|Synchronisationsstatus}} || <span style="color:{{Farbe|#3EAB30;}}">⬤</span>||colspan="2" |  Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf grün. Die beiden UTMs sind abgeglichen.<br>Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.<br>
| {{b|{{#var:Synchronisationsstatus}} }} || <span style="color:{{Farbe|#3EAB30;}}">⬤</span>||colspan="2" |  {{#var:Synchronisationsstatus--success|Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf grün. Die beiden UTMs sind abgeglichen.<br>Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.<br>
Die Cluster {{b|Priorität}} {{Menu|Netzwerk|Clusterkonfiguration}} {{Reiter|Einstellungen}} der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt.<br>
Die Cluster {{b|Priorität}} {{Menu|Netzwerk|Clusterkonfiguration}} {{Reiter|Einstellungen}} der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt.}} <br>
{{Hinweis|!|g}} Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormals Spare-UTM zum Master.
{{Hinweis|! § {{#var:Synchronisationsstatus--success--hinweis| Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormals Spare-UTM zum Master.}} |g}}
|-
|-
| class="Leerzeile" colspan="3"| '''Externe Schnittstelle auf HA-Betrieb konfigurieren'''<br><i class="host utm>Master</i> {{Menu| Netzwerk| Clusterkonfiguration}} {{ic|eth0|bc=&#EDEDED;}} {{button| |w}}  
| class="Leerzeile" colspan="3"| '''{{#var:externe-schnittstelle--ha| Externe Schnittstelle auf HA-Betrieb konfigurieren }}'''<br><i class="host utm">Master</i> {{Menu| {{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} }} {{ic|eth0|bc=&#EDEDED;}} {{button| |w}}  
|-
|-
| {{b|Name:}} || eth0 || Externe Schnittstelle zum Router ||  rowspan="3" class="bild" | {{bild|  UTM_v11.8.7_Cluster_Konfig-exr_eth0.png|hochkant=1.5|l=Abb.: 1.26}}
| {{b|{{#var:Name}} }} || eth0 || {{#var:externe-schnittstelle--ha--router| Externe Schnittstelle zum Router }} ||  rowspan="3" class="bild" | {{bild|  {{#var:externe-schnittstelle--ha--bild| UTM_v11.8.7_Cluster_Konfig-exr_eth0.png }} |hochkant=1.5|l={{#var:Abb}} 1.26}}
|-
|-
| {{b| Verwendung: }} || {{button|Schnittstelle für High Availability benutzen|dr}} || Hochverfügbarkeit konfigurieren
| {{b| {{#var:Verwendung:}} }} || {{button|{{#var:verwendung--schnittstelle--ha--val| Schnittstelle für High Availability benutzen }}|dr}} || {{#var:verwendung--schnittstelle--ha--desc| Hochverfügbarkeit konfigurieren }}
|-
|-
| {{b| Virtuelle IP-Adressen:}} || {{ic| {{cb|192.168.175.101/24}} | pd=5px 5px 2em 5px }} || Virtuelle IP-Adresse aus dem Netz des Routers
| {{b| {{#var:virutelle-ip|Virtuelle IP-Adressen:}} }} || {{ic| {{cb|192.168.175.101/24}} | pd=5px 5px 2em 5px }} || {{#var:virtuelle-ip--router| Virtuelle IP-Adresse aus dem Netz des Routers }}
|-
|-
| class="Leerzeile" colspan="3" | {{button|Speichern}} {{button|Konfiguration synchronisieren}} <br><br>{{mobil|<hr>}}<br>'''Cluster aktivieren'''<br><i class="host utm>Master</i> & <i class="host utm>Spare</i> {{Menu|Netzwerk | Clusterkonfiguration}} {{Reiter|Einstelungen}}
| class="Leerzeile" colspan="3" | {{button|{{#var:Speichern}} }} {{button|{{#var:konfig-sync|Konfiguration synchronisieren}} }} <br><br>{{mobil|<hr>}}<br>'''{{#var:cluster-aktivieren}}'''<br><i class="host utm">Master</i> & <i class="host utm">Spare</i> {{Menu|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | {{#var:Einstelungen}} }}
|-
|-
| {{b|Cluster:}} || {{ButtonAn|Ein}} → {{button| Speichern }}|| Dieser Schritt muss auf '''beiden UTMs''' ausgeführt werden. ||  class="bild" rowspan="3" | {{bild|UTM_v11.8.7_Cluster_Konfig-exr_Ergebnis.png|hochkant=1.5|l=Abb.: 1.14}}
| {{b|{{#var:Cluster}} }} || {{ButtonAn|{{#var:ein}} }} → {{button| {{#var:Speichern}} }}|| {{#var:cluster-aktivieren--ein--desc|Dieser Schritt muss auf '''beiden UTMs''' ausgeführt werden. }} ||  class="bild" rowspan="3" | {{bild|{{#var:cluster--extern--konfig--ergebnis--bild| UTM_v11.8.7_Cluster_Konfig-exr_Ergebnis.png }} |hochkant=1.5|l={{#var:Abb}} 1.14}}
|-
|-
| rowspan="2" | {{b| Clusterstatus }} || Auf der Master-UTM: <span style="color:{{Farbe|#3EAB30;}}">⬤</span> || Der Cluster ist nun in Betrieb und der Master des Clusters hat unsere virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface.
| rowspan="2" | {{b| {{#var:Clusterstatus}} }} || {{#var:cluster--master|Auf der Master-UTM:}} <span style="color:{{Farbe|#3EAB30;}}">⬤</span> || {{#var:cluster--master--desc|Der Cluster ist nun in Betrieb und der Master des Clusters hat unsere virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface.}}
|-
|-
| class="no1cell" | Auf der Spare-UTM: <span style="color:{{Farbe|#E9C321;}}">⬤</span> || Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund
| class="no1cell" | {{#var:cluster--spare|Auf der Spare-UTM:}} <span style="color:{{Farbe|#E9C321;}}">⬤</span> || {{#var:cluster--spare--desc|Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund}}
|}
|}


Zeile 436: Zeile 431:
{| class="sptable"
{| class="sptable"
|-
|-
| Externe IP UTM 1 <i class="host utm>Master</i> || 192.168.175.102/24
| {{#var:externe-ip| Externe IP UTM }} 1 <i class="host utm">Master</i> || 192.168.175.102/24
|-
|-
| Externe IP UTM 2 <i class="host utm>Spare</i>  || 192.168.175.103/24
| {{#var:externe-ip|Externe IP UTM}} 2 <i class="host utm">Spare</i>  || 192.168.175.103/24
|-
|-
|Virtuelle IP Cluster {{spc|cb|s|Cluster}}||192.168.175.101/24
| {{#var:virtuelle-ip--cluster| Virtuelle IP Cluster }} {{spc|cb|s|Cluster}}||192.168.175.101/24
|-
|-
| IP des Routers || 192.168.175.1/24
| {{#var:ip--router| IP des Routers }} || 192.168.175.1/24
|}
|}


{{pt3|UTM_v11.8.7_Cluster_tcpdump.png|hochkant=2|tcpdump auf master.cluster.local}}
{{pt3|UTM_v11.8.7_Cluster_tcpdump.png|hochkant=2|{{#var:tcpdump--bild--cap| tcpdump auf master.cluster.local }} }}
<p>Die UTM 1 ist der Master und besitzt die virtuelle IP-Adresse.<br>
<p>{{#var:tcpdump--desc| Die UTM 1 ist der Master und besitzt die virtuelle IP-Adresse.<br>
Setzt man nun einen ping aus dem internen Netz auf die IP-Adresse des Routers ab, sieht man nebenstehendes im tcpdump der UTM1 auf dem externen Interface.</p>
Setzt man nun einen ping aus dem internen Netz auf die IP-Adresse des Routers ab, sieht man nebenstehendes im tcpdump der UTM1 auf dem externen Interface.</p>


<p>Der Ping wird vom Client im Standard-Regelwerk ''nicht über die virtuelle IP-Adresse'' des Clusters geNATet, sondern über die ''dem Master eindeutige IP-Adresse 192.168.175.102.''<br>
<p>Der Ping wird vom Client im Standard-Regelwerk ''nicht über die virtuelle IP-Adresse'' des Clusters geNATet, sondern über die ''dem Master eindeutige IP-Adresse 192.168.175.102.''<br>
Das kommt zustande, weil die eindeutige IP-Adresse die erste IP auf der Schnittstelle ist und der Router sich in der gleichen Broadcast Domain befindet. Wechselt der Cluster auf das Backup System, wird dort nicht mehr die IP-Adresse der externen Schnittstelle der <i class="host utm>Master</i>-UTM 192.168.175.102 stehen, sondern die IP-Adresse der externen Schnittstelle der <i class="host utm>Spare</i>-UTM 192.168.175.103. </p>
Das kommt zustande, weil die eindeutige IP-Adresse die erste IP auf der Schnittstelle ist und der Router sich in der gleichen Broadcast Domain befindet. Wechselt der Cluster auf das Backup System, wird dort nicht mehr die IP-Adresse der externen Schnittstelle der <i class="host utm">Master</i>-UTM 192.168.175.102 stehen, sondern die IP-Adresse der externen Schnittstelle der <i class="host utm">Spare</i>-UTM 192.168.175.103. </p> }}
<br clear=all>
<br clear=all>
{{pt3|UTM_v11.8.7_Cluster_Netzwerkobjekt-HA.png|hochkant=1}}
{{pt3|{{#var:cluster--netzwerkobjekt--bild| UTM_v11.8.7_Cluster_Netzwerkobjekt-HA.png }}|hochkant=1}}
<p>Um das zu ändern wird im Menü <i class="host utm>Master</i> {{Menu|Firewall|Portfilter}} im Reiter {{Reiter|Netzwerkobjekte}} ein neues Objekt mit der virtuellen IP-Adresse auf dem Cluster Interface erstellt.  
<p>{{#var:cluster--netzwerkobjekt--desc| Um das zu ändern wird im Menü <i class="host utm">Master</i> {{Menu|Firewall|Portfilter}} im Reiter {{Reiter|Netzwerkobjekte}} ein neues Objekt mit der virtuellen IP-Adresse auf dem Cluster Interface erstellt. }}


<br clear=all>
<br clear=all>
{{Gallery3|UTM_v11.8.7_Cluster_Regel.png| Anschließend wird im Reiter {{Reiter| Portfilter}} die entsprechende HideNAT-Regel bearbeitet. In Beispiel die Regel Nummer 7. | UTM_v11.8.7_Cluster_Regel2.png | Das Objekt {{button|external-interface|dr}} wird durch das gerade erstellte Objekt {{button|HA-Externe-IP|dr}} ersetzt.
{{Gallery3|{{#var:cluster--regel--bild| UTM_v11.8.7_Cluster_Regel.png }}| {{#var:cluster--regel--cap| Anschließend wird im Reiter {{Reiter| Portfilter}} die entsprechende HideNAT-Regel bearbeitet. In Beispiel die Regel Nummer 7. }} | {{#var:cluster--regel--detail--bild| UTM_v11.8.7_Cluster_Regel2.png }} | {{#var:cluster--regel--detail--bild--desc| Das Objekt {{button|external-interface|dr}} wird durch das gerade erstellte Objekt {{button|HA-Externe-IP|dr}} ersetzt. }}
| i=2}}
| i=2}}


<br>
<br>
{{Button|Speichern}} {{Button | Schließen}} {{Button|Regel aktualisieren|play}} <i class="host utm>Master</i> {{Menu|Netzwerk|Clusterkonfiguration}} {{Button|Konfiguration synchronisieren}}
{{Button|{{#var:Speichern}} }} {{Button | {{#var:Schließen}} }} {{Button|{{#var:regel-aktualisieren| Regel aktualisieren }}|play}} <i class="host utm">Master</i> {{Menu|{{#var:Netzwerk}} | {{#var:Clusterkonfiguration}} | | {{#var:Konfiguration synchronisieren}} }}




{{pt3|UTM_v11.8.7_Cluster_tcpdump2.png|hochkant=2}}
{{pt3|{{#var:cluster--tcpdump2--bild| UTM_v11.8.7_Cluster_tcpdump2.png}}|hochkant=2 | {{#var:cluster--tcpdump2--cap| tcpdump }} }}
Wird der Ping-Test jetzt wiederholt, wird die Cluster-IP 192.168.175.101 verwendet.<br>
{{#var:cluster--tcpdump2--desc| Wird der Ping-Test jetzt wiederholt, wird die Cluster-IP 192.168.175.101 verwendet. }}<br>


{{Hinweis|!|g}} Wenn der Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse geNATet.<br>
{{Hinweis| ! § {{#var:hinweis--tcpdump--ping| Wenn der Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse geNATet.<br>Der Ping muss unterbrochen werden. Nach frühestens 30 Sekunden. kann der Ping dann neu gestartet werden. }} |g}}
Der Ping muss unterbrochen werden. Nach frühestens 30 Sekunden. kann der Ping dann neu gestartet werden.
<br clear=all>
<br clear=all>


{{Hinweis| !! Für NAT Einstellungen müssen immer eindeutige IP-Adressen in den Netzwerkobjekten benutzt werden, wenn das NAT über ein HA-Interface konfiguriert wird. Das gilt nicht nur für HideNATs sondern auch Portweiterleitungen bzw. Destination NATs.}}
{{Hinweis| !! {{#var:hinweis--nat-einstellungen| Für NAT Einstellungen müssen immer eindeutige IP-Adressen in den Netzwerkobjekten benutzt werden, wenn das NAT über ein HA-Interface konfiguriert wird. Das gilt nicht nur für HideNATs sondern auch Portweiterleitungen bzw. Destination NATs. }} }}


----
----


=== Applikationen in der Cluster-Konfiguration ===
=== {{#var:applikationen| Applikationen in der Cluster-Konfiguration }} ===
{{pt3|UTM_v11.8.7_Cluster_Mailrelay_Allgemein.png }}
{{pt3|{{#var:applikationen--bild| UTM_v11.8.7_Cluster_Mailrelay_Allgemein.png }} }}
<p>Anwendungen verwenden IP-Adressen, um sich bei anderen Servern zu authentifizieren.<br>
<p>{{#var:applikationen--allgemein| Anwendungen verwenden IP-Adressen, um sich bei anderen Servern zu identifizieren.<br>
Es ist bei einigen Anwendungen möglich, dafür die Cluster-IP festzulegen.<br>
Es ist bei einigen Anwendungen möglich, dafür die Cluster-IP festzulegen. }}</p>
 


Beispielhaft wird das hier für das Mailrelay gezeigt.</p>
<p>{{#var:applikationen--beispiel| Beispielhaft wird das hier für das Mailrelay gezeigt. }}</p>


<p>Es sollen E-Mails über das Mailrelay der UTMs verschickt und empfangen werden.<br>
<p>{{#var:applikationen--mailrelay| Es sollen E-Mails über das Mailrelay der UTMs verschickt und empfangen werden.<br>
Dazu wurden entsprechende PTR, A, MX Records und SPF Einträge in den TXT Records der Domain gemacht, die auf die externe virtuelle IP-Adresse des Clusters zeigen. {{Hinweis|!|r}} Diese IP-Adressen müssen natürlich vom Router, der den Internetzugang in das eigene Netz weiterleitet, geroutet werden.<br>
Dazu wurden entsprechende PTR, A, MX Records und SPF Einträge in den TXT Records der Domain gemacht, die auf die externe virtuelle IP-Adresse des Clusters zeigen. {{Hinweis|!|r}} Diese IP-Adressen müssen natürlich vom Router, der den Internetzugang in das eigene Netz weiterleitet, geroutet werden.<br>
  Damit das Mailrelay nun auch E-Mails über diese virtuelle IP verschickt, muss in der Applikation die ausgehende IP-Adresse korrekt eingestellt werden. In unserem Fall die virtuelle IP 192.168.175.101</p>
  Damit das Mailrelay nun auch E-Mails über diese virtuelle IP verschickt, muss in der Applikation die ausgehende IP-Adresse korrekt eingestellt werden. In unserem Fall die virtuelle IP 192.168.175.101 }}</p>


<p>{{Button|Speichern}}<br>
<p>{{Button|{{#var:Speichern}} }}<br>
Anschließend muss die Cluster Konfiguration erneut synchronisiert werden.<br>
{{#var:applikationen--sync| Anschließend muss die Cluster Konfiguration erneut synchronisiert werden. }}<br>
  {{Menu|Netzwerkkonfiguration | Clusterkonfiguration}} {{Button|Konfiguration synchronisieren}}</p>
  {{Menu|{{#var:Netzwerkkonfiguration}} | {{#var:Clusterkonfiguration}} }} {{Button|{{#var:Konfiguration synchronisieren}} }}</p>


<p>{{Hinweis|!!|r}}Das Mailrelay kommuniziert jetzt '''immer '''mit der virtuellen IP-Adresse 192.168.175.101. Auch der interne Mailserver wird mit dieser IP als Absender kontaktiert. Das muss bei der Konfiguration des Mailservers berücksichtigt werden, sollte dieser nur SMTP-Verbindungen von bestimmten IPs akzeptieren.</p>
<p>{{Hinweis|!! § {{#var:appliaktionen--hinweis| Das Mailrelay kommuniziert jetzt '''immer '''mit der virtuellen IP-Adresse 192.168.175.101. Auch der interne Mailserver wird mit dieser IP als Absender kontaktiert. Das muss bei der Konfiguration des Mailservers berücksichtigt werden, sollte dieser nur SMTP-Verbindungen von bestimmten IPs akzeptieren.}}|r }}</p>


----
----


==== Kommunikation von Applikationen, die auf der Firewall laufen ====
==== {{#var:appliaktionen--kommunikation| Kommunikation von Applikationen, die auf der Firewall laufen }} ====
Alle Applikationen, die von der Firewall selber eine Verbindung aufbauen, verwenden dafür (sofern nicht anders konfiguriert) die primären IPs der Schnittstellen. Sollten Management-IPs aus der gleichen Broadcast-Domäne verwendet werden, sind diese primären IPs '''nicht '''die virtuellen IP-Adressen.
<div class="einrücken">
{{#var:appliaktionen--kommunikation--desc| Alle Applikationen, die von der Firewall selber eine Verbindung aufbauen, verwenden dafür (sofern nicht anders konfiguriert) die primären IPs der Schnittstellen. Sollten Management-IPs aus der gleichen Broadcast-Domäne verwendet werden, sind diese primären IPs '''nicht '''die virtuellen IP-Adressen. }}


===== Syslog =====
===== {{#var:syslog| Syslog }} =====
Syslog-Nachrichten  werden von der Management-IP der Master verschickt, wenn diese die aktive Maschine im Cluster ist, und von der Management-IP der Spare wenn diese aktiviert wurde.
{{#var:syslog--desc| Syslog-Nachrichten  werden von der Management-IP der Master verschickt, wenn diese die aktive Maschine im Cluster ist, und von der Management-IP der Spare wenn diese aktiviert wurde. }}




===== HTTP-Proxy =====
===== {{#var:http-proxy| HTTP-Proxy }} =====
Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese im Menü {{Menu|Anwendungen| HTTP-Proxy | Allgemein}} → {{b|Ausgehende IP-Adresse}} angegeben werden.
{{#var:http-proxy--desc| Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese im Menü {{Menu|Anwendungen| HTTP-Proxy | Allgemein}} → {{b|Ausgehende IP-Adresse}} angegeben werden. }}




===== Mailrelay =====
===== {{#var:mailrelay| Mailrelay }} =====
s.o.
{{#var:http-proxy--desc}}


===== RADIUS-/LDAP-/AD-Anbindung =====
===== {{#var:radius| RADIUS-/LDAP-/AD-Anbindung }} =====
Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem '''Ziel-Server''' jeweils die '''Management-IPs beider '''Geräte freigegeben werden.
{{#var:radius--desc| Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem '''Ziel-Server''' jeweils die '''Management-IPs beider '''Geräte freigegeben werden. }}




===== IPSec =====
===== IPSec =====
Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld „Local Gateway“ eine der virtuellen IPs fest eingetragen ist.<br>
{{#var:ipsec--desc| Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld „Local Gateway“ eine der virtuellen IPs fest eingetragen ist.<br>
{{Menu|VPN|IPSec}} → {{Button| Phase 1|w}} →  {{Reiter|Allgemein}} {{b| Local Gateway}} {{Button|192.168.175.101|dr}}
{{Menu|VPN|IPSec}} → {{Button| Phase 1|w}} →  {{Reiter|Allgemein}} {{b| Local Gateway}} {{Button|192.168.175.101|dr}} }}
 
=== SSL-VPN Server ===
In allen SSL-VPN-Server-Instanzen muss die Option Multihome aktiviert werden:<br>
{{ Menu| VPN | SSL-VPN}} {{Button | |w}} Reiter {{Reiter | Erweitert}} {{b|Multihome}} {{ButtonAn|Ein}}


===== {{#var:ssl-vpn--server| SSL-VPN Server }} =====
{{#var:ssl-vpn--server--desc| In allen SSL-VPN-Server-Instanzen muss die Option Multihome aktiviert werden:<br>
{{ Menu| VPN | SSL-VPN}} Schaltfläche {{Button | |w}} Reiter {{Reiter | Erweitert}} }} {{b|Multihome}} {{ButtonAn|{{#var:ein}} }}
</div>


=== SSL-VPN Clients ===
==== {{#var:appliaktionen--extern| Kommunikation mit Applikationen, die auf anderen Geräten laufen }} ====
Alle SSLVPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Dazu sind folgende CLI-Befehle erforderlich:
<div class="einrücken">
===== {{#var:ssl-vpn--clients| SSL-VPN Clients }} =====
{{#var:ssl-vpn--clients--desc| Alle SSLVPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Dazu sind folgende CLI-Befehle erforderlich: }}


{| class="sptable pd5"
{| class="sptable pd5"
! CLI-Befehl || Bedeutung
! {{#var:CLI-Befehle| CLI Befehle }} || {{#var:bedeutung| Bedeutung }}
|-
|-
|  {{code |master.cluster.local> openvpn get}} || Ermittelt die ID der SSLVPN-Verbindung
|  {{code |master.cluster.local> openvpn get}} || {{#var:cli--openvpn-get| Ermittelt die ID der SSLVPN-Verbindung }}
|-
|-
| {{code|<nowiki>master.cluster.local> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT></nowiki>}} ||  Setzt die lokale Adresse
| {{code|<nowiki>master.cluster.local> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT></nowiki>}} ||  {{#var:cli--openvpn-set| Setzt die lokale Adresse }}
|-
|-
| {{code | master.cluster.local> appmgmt restart application openvpn}} || Aktiviert die Einstellungen
| {{code | master.cluster.local> appmgmt restart application openvpn}} || {{#var:cli--openvpn-restart| Aktiviert die Einstellungen }}
|-
|-
| class="Leerzeile" | <br>'''Beispiel'''
| class="Leerzeile" | <br>'''{{#var:Beispiel| Beispiel }}'''
|-
|-
| {{code| master.cluster.local> openvpn get<br>[...]<br>master.cluster.local> openvpn set id <1> local_addr <192.168.175.101> local_port <20000><br>master.cluster.local> appmgmt restart application openvpn}} || Beispiel  
| {{code| master.cluster.local> openvpn get<br>[...]<br>master.cluster.local> openvpn set id <1> local_addr <192.168.175.101> local_port <20000><br>master.cluster.local> appmgmt restart application openvpn}} || {{#var:Beispiel}}
|}
|}






===== POP3 Proxy =====
===== {{#var:pop3| POP3 Proxy }} =====
Der POP3-Proxy kommuniziert '''immer mit der Management-IP''', sofern diese in der gleichen Broadcast-Domain wie das Default-Gateway ist. Dies ist bei der Beschränkung des Zugriffs auf POP3-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.
{{#var:pop3--desc| Der POP3-Proxy kommuniziert '''immer mit der Management-IP''', sofern diese in der gleichen Broadcast-Domain wie das Default-Gateway ist. Dies ist bei der Beschränkung des Zugriffs auf POP3-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten. }}




===== Clientless VPN =====
===== {{#var:clientless-vpn| Clientless VPN }} =====
Verbindungen zu RDP/VNC-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf RDP/VNC-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.
{{#var:clientless-vpn--desc| Verbindungen zu RDP/VNC-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf RDP/VNC-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten. }}




===== Nameserver =====
===== {{#var:Nameserver|  }} =====
Verbindungen zu DNS-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf DNS-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.
{{#var:Nameserver--desc| Verbindungen zu DNS-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf DNS-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten. }}
 
</div>
=== CLI Befehle ===
----
Im folgenden werden Befehle für die Securepoint CLI beschrieben.
=== {{#var:CLI-Befehle}} ===
{{#var:cli-befehle--desc| Im folgenden werden Befehle für die Securepoint CLI beschrieben. }}


{| class="sptable pd5"
{| class="sptable pd5"
|-
|-
! style="min-width: 180px;" | CLI Befehl !! style="min-width: 225px;" | Ausgabe !! Beschreibung
! style="min-width: 180px;" | {{#var:cli-befehl| CLI Befehl }} !! style="min-width: 225px;" | {{#var:Ausgabe|  }} !! {{#var:desc|B}}
|-
|-
| rowspan="3" | {{code|cli>&ensp;'''cluster info'''|boldcode}} || {{code|{{td|cluster_state| &#8739;master<br>&ensp;''backup<br>&ensp;none''|w=110px}} }} || Der Cluster State gibt an wer im Cluster gerade Master oder Backup ist oder ob der Cluster überhaupt aktiv ist. Die Ausgabe bezieht sich immer auf die Maschine, auf der dieser Befehl ausführt wird.
| rowspan="3" | {{code|cli>&ensp;'''cluster info'''|boldcode}} || {{code|{{td|cluster_state| &#8739;master<br>&ensp;''backup<br>&ensp;none''|w=110px}} }} || {{#var:cli--cluster-info--desc| Der Cluster State gibt an wer im Cluster gerade Master oder Backup ist oder ob der Cluster überhaupt aktiv ist. Die Ausgabe bezieht sich immer auf die Maschine, auf der dieser Befehl ausführt wird. }}
|-
|-
| style="width: 240px;" | {{code|{{td|sync_state | &#8739;synchronized<br>&ensp;''pending<br>&ensp;error''|w=110px}} }} || Im welchen Zustand befindet sich die Konfiguration. Dabei bedeutet „synchronized“, das sie auf beiden UTMS des Clusters gleich ist. Der Zustand „pending“ bedeutet, die UTMs haben einen unterschiedlichen Stand. In beiden Fällen können die Mitglieder miteinander kommunizieren. Der Zustand „error“ weist darauf hin das sie keine Daten austauschen können. Das könnte der Fall sein, wenn kein Hotwire Interface konfiguriert ist, die Verkabelung nicht korrekt ist, die SSH Keys nicht ausgetauscht wurden, oder falsche SSH Keys verwendet werden.
| style="width: 240px;" | {{code|{{td|sync_state | &#8739;synchronized<br>&ensp;''pending<br>&ensp;error''|w=110px}} }} || {{#var:cli--sync-state| Gibt an, in welchem Zustand sich die Konfiguration befindet. Dabei bedeutet „synchronized“, das sie auf beiden UTMS des Clusters gleich ist. Der Zustand „pending“ bedeutet, die UTMs haben einen unterschiedlichen Stand. In beiden Fällen können die Mitglieder miteinander kommunizieren. Der Zustand „error“ weist darauf hin das sie keine Daten austauschen können. Das könnte der Fall sein, wenn kein Hotwire Interface konfiguriert ist, die Verkabelung nicht korrekt ist, die SSH Keys nicht ausgetauscht wurden, oder falsche SSH Keys verwendet werden. }}
|-
|-
| {{code|{{td|hotwire_dev | &#8739;eth''x''|w=110px}} }} || Gibt das Interface an, auf dem das Hotwire Interface konfiguriert ist.
| {{code|{{td|hotwire_dev | &#8739;eth''x''|w=110px}} }} || {{#var:cli--hotwire| Gibt das Interface an, auf dem das Hotwire Interface konfiguriert ist. }}
|-
|-
| {{code|cli&gt;&ensp;'''system config save name &lt;Name der Konfiguration&gt;'''|boldcode}} || || Falls in der CLI eine Konfigurationsänderung durchgeführt wurde, muss diese erst lokal gespeichert werdn. Erst dann wird eine Synchronisierung des Clusters übertragen.
| {{code|cli&gt;&ensp;'''system config save name &lt;Name der Konfiguration&gt;'''|boldcode}} || || {{#var:cli--config-save| Falls in der CLI eine Konfigurationsänderung durchgeführt wurde, muss diese erst lokal gespeichert werdn. Erst dann wird eine Synchronisierung des Clusters übertragen. }}
|-
|-
|{{code|cli>&ensp;'''system config synchronize'''|boldcode}} ||  || Durch diesen Befehl kann die Konfiguration über die Hotwire Schnittstelle an den Cluster Partner übertragen werden. {{Hinweis|!|gelb}}Dabei wird die Konfiguration von der UTM verwendet, auf der der Befehl ausgeführt wird.
|{{code|cli>&ensp;'''system config synchronize'''|boldcode}} ||  || {{#var:cli--config-sync| Durch diesen Befehl kann die Konfiguration über die Hotwire Schnittstelle an den Cluster Partner übertragen werden. {{Hinweis|!|gelb}}Dabei wird die Konfiguration von der UTM verwendet, auf der der Befehl ausgeführt wird. }}
|-
|-
| {{code|cli>&ensp;'''extc value get application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY"'''|boldcode}} || {{code| Value &#8739;2}} || Zeigt den Delay in Sekunden an, bevor im Fehlerfall, von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden.
| {{code|cli>&ensp;'''extc value get application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY"'''|boldcode}} || {{code| Value &#8739;2}} || {{#var:cli--value-get| Zeigt den Delay in Sekunden an, bevor im Fehlerfall, von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden. }}
|-
|-
|{{code|cli>&ensp;'''extc value set application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" value 2'''|boldcode}} || {{code|OK}} || Verändert den Delay, für den Fehlerfall, das von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden und sollte nicht niedriger eingestellt werden. Falls die Appliances im Cluster eine hohe Grundlast haben sollten, kann der Wert höher eingestellt werden. {{Hinweis|!|gelb}} Die Einstellung ist sofort aktiv und kann via ''system config synchronize'' auf den Partner übertragen werden.
|{{code|cli>&ensp;'''extc value set application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" value 2'''|boldcode}} || {{code|OK}} || {{#var:cli--value-set| Verändert den Delay, für den Fehlerfall, das von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden und sollte nicht niedriger eingestellt werden. Falls die Appliances im Cluster eine hohe Grundlast haben sollten, kann der Wert höher eingestellt werden. {{Hinweis|!|gelb}} Die Einstellung ist sofort aktiv und kann via ''system config synchronize'' auf den Partner übertragen werden. }}
|}
|}


----
----


=== Einschränkungen ===
=== {{#var:Einschränkungen|  }} ===
==== DHCP-Client mit HA-Schnittstelle kombinieren ====
==== {{#var:Einschränkungen--dhcp--ha| DHCP-Client mit HA-Schnittstelle kombinieren }} ====
Konfigurieren sie kein HA Interface auf einem Ethernet oder VLAN Interface auf dem sie DHCP Client konfiguriert haben, also die UTM auf dem Interface eine IP-Adresse dynamisch zugewiesen bekommt. Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt.
<div class="einrücken">
{{#var:Einschränkungen--dhcp--ha--desc| Konfigurieren sie kein HA Interface auf einem Ethernet oder VLAN Interface auf dem sie DHCP Client konfiguriert haben, also die UTM auf dem Interface eine IP-Adresse dynamisch zugewiesen bekommt. Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt. }}
</div>


==== DHCP-Server in einer Clusterumgebung ====
==== {{#var:Einschränkungen--dhcp--cluster| DHCP-Server in einer Clusterumgebung }} ====
{{Hinweis | !|r}} Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] der anderen IP-Adressen liegen.<br>
<div class="einrücken">
Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. Siehe: [[#Schritt2 | Cluster Konfiguration Schritt 2]]
{{Hinweis | ! § {{#var:Einschränkungen--dhcp--cluster--desc| Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] der anderen IP-Adressen liegen.<br>
Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. Siehe: [[#Schritt2 | Cluster Konfiguration Schritt 2]] }} |r}}
</div>
----
----

Version vom 24. Februar 2020, 12:20 Uhr





























De.png
En.png
Fr.png

Securepoint Cluster Konfiguration
Best Practice

Letzte Anpassung zur Version: 11.8.7


Neu:

  • Erweiterte Hinweise zu DHCP
  • Artikelanpassung
  • Übersetzung


Vorherige Versionen: 11.7



'

Aktuelle Software
Es sollte immer die neueste Version der Software installiert werden.
Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten.


Einsatzgebiete

Durch Einsatz der UTM in einem Hot-Standby-Cluster kann eine Hochverfügbarkeit der UTM gewährleistet werden.
Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig.

Cluster-01.jpg
Abb.: 1.1

Einrichtung

Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der Ursprungs-UTM ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der Spare-UTM, die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.
Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.
Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP.


Voraussetzungen

Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig:


  • Eine Cluster-Master-Lizenz
    Eine Cluster-Spare-Lizenz

    Zur Konfiguration und den Betrieb des UTM-Clusters wird eine gültige Cluster-Lizenz benötigt, die zwei unterschiedliche Lizenzen beinhaltet und die im Securepoint Reseller Portal beantragt werden kann.

    Endkunden wenden sich bitte an Ihren autorisierten Securepoint Reseller.

  • Zwei identische Appliances* mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware

    Im kleinsten Szenario sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.

    * Der Betrieb einer RC300 G3 und einer RC340 G3 in einem gemeinsamen Cluster ist freigegeben. Andere Konstellationen werden nicht unterstützt.

  • Die eingesetzten Switches und Router unterstützen gratuitous ARP

    Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM gratuitous ARP Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.
    Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren.



Funktionsweise des Clusters

Funktionsweise des Clusters
Abb.: 1.2


  • Der Cluster verwendet eindeutige IP- und MAC-Adressen für die beiden Mitglieder des Clusters sowie virtuelle IP-Adressen für den Cluster selber
  • Die virtuellen IP-Adressen sind allein auf dem aktiven Mitglied des UTM-Clusters aktiv
  • Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, so wechseln die virtuellen IP-Adressen zum zweiten Mitglied des Clusters
  • Für die Clients und Server in einer Clusterkonfiguration, ist die virtuelle IP-Adresse der Kommunikationspartner im Routing



Das Cluster VRR Protokoll

Das Cluster VRR Protokoll
UTM11 BP Cluster pic6.png


VRRP (Virtual Router Redundancy Protocol) ist das Kommunikationsprotokoll des Clusters. Es ist einzig auf den Schnittstellen aktiv, die als High-AvailabilitySchnittstelle konfiguriert sind. Über dieses Protokoll versendet der Master des UTM-Clusters Datenpakete an das Backup. Empfängt das Backup keine Datenpakete, so stuft es sich zum Master hoch.

Mit Hilfe von tcpdump kann das Protokoll auf einer HA-Schnittstelle sichtbar gemacht werden (siehe Abb.)

Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR-Protokoll zu ermöglichen.


Umschalten des Clusters

Folgende Zustände bzw. Ereignisse lösen ein Umschalten innerhalb des Clusters aus:

  • Das aktive Mitglied eines Clusters wird neu gestartet oder ganz heruntergefahren.
  • Eine oder mehrere HA-Schnittstellen haben keinen physikalischen Link mehr.
  • Der Link einer HA-Schnittstelle ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an.
  • Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert.

Sind mehr als zwei HA-Schnittstellen aktiviert, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Schnittstellen nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Schnittstellen einen Link haben, solange sich die UTMs über wenigstens einer HA-Schnittstelle noch sehen. Sehen sich die UTMs auf keiner Schnittstelle mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden zum Master.


Tabelle, Verhalten im Cluster, Beispiel zwei HA-Schnittstellen:

HA-Schnittstelle 1 HA-Schnittstelle 2 UTM 1 Status UTM 2 Status
UTM 1 UP
, UTM 2 UP
UTM 1 UP
, UTM 2 UP
Aktiv
Passiv
UTM 1 DOWN
, UTM 2 UP
UTM 1 UP
, UTM 2 UP
Passiv
Aktiv
UTM 1 DOWN
, UTM 2 DOWN
UTM 1 UP
, UTM 2 UP
Aktiv
Passiv
UTM 1 DOWN
, UTM 2 DOWN
UTM 1 UP
, UTM 2 DOWN
Aktiv
Aktiv
UTM 1 DOWN
, UTM 2 DOWN
UTM 1 DOWN
, UTM 2 DOWN
Aktiv
Aktiv


Hierbei ist zu beachten, dass UTM-1 eine höhere Priorität als UTM-2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Mitglieder des Clusters sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt.


Fallback im Cluster
  • Ist gleichzeitig ein Fallback konfiguriert und ein fehlgeschlagener Ping-Check löst das Umschalten auf die Spare aus und diese registriert ebenfalls einen fehlgeschlagenen Ping-Check, wird sie den Master wieder an den ursprünglichen Master zurückgeben.
    Hier entscheidet nun die Priorität, da beide Maschinen gleichwertig beeinträchtigt sind und das Fallback der Master wird aktiv.

  • Hotwire Schnittstelle

    Hotwire Schnittstelle
    Abb.: 1.3


    Die Hotwire-Schnittstelle ist eine exklusive Schnittstelle, die nur zum Synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Diese Schnittstelle hat exklusiv diese Aufgabe. Bei der Auswahl der Appliances muss darauf geachtet werden, daß für das Hotwire-Netz jeweils eine Schnittstelle frei sein muss.
    Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection-Tracking wird über den Port 3780 (UDP) abgeglichen. Ist eine Ethernet-Schnittstelle als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des UTM-Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Mitgliedern des Clusters erfolgen. Das Connection-Tracking wird immer automatisch vom Master im Cluster zum Backup übertragen (Abb. 1.3).

    Die Hotwire-Verbindung soll immer über eine direkte Kabelverbindung erfolgen (kein Switch etc. dazwischen).
    Es muss sichergestellt werden, dass niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem synchronisiert werden soll.


    Konfiguration abgleichen

    Über die Hotwire-Schnittstelle wird die jeweilige Start-Konfiguration synchronisiert. Änderungen, die auf einer Maschine im Cluster gemacht wurden, werden über diese Schnittstelle auf das andere Gerät übertragen. In der Regel wird die Konfiguration, nach der Inbetriebnahme des Clusters, allein auf einer UTM durchgeführt. Wir empfehlen den Master zu verwenden.


    Folgende Teile der Konfiguration werden nicht abgeglichen:

    1. IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden.
      Das sind die IP-Adressen, die im Webinterface unter dem Punkt Netzwerk Netzwerkkonfiguration eingestellt werden. Wird ein Ethernet- oder VLAN-Schnittstelle neu erzeugt, wird dies zwar übertragen, jedoch nicht die Information über die IP-Adressen dieser Schnittstellen. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden, denn sie sind immer eindeutig einer UTM zugewiesen. Diese IP-Adressen sind nicht zu verwechseln mit virtuellen IP-Adressen auf einer HA-Schnittstelle, die sich beide Maschinen im Cluster teilen.

    2. Active Directory-Appliance-Account.
      Dieser Account ist immer eindeutig im AD. Man erstellt unterschiedliche Namen auf beiden Maschinen und meldet jede separat am Active Directory an.

    Es ist nicht zwingend notwendig, eindeutige IP-Adressen auf Schnittstellen zu konfigurieren, auf denen eine HA-Schnittstelle mit virtuellen IP-Adressen betrieben wird.
    In dem Fall gelangt man über die virtuelle IP-Adresse auf die UTM, die in dem Augenblick der Master ist.
    Soll über diese Schnittstelle das Mitglied des UTM-Clusters eindeutig identifiziert werden, ist es jedoch erforderlich eine eindeutige IP-Adresse zu konfigurieren.


    Beispiel-Konfiguration 1: Externes DSL-Modem

    In diesem Beispiel wird eine Konfiguration aufgezeigt, mit der ein UTM-Cluster an einem DSL-Modem betrieben werden kann. Die Einwahl erfolgt direkt durch die UTM.

    Netzwerkkonfiguration

    Erstes Mitglied des Clusters (UTM 1, Master)
    LAN1: Externe DSL Verbindung mittels PPPoE.
    LAN2: Interne IP-Adresse: 192.168.12.141/24
    LAN3: Hotwire-IP-Adresse:192.168.180.2/24

    Zweites Mitglied des Clusters (UTM 2, Spare)
    LAN1: Externe DSL Verbindung mittels PPPoE.
    LAN2: Interne IP-Adresse:192.168.12.142/24
    LAN3: Hotwire-IP-Adresse:192.168.180.3/24

    Als virtuelle IP-Adresse für die internen Schnittstellen LAN2 wird 192.168.200.1/24 definiert.
    Diese IP-Adresse ist das Standard-Gateway des internen Netzwerks.

  • Bei Verwendung des DHCP-Servers, darf die Virtuelle IP-Adresse nicht im gleichen Netz wie die physische IP Adresse der Schnittstelle sein.
    Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.

  • Inbetriebnahme der UTMs

    • Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet
    • Zur Anmeldung auf der UTM wird bereits eine (Cluster-) Lizenz benötigt
    • Um eine Doppeleinwahl zu unterbinden, sollte das DSL-Modem nicht angeschlossen sein
    • Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse
    • Nach Abschluss des Assistenten werden die UTMs neu gestartet

    Hotwire Schnittstelle

    Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden.
    Diese muss auf den Maschinen den gleichen Port belegen - Bezeichnung je nach verwendeter Hard- und Software A2, eth2 oder LAN3.



    Cluster-Konfiguration

    • Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität
    • Die höhere Priorität hat das aktive Gerät (Master), die niedrigere das Backup-System Spare
    • In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.12.141 Master sein
    • Login über das Webinterface mit dieser IP und dem Port für Administration (Default: 11115)
    Cluster-Konfiguration
    Master-UTM
    Master-UTM
    IP-Adressen der zukünftigen Hotwire-Schnittstellen
    Master → Netzwerk →Netzwerkkonfiguration eth2 IP-Adressen:
    IP-Adressen: »192.168.180.2/24 In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt.
    Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.2/24.
    UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN3 master.png
    Abb.: 1.4


    Start des Cluster-Setup-Wizard unter Master → Netzwerk →Clusterkonfiguration Cluster Assistent
    Cluster Assistent Schritt 1
    Hotwire Schnittstelle eth2: 192.168.180.2/24 Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden! UTM v12.6.1 Cluster Cluster-Assistent Schritt 1.png
    Abb.: 1.5
    Lokale IP‑Adresse: 192.168.180.2/24 IP-Adresse der Master-UTM
    Remote IP‑Adresse: 192.168.180.3 IP-Adresse der Hotwire-Gegenstelle (Spare-UTM)


    Cluster Assistent Schritt 2
    Schnittstelle: eth1 Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. UTM v12.6.1 Cluster Cluster-Assistent Schritt 2.png
    Abb.: 1.6
    Virtuelle IP‑Adresse: 192.168.200.1/24 Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen.
    Bei Verwendung der UTM als DHCP-Server darf die virtuelle IP-Adresse nicht in der gleichen Broadcast Domain liegen, in der die Master- und Spare-UTM sind.
    Der DHCP-Server würde sich sonst beim Fallback auf die physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.

    Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden.



    Cluster Assistent Schritt 3
    Deaktivierte Schnittstellen während das Gerät im Backup Modus ist: wan0 Schnittstellen, die auf dem Backup-System, der Spare-UTM, nicht hochgefahren werden.
    Im Beispiel wan0 (das DSL Interface). Die Einwahl soll nur durch die gerade aktive Master-UTM im Cluster erfolgen.
    Dadurch ist es möglich, beide externen Interfaces der UTMs an das DSL Modem anzuschließen. Falls das Modem nur einen LAN Port besitzt, ist ein separater Switch zu verwenden.
    UTM v12.6.1 Cluster Cluster-Assistent Schritt 3.png
    Abb.: 1.7


    Cluster Assistent Schritt 4
    Deaktivierte Anwendungen während das Gerät im Backup Modus ist:Clientless VPN DHCP Server Greylisting Filter HTTP Proxy IPSEC L2TP VPN Mailrelay POP3 Proxy Routing Daemon SPF Filter SSL-VPN Spamfilter WLAN ServerDefault Hier sind Anwendungen aufgeführt, die per Default deaktiviert sein sollen, sofern sich die Spare-UTM im Backup-Modus befindet. UTM v12.6.1 Cluster Cluster-Assistent Schritt 4.png
    Abb.: 1.8


    Cluster Assistent Schritt 5
    Priorität Hoch Die Master-UTM erhält die Priorität »hoch«. UTM v12.6.1 Cluster Cluster-Assistent Schritt 5.png
    Abb.: 1.9
    Passphrase: insecure Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll)
    Cluster Assistent abschließen mit Fertig


    Master → Netzwerk →Clusterkonfiguration Schnittstellen
    eth1 Schnittstelle benutzt für High Availability Virtuelle IP 192.168.200.1/24
    IP-Adresse: 192.168.12.141/24
    UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 2.png
    Abb.: 1.10
    eth2 Schnittstelle wird benutzt als Hotwire IP-Adresse 192.168.180.2/24
    wan0 Schnittstelle ist beim Backup deaktiviert
    Clusterstatus Der Clusterstatus zeigt offline (schwarz) an, weil der Cluster noch nicht auf aktiv geschaltet ist
    Synchronisationsstatus: Der Synchronisationsstatus zeigt error' (rot), weil die Gegenstelle nicht erreichbar ist



    Master → Netzwerk →Clusterkonfiguration Einstellungen
    Lokaler SSH-Schlüssel: Neuen lokalen SSH-Schlüssel generieren Im Reiter Einstellungen wird ein SSH Public Key erzeugt. UTM v12.6.1 Cluster Clusterkonfiguration Einstellungen 1.png
    Abb.: 1.11
    ssh-rsa
    AAAAB3Nz […] zE0SU=
    root@master.cluster.local
    SSH-Schlüssel in die Zwischenablage kopieren

    Spare-UTM
    Spare UTM

    Login auf das Web-Interface der Spare-UTM.
    Spare → Netzwerk →ClusterkonfigurationReiter Schnittstellen Schaltfläche ­
    Name: eth2 eth2 Schnittstelle bearbeiten UTM v12.6.1 Cluster Clusterkonfiguration Schnittstelle bearbeiten LAN3 spare.png
    Abb.: 1.12
    Verwendung: Schnittstelle als Hotwire benutzen Die Schnittstelle LAN3 der Spare-UTM wird als Hotwire gekennzeichnet.
    Lokale IP‑Adresse: 192.168.180.3/24 IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll.
    Remote IP‑Adresse: 192.168.180.2 IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll.


    Spare → Netzwerk →Clusterkonfiguration Einstellungen
    Lokaler SSH-Schlüssel: Neuen lokalen SSH-Schlüssel generieren SSH Public Key für die Spare-UTM erzeugen UTM v12.6.1 Cluster Clusterkonfiguration Einstellungen 2.png
    Abb.: 1.13
    ssh-rsa
    AAAAB3Nz […] Q1/k=
    root@spare.cluster.local
    SSH-Schlüssel noch nicht in die Zwischenablage kopieren
    Schlüssel der Gegenstelle: ssh-rsa
    AAAAB3Nz […] zE0SU=
    root@master.cluster.local
    Public-SSH-Key der Master-UTM aus der Zwischenablage einfügen
    Lokaler SSH-Schlüssel: Jetzt den lokalen Public-SSH-Key der Spare-UTM in die Zwischenablage einfügen.


    Wechsel auf Master → Netzwerk →Clusterkonfiguration Einstellungen
    Schlüssel der Gegenstelle: ssh-rsa
    AAAAB3Nz […] Q1/k=
    root@spare.cluster.local
    Public-Key der Spare-UTM aus der Zwischenablage einfügen.
    Auf der Master-UTM entspricht die Spare-UTM der Gegenstelle

    Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle befinden.
    Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der
    Speichern
    Schaltfläche.
    Synchronisationsstatus: Der Synchronisationsstatus sollte nun von error (rot) zu pending (gelb) wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert.
    Master Konfiguration synchronisieren
    Synchronisationsstatus: Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf synchronized (grün). Die beiden UTMs sind abgeglichen.
    Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.
    Die Cluster Priorität Netzwerk Clusterkonfiguration  Bereich Einstellungen der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt.

    Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormalige Spare-UTM zum Master.



    Cluster aktivieren
    Master & Spare → Netzwerk →Clusterkonfiguration

    Externe Interfaces an das DSL-Modem anschließen
    UTM v11.8.7 Cluster Konfig Ergebnis.png
    Abb.: 1.14
    Cluster: Ein

    Dieser Schritt muss auf beiden UTMs ausgeführt werden.

    Clusterstatus Auf der Master-UTM: Der Cluster ist nun in Betrieb und der Master des Clusters hat die virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface.
    Auf der Spare-UTM: Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund


    Sollte der Status nicht sofort aktualisiert werden, kann das auch hier wieder über die Schaltfläche zum Aktualisieren manuell ausgelöst werden.


    Beispiel Konfiguration 2: Externer Router

    • In diesem Beispiel wird eine Konfiguration mit einem externen Router beschrieben.
    • Der Router ist das Gateway zum Internet.
    • Eventuell wurde vom Provider ein öffentliches Netz zur Verfügung gestellt.
      In diesem Beispiel wird ein privates Netz verwendet. Die Vorgehensweise ist dann analog zum öffentlichen Netz.
    • Hier werden nun zwei HA-Schnittstellen konfiguriert.
      Eine für die interne und eine für die externe Schnittstelle.


    Netzwerkkonfiguration

    Erstes Mitglied des Clusters (UTM 1, Master)
    LAN1: Externe IP Adresse (zum Router) 192.168.175.102/24
    LAN2: Interne IP-Adresse: 192.168.12.141/24
    LAN3: Hotwire-IP-Adresse: 192.168.180.2/24

    Zweites Mitglied des Clusters (UTM 2, Spare)
    LAN1: Externe IP Adresse (zum Router) 192.168.175.103/24
    LAN2: Interne IP-Adresse: 192.168.12.142/24
    LAN3: Hotwire-IP-Adresse: 192.168.180.3/24

    Virtuelle IP-Adressen, die sich beide Mitglieder des Clusters teilen:
    Externe Schnittstellen (zum Router) 192.168.175.101/24.
    Interne Schnittstellen 192.168.200.1/24 | Diese IP ist das Standard-Gateway des internen Netzwerks.


    Inbetriebnahme der UTMs

    • Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet
    • Zur Anmeldung auf der UTM wird bereits eine (Cluster-) Lizenz benötigt
    • Diese Einrichtung wird auf jeder UTM separat durchgeführt
    • Die Konfiguration der beiden UTMs unterscheidet sich bis zu diesem Zeitpunkt allein durch die interne und externe IP-Adresse
    • Nach Abschluss des Assistenten werden die UTMs neu gestartet

    Hotwire Schnittstelle

    Die UTMs werden nun physikalisch über die ausgewählte Hotwire-Schnittstelle verbunden.
    Diese muss auf den Maschinen den gleichen Port belegen - Bezeichnung je nach verwendeter Hard- und Software A2, eth2 oder LAN3.


    Cluster-Konfiguration

    Cluster-Konfiguration
    Master-UTM
    Master-UTM
    IP-Adressen der zukünftigen Hotwire-Schnittstellen
    Master → Netzwerk →Netzwerkkonfiguration eth2 IP-Adressen:
    »192.168.180.2/24 In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt.
    Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.2/24.
    UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN3 master.png
    Abb.: 1.4


    Start des Cluster-Setup-Wizard unter Master → Netzwerk →Clusterkonfiguration Cluster Assistent
    Cluster Assistent Schritt 1
    Hotwire Schnittstelle eth2: 192.168.180.2/24 Auf beiden Geräten muss die gleiche Schnittstelle gewählt werden! UTM v12.6.1 Cluster Cluster-Assistent Schritt 1.png
    Abb.: 1.5
    Lokale IP‑Adresse: 192.168.180.2/24 IP-Adresse der Master-UTM
    Remote IP‑Adresse: 192.168.180.3 IP-Adresse der Hotwire-Gegenstelle (Spare-UTM)


    Cluster Assistent Schritt 2
    Schnittstelle: eth1 Das zukünftige HA-Interface. Im Beispiel die interne Schnittstelle. UTM v12.6.1 Cluster Cluster-Assistent Schritt 2.png
    Abb.: 1.6
    Virtuelle IP‑Adresse: 192.168.200.1/24 Die virtuelle IP-Adresse soll 192.168.200.1 sein. Es können auf einer HA-Schnittstelle auch mehrere virtuelle IP-Adressen liegen.
    Bei Verwendung der UTM als DHCP-Server darf die virtuelle IP-Adresse nicht in der gleichen Broadcast Domain liegen, in der die Master- und Spare-UTM sind.
    Der DHCP-Server würde sich sonst beim Fallback auf die physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren.

    Nachdem der Wizard durchlaufen wurde, können auch weitere HA-Schnittstellen konfiguriert werden.


    Cluster Assistent Schritt 3
    Deaktivierte Schnittstellen während das Gerät im Backup Modus ist: Schnittstellen, die auf dem Backup-System, der Spare-UTM, nicht hochgefahren werden. In dieser Konfiguration ist das nicht erforderlich UTM v12.6.1 Cluster Cluster-Assistent Schritt 3b.png
    Abb.: 1.7


    Cluster Assistent Schritt 4
    Deaktivierte Anwendungen während das Gerät im Backup Modus ist:Clientless VPN DHCP Server Greylisting Filter HTTP Proxy IPSEC L2TP VPN Mailrelay POP3 Proxy Routing Daemon SPF Filter SSL-VPN Spamfilter WLAN ServerDefault Hier sind Anwendungen aufgeführt, die per Default deaktiviert sein sollen, sofern sich die Spare-UTM im Backup-Modus befindet. UTM v12.6.1 Cluster Cluster-Assistent Schritt 4.png
    Abb.: 1.8


    Cluster Assistent Schritt 5
    Priorität Hoch Die Master-UTM erhält die Priorität »hoch«. UTM v11.8.7 Cluster-Assistent Schritt5.png
    Abb.: 1.9
    insecure Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll)
    Cluster Assistent abschließen mit Fertig


    Master → Netzwerk →ClusterkonfigurationReiter Schnittstellen
    eth0 (Schnittstelle ist noch nicht für HA konfiguriert) IP-Adresse 192.168.175.102/24 UTM v12.6.1 Cluster Clusterkonfiguration Schnittstellen 3.png
    Abb.: 1.10
    eth1 Schnittstelle benutzt für High Availability Virtuelle IP-Adresse: 192.168.200.1/24
    IP-Adresse: 192.168.100.2/24
    eth2 Schnittstelle wird benutzt als Hotwire IP-Adresse 192.168.180.2/24
    wan0 Schnittstelle ist beim Backup deaktiviert
    Clusterstatus Der Clusterstatus zeigt offline (schwarz) an, weil der Cluster noch nicht auf aktiv geschaltet ist
    Synchronisationsstatus: Der Synchronisationsstatus zeigt error' (rot), weil die Gegenstelle nicht erreichbar ist



    Master → Netzwerk →Clusterkonfiguration
    Lokaler SSH-Schlüssel: Neuen lokalen SSH-Schlüssel generieren Im Reiter Einstellungen wird ein SSH Public Key erzeugt. UTM v12.6.1 Cluster Clusterkonfiguration Einstellungen 1.png
    Abb.: 1.11
    ssh-rsa
    AAAAB3Nz […] zE0SU=
    root@master.cluster.local
    SSH-Schlüssel in die Zwischenablage kopieren

    Spare-UTM
    Spare UTM

    Login auf das Web-Interface der Spare-UTM.
    Spare → Netzwerk →ClusterkonfigurationReiter Schnittstellen
    eth2 eth2 Schnittstelle bearbeiten UTM v12.6.1 Cluster Clusterkonfiguration Schnittstelle bearbeiten LAN3 spare.png
    Abb.: 1.12
    Verwendung: Schnittstelle als Hotwire benutzen Die Schnittstelle eth2 der Spare-UTM wird als Hotwire gekennzeichnet.
    Lokale IP‑Adresse: 192.168.180.3/24 IP-Adresse der Spare-UTM, die für Hotwire verwendet werden soll.
    Remote IP‑Adresse: 192.168.180.2 IP-Adresse der bereits konfigurierten Master-UTM, die als Hotwire angesprochen werden soll.


    Spare → Netzwerk →ClusterkonfigurationReiter Einstellungen
    Lokaler SSH-Schlüssel: Neuen lokalen SSH-Schlüssel generieren Im Reiter Einstellungen wird ein SSH Public Key erzeugt. UTM v12.6.1 Cluster Clusterkonfiguration Einstellungen 2.png
    Abb.: 1.13
    ssh-rsa
    AAAAB3Nz […] Q1/k=
    root@spare.cluster.local
    SSH-Schlüssel noch nicht in die Zwischenablage kopieren
    Schlüssel der Gegenstelle: ssh-rsa
    AAAAB3Nz […] zE0SU=
    root@master.cluster.local
    Public-SSH-Key der Master-UTM aus der Zwischenablage einfügen
    Lokaler SSH-Schlüssel: Jetzt den lokalen Public-SSH-Key der Spare-UTM in die Zwischenablage einfügen.


    Master → Netzwerk →ClusterkonfigurationReiter Einstellungen
    Schlüssel der Gegenstelle: ssh-rsa
    AAAAB3Nz […] Q1/k=
    root@spare.cluster.local
    Public-Key der Spare-UTM aus der Zwischenablage einfügen.
    Auf der Master-UTM entspricht die Spare-UTM der Gegenstelle

    Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle befinden.
    Speichern der Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der
    Speichern
    Schaltfläche.
    Synchronisationsstatus: Der Synchronisationsstatus sollte nun von error (rot) zu pending (gelb) wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, jedoch ist die Konfiguration noch nicht synchronisiert.
    Master
    Synchronisationsstatus: Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf synchronized (grün). Die beiden UTMs sind abgeglichen.
    Dieser Vorgang kann überprüft werden, indem auf der Spare-UTM eine Konfiguration aufgerufen wird, die im Master verändert wurde.
    Die Cluster Priorität Netzwerk Clusterkonfiguration  Bereich Einstellungen der Spare-UTM (Backup) wurde automatisch auf niedrig gestellt.

    Würde die Priorität auf der jetzigen Spare-UTM auf hoch gestellt und von da aus auch die Konfiguration synchronisiert werden, würde die erste Maschine automatisch zum Spare degradiert und die vormalige Spare-UTM zum Master.

    Externe Schnittstelle auf HA-Betrieb konfigurieren
    Master → Netzwerk →Clusterkonfiguration eth0
    eth0 Externe Schnittstelle zum Router UTM v12.6.1 Cluster Schnittstelle bearbeiten LAN1.png
    Abb.: 1.26
    Schnittstelle für High Availability benutzen Hochverfügbarkeit konfigurieren
    Virtuelle IP-Adressen: »192.168.175.101/24 Virtuelle IP-Adresse aus dem Netz des Routers
  • Identisch für Master und Spare
  • Speichern Konfiguration synchronisieren



    Cluster aktivieren
    Master & Spare → Netzwerk →Clusterkonfiguration
    Ein Speichern Dieser Schritt muss auf beiden UTMs ausgeführt werden. UTM 12.4 Cluster online synced Router.png
    Abb.: 1.14
    Clusterstatus Auf der Master-UTM: Der Cluster ist nun in Betrieb und der Master des Clusters hat die virtuelle IP-Adresse 192.168.200.1 auf dem internen Interface.
    Auf der Spare-UTM: Die Spare-UTM läuft als Hot-Standby im Backup-Modus im Hintergrund


    NAT in der Cluster-Konfiguration

    In beschrieben Konstellationen mit externen HA-Schnittstellen ist es sinnvoll die NAT Einstellungen anzupassen.

    Die Ausfallzeit des Clusters wird reduziert, da keine neue IP-Adressen für die Kommunikation vergeben werden müssen.


    Wir beziehen uns hier auf das Beispiel „Cluster Konfiguration: Externer Router“.

    Die externe virtuelle IP-Adresse des Clusters ist in der selben Broadcast Domain wie die externen IP-Adressen der Schnittsellen.
    Die Standardroute der UTMs zeigt auf den Router der die Internet Verbindung herstellt.

    Externe IP UTM 1 Master 192.168.175.102/24
    Externe IP UTM 2 Spare 192.168.175.103/24
    Virtuelle IP Cluster  Cluster 192.168.175.101/24
    IP des Routers 192.168.175.1/24

    tcpdump auf master.cluster.local

    Die UTM 1 ist der Master und besitzt die virtuelle IP-Adresse.
    Setzt man nun einen ping aus dem internen Netz auf die IP-Adresse des Routers ab, sieht man nebenstehendes im tcpdump der UTM1 auf dem externen Interface.

    Der Ping wird vom Client im Standard-Regelwerk nicht über die virtuelle IP-Adresse des Clusters geNATet, sondern über die dem Master eindeutige IP-Adresse 192.168.175.102.
    Das kommt zustande, weil die eindeutige IP-Adresse die erste IP auf der Schnittstelle ist und der Router sich in der gleichen Broadcast Domain befindet. Wechselt der Cluster auf das Backup System, wird dort nicht mehr die IP-Adresse der externen Schnittstelle der Master-UTM 192.168.175.102 stehen, sondern die IP-Adresse der externen Schnittstelle der Spare-UTM 192.168.175.103.


    UTM v12.6.1 Cluster Netzwerkobjekt HA.png

    Um das zu ändern wird im Menü Master Firewall Netzwerkobjekte ein neues Objekt mit der virtuellen IP-Adresse auf dem Cluster Interface erstellt.

    UTM v11.8.7 Cluster Regel.png
    Anschließend wird unter Firewall Paketfilter die entsprechende HideNAT-Regel bearbeitet. In Beispiel die Regel Nummer 7.
    UTM v12.6.1 Cluster Regel bearbeiten HN-HA.png
    Das Objekt external-interface wird durch das gerade erstellte Objekt HA-Externe-IP ersetzt.














    Speichern Schließen Regel aktualisieren Master → Netzwerk →Clusterkonfiguration


    tcpdump

    Wird der Ping-Test jetzt wiederholt, wird die Cluster-IP 192.168.175.101 verwendet.

    Wenn der Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse geNATet.
    Der Ping muss unterbrochen werden. Nach frühestens 30 Sekunden kann der Ping dann neu gestartet werden.

    Für NAT Einstellungen müssen immer eindeutige IP-Adressen in den Netzwerkobjekten benutzt werden, wenn das NAT über ein HA-Interface konfiguriert wird.
    Das gilt nicht nur für HideNATs sondern auch Portweiterleitungen bzw. Destination NATs.


    Applikationen in der Cluster-Konfiguration

    UTM v12.6.1 Cluster Mailfilter.png

    Anwendungen verwenden IP-Adressen, um sich bei anderen Servern zu identifizieren.
    Es ist bei einigen Anwendungen möglich, dafür die Cluster-IP festzulegen.

    Beispielhaft wird das hier für das Mailrelay gezeigt.

    Es sollen E-Mails über das Mailrelay der UTMs verschickt und empfangen werden.
    Dazu wurden entsprechende PTR, A, MX Records und SPF Einträge in den TXT Records der Domain gemacht, die auf die externe virtuelle IP-Adresse des Clusters zeigen.

  • Diese IP-Adressen müssen natürlich vom Router, der den Internetzugang in das eigene Netz weiterleitet, geroutet werden.
    Damit das Mailrelay nun auch E-Mails über diese virtuelle IP verschickt, muss in der Applikation die ausgehende IP-Adresse korrekt eingestellt werden. In unserem Fall die virtuelle IP 192.168.175.101
  • Speichern
    Anschließend muss die Cluster Konfiguration erneut synchronisiert werden.
    → Netzwerkkonfiguration →Clusterkonfiguration

    Das Mailrelay kommuniziert jetzt immer mit der virtuellen IP-Adresse 192.168.175.101. Auch der interne Mailserver wird mit dieser IP als Absender kontaktiert. Das muss bei der Konfiguration des Mailservers berücksichtigt werden, sollte dieser nur SMTP-Verbindungen von bestimmten IPs akzeptieren.


    Kommunikation von Applikationen, die auf der Firewall laufen

    Alle Applikationen, die von der Firewall selber eine Verbindung aufbauen, verwenden dafür (sofern nicht anders konfiguriert) die primären IPs der Schnittstellen. Sollten Management-IPs aus der gleichen Broadcast-Domäne verwendet werden, sind diese primären IPs nicht die virtuellen IP-Adressen.

    Syslog

    Syslog-Nachrichten werden von der Management-IP der Master verschickt, wenn diese die aktive Maschine im Cluster ist, und von der Management-IP der Spare wenn diese aktiviert wurde.


    HTTP-Proxy

    Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese im Menü Anwendungen HTTP-Proxy  Bereich AllgemeinAusgehende IP-Adresse angegeben werden.


    Mailrelay

    Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese im Menü Anwendungen HTTP-Proxy  Bereich AllgemeinAusgehende IP-Adresse angegeben werden.

    RADIUS-/LDAP-/AD-Anbindung

    Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem Ziel-Server jeweils die Management-IPs beider Geräte freigegeben werden.


    IPSec

    Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld „Local Gateway“ eine der virtuellen IPs fest eingetragen ist.
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1Allgemein Local Gateway 192.168.175.101

    SSL-VPN Server

    In allen SSL-VPN-Server-Instanzen muss die Option Multihome aktiviert werden:
    VPN SSL-VPN  Schaltfläche Erweitert Multihome: Ein Multihome Ein

    Kommunikation mit Applikationen, die auf anderen Geräten laufen

    SSL-VPN Clients

    Alle SSL-VPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Dazu sind folgende CLI-Befehle erforderlich:

    CLI Befehle Bedeutung
    master.cluster.local> openvpn get Ermittelt die ID der SSL-VPN-Verbindung
    master.cluster.local> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT> Setzt die lokale Adresse
    master.cluster.local> appmgmt restart application openvpn Aktiviert die Einstellungen

    Beispiel
    master.cluster.local> openvpn get
    [...]
    master.cluster.local> openvpn set id <1> local_addr <192.168.175.101> local_port <20000>
    master.cluster.local> appmgmt restart application openvpn
    Beispiel


    POP3 Proxy

    Der POP3-Proxy kommuniziert immer mit der Management-IP, sofern diese in der gleichen Broadcast-Domain wie das Default-Gateway ist. Dies ist bei der Beschränkung des Zugriffs auf POP3-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


    Clientless VPN

    Verbindungen zu RDP/VNC-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf RDP/VNC-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


    Verbindungen zu DNS-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf DNS-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten.


    Im folgenden werden Befehle für die Securepoint CLI beschrieben.

    CLI Befehl Beschreibung
    cli> cluster info
    cluster_state
    ∣master
    backup
     none
    Der Cluster State gibt an wer im Cluster gerade Master oder Backup ist oder ob der Cluster überhaupt aktiv ist. Die Ausgabe bezieht sich immer auf die Maschine, auf der dieser Befehl ausführt wird.
    sync_state
    ∣synchronized
    pending
     error
    Gibt an, in welchem Zustand sich die Konfiguration befindet. Dabei bedeutet „synchronized“, das sie auf beiden UTMS des Clusters gleich ist. Der Zustand „pending“ bedeutet, die UTMs haben einen unterschiedlichen Stand. In beiden Fällen können die Mitglieder miteinander kommunizieren. Der Zustand „error“ weist darauf hin das sie keine Daten austauschen können. Das könnte der Fall sein, wenn kein Hotwire Interface konfiguriert ist, die Verkabelung nicht korrekt ist, die SSH Keys nicht ausgetauscht wurden, oder falsche SSH Keys verwendet werden.
    hotwire_dev
    ∣ethx
    Gibt das Interface an, auf dem das Hotwire Interface konfiguriert ist.
    cli> system config save name <Name der Konfiguration> Falls in der CLI eine Konfigurationsänderung durchgeführt wurde, muss diese erst lokal gespeichert werdn. Erst dann wird eine Synchronisierung des Clusters übertragen.
    cli> system config synchronize Durch diesen Befehl kann die Konfiguration über die Hotwire Schnittstelle an den Cluster Partner übertragen werden. Dabei wird die Konfiguration von der UTM verwendet, auf der der Befehl ausgeführt wird.
    cli> extc value get application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" Value ∣2 Zeigt den Delay in Sekunden an, bevor im Fehlerfall, von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden.
    cli> extc value set application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" value 2 OK Verändert den Delay, für den Fehlerfall, das von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden und sollte nicht niedriger eingestellt werden. Falls die Appliances im Cluster eine hohe Grundlast haben sollten, kann der Wert höher eingestellt werden. Die Einstellung ist sofort aktiv und kann via system config synchronize auf den Partner übertragen werden.

    Einschränkungen

    DHCP-Client nicht mit HA-Schnittstelle kombinieren

    Es darf kein HA Interface auf einem Ethernet oder VLAN Interface konfiguriert werden, wenn das Interface als DHCP Client konfiguriert wurde und die UTM dort eine IP-Adresse dynamisch zugewiesen bekommt.
    Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt.

    DHCP-Server in einer Clusterumgebung

    Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen Broadcast Domain der anderen IP-Adressen liegen.
    Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. Siehe: Cluster Konfiguration Schritt 2