Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 38: Zeile 38:
{{var | Einrichtung--desc
{{var | Einrichtung--desc
| Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.<br>Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.<br> Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP.
| Bei der Einrichtung des UTM-Clusters werden zwei UTMs mit identischer Firmware über eine Hotwire-Schnittstelle verbunden. Die Installation mit dem „Cluster Setup Wizard“ wird auf der ''Ursprungs-UTM'' ausgeführt, die im dann erstellten Cluster der MASTER sein wird. Mit dieser UTM wird die Synchronisierung der Konfiguration durchgeführt. Auf der ''Spare-UTM'', die im Cluster das BACKUP sein wird, werden bei der Installation die Hotwire-Schnittstelle definiert sowie ein SSH-Schlüssel erzeugt. Auch wird auf der Spare der SSH-Schlüssel des MASTER eingetragen.<br>Die aktive UTM im Cluster, hat die höhere Priorität und wird als MASTER bezeichnet.<br> Die UTM mit der niedrigeren Priorität, die passive UTM, ist das BACKUP.
| When setting up the UTM cluster, two UTMs with identical firmware are connected via a Hotwire interface. The installation with the "Cluster Setup Wizard" is performed on the ''original UTM'', which will be the MASTER in the cluster then created. This UTM will be used to synchronize the configuration. On the ''spare UTM'', which will be the BACKUP in the cluster, the Hotwire interface is defined and an SSH key is generated during installation. The SSH key of the MASTER is also entered on the spare UTM.<br> The active UTM in the cluster, has the higher priority and is called the MASTER.<br> The UTM with the lower priority, the passive UTM, is the BACKUP. }}
| When setting up the UTM cluster, two UTMs with identical firmware are connected via a Hotwire interface. The installation with the "Cluster Setup Wizard" is performed on the ''Original UTM'', which will be the MASTER in the newly created cluster. This UTM will be used to synchronize the configuration. On the ''Spare UTM'', which will be the BACKUP in the cluster, the Hotwire interface is defined and an SSH key is generated during installation. The SSH key of the MASTER is also entered on the spare UTM.<br> The active UTM in the cluster, has the higher priority and is called the MASTER.<br> The UTM with the lower priority, the passive UTM, is the BACKUP. }}
{{var | Voraussetzungen
{{var | Voraussetzungen
| Voraussetzungen
| Voraussetzungen
Zeile 188: Zeile 188:
* Login via the web interface with this IP and the port for administration <small>(Default: 11115)</small>. }}
* Login via the web interface with this IP and the port for administration <small>(Default: 11115)</small>. }}
{{var | Cluster-Konfiguration--Bild
{{var | Cluster-Konfiguration--Bild
| UTM_v12.4_Clusterkonfiguration_default.png
| UTM v12.4 Clusterkonfiguration default.png
| UTM_v12.4_Clusterkonfiguration_default-en.png }}
| UTM v12.4 Clusterkonfiguration default-en.png }}
{{var | Cluster-Konfiguration--cap
{{var | Cluster-Konfiguration--cap
| Clusterkonfiguration Ausgangssituation
| Clusterkonfiguration Ausgangssituation
Zeile 342: Zeile 342:
{{var | Einstellungen für die Clusterkonfiguration
{{var | Einstellungen für die Clusterkonfiguration
| Einstellungen für die Clusterkonfiguration
| Einstellungen für die Clusterkonfiguration
| Settings für clusterconfiguration }}
| Settings für cluster configuration }}
{{var | lokaler-ssh-schlüssel
{{var | lokaler-ssh-schlüssel
| Lokaler SSH-Schlüssel:
| Lokaler SSH-Schlüssel:
Zeile 375: Zeile 375:
{{var | Verwendung
{{var | Verwendung
| Verwendung:
| Verwendung:
| Usage: }}
| Usage: }}
{{var | Verwendung--val
{{var | Verwendung--val
| Schnittstelle als Hotwire benutzen
| Schnittstelle als Hotwire benutzen
Zeile 413: Zeile 413:
| Paste public key of the spare UTM from the clipboard. }}
| Paste public key of the spare UTM from the clipboard. }}
{{var | spare--paste-ssh--info
{{var | spare--paste-ssh--info
| Auf der ''Master-UTM'' entspicht die ''Spare-UTM'' der Gegenstelle
| Auf der ''Master-UTM'' entspricht die ''Spare-UTM'' der Gegenstelle
| On the ''Master-UTM'' the ''Spare-UTM'' represents the remote station }}
| On the ''Master-UTM'' the ''Spare-UTM'' represents the remote station }}
{{var | ssh-auf-beiden-seiten
{{var | ssh-auf-beiden-seiten
Zeile 466: Zeile 466:
* Eventuell wurde vom Provider ein öffentliches Netz zur Verfügung gestellt. <br>In diesem Beispiel wird ein privates Netz verwendet. Die Vorgehensweise ist dann analog zum öffentlichen Netz.  
* Eventuell wurde vom Provider ein öffentliches Netz zur Verfügung gestellt. <br>In diesem Beispiel wird ein privates Netz verwendet. Die Vorgehensweise ist dann analog zum öffentlichen Netz.  
* Hier werden nun zwei HA-Schnittstellen konfiguriert. <br>Eine für die interne und eine für die externe Schnittstelle.
* Hier werden nun zwei HA-Schnittstellen konfiguriert. <br>Eine für die interne und eine für die externe Schnittstelle.
| This example describes a configuration with an external router. The router is the gateway to the Internet. It is possible that a public network was given by the provider. A private network is used in this example. The procedure is then the same as for the public network. Two HA interfaces are now configured here. One for the internal and one for the external interface. }}
|  
* This example describes a configuration with an external router.
* The router is the gateway to the Internet.
* It is possible that a public network was given by the provider. <br>A private network is used in this example. The procedure is then the same as for the public network.
* Two HA interfaces are now configured here. <br>One for the internal and one for the external interface. }}
{{var | extern--nk--desc
{{var | extern--nk--desc
| 2=<p>'''Erstes Mitglied des Clusters (UTM 1, <i class="host utm">Master</i>)'''<br>''LAN1:'' Externe IP Adresse (zum Router) 192.168.175.102/24<br>''LAN2:'' Interne IP-Adresse: 192.168.12.141/24<br>''LAN3:'' Hotwire-IP-Adresse: 192.168.180.2/24</p><p>'''Zweites Mitglied des Clusters (UTM 2, <i class="host utm">Spare</i>)'''<br />''LAN1:'' Externe IP Adresse (zum Router) 192.168.175.103/24<br>''LAN2:'' Interne IP-Adresse: 192.168.12.142/24<br>''LAN3:'' Hotwire-IP-Adresse: 192.168.180.3/24</p>
| 2=<p>'''Erstes Mitglied des Clusters (UTM 1, <i class="host utm">Master</i>)'''<br>''LAN1:'' Externe IP Adresse (zum Router) 192.168.175.102/24<br>''LAN2:'' Interne IP-Adresse: 192.168.12.141/24<br>''LAN3:'' Hotwire-IP-Adresse: 192.168.180.2/24</p><p>'''Zweites Mitglied des Clusters (UTM 2, <i class="host utm">Spare</i>)'''<br />''LAN1:'' Externe IP Adresse (zum Router) 192.168.175.103/24<br>''LAN2:'' Interne IP-Adresse: 192.168.12.142/24<br>''LAN3:'' Hotwire-IP-Adresse: 192.168.180.3/24</p>
Zeile 482: Zeile 486:
* Nach Abschluss des Assistenten werden die UTMs neu gestartet
* Nach Abschluss des Assistenten werden die UTMs neu gestartet
| * To set up the UTM cluster, the installation wizard is used first
| * To set up the UTM cluster, the installation wizard is used first
* A (cluster) licence is already required to log on to the UTM
* A (cluster) license is already required to log on to the UTM
* This setup is performed separately on each UTM
* This setup is performed separately on each UTM
* Up to this point, the configuration of the two UTMs differs only in the internal and external IP address
* Up to this point, the configuration of the two UTMs differs only in the internal and external IP address
Zeile 518: Zeile 522:
{{var | 1=virtuelle-ip--router
{{var | 1=virtuelle-ip--router
| 2=Virtuelle IP-Adresse aus dem Netz des Routers<br><li class="list--element__alert list--element__warning">Identisch für <i class="host utm">Master</i> und <i class="host utm">Spare</i></li>
| 2=Virtuelle IP-Adresse aus dem Netz des Routers<br><li class="list--element__alert list--element__warning">Identisch für <i class="host utm">Master</i> und <i class="host utm">Spare</i></li>
| 3=Virtual IP address from the network of the router }}
| 3=Virtual IP address from the network of the router<br><li class="list--element__alert list--element__warning">Identical for <i class="host utm">Master</i> and <i class="host utm">Spare</i></li> }}
{{var | cluster--extern--konfig--ergebnis--bild
{{var | cluster--extern--konfig--ergebnis--bild
| UTM 12.4 Cluster online synced Router.png
| UTM 12.4 Cluster online synced Router.png
Zeile 568: Zeile 572:
| If the ping test is now repeated, the cluster IP 192.168.175.101 is used. }}
| If the ping test is now repeated, the cluster IP 192.168.175.101 is used. }}
{{var | hinweis--tcpdump--ping
{{var | hinweis--tcpdump--ping
| Wenn der Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse geNATet.<br> Der Ping muss unterbrochen werden. Nach frühestens 30 Sekunden. kann der Ping dann neu gestartet werden.
| Wenn der Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse geNATet.<br> Der Ping muss unterbrochen werden. Nach frühestens 30 Sekunden kann der Ping dann neu gestartet werden.
| If the ping to the router ran without interruption, it is still stored in the Conntrack, so the ping is still being NATed via the wrong IP address.<br> The ping must be interrupted. After 30 seconds at the earliest the ping can be restarted. }}
| If the ping to the router ran without interruption, it is still stored in the Conntrack, so the ping is still being NATed via the wrong IP address.<br> The ping must be interrupted. After 30 seconds at the earliest the ping can be restarted. }}
{{var | hinweis--nat-einstellungen
{{var | hinweis--nat-einstellungen
Zeile 620: Zeile 624:
{{var | ssl-vpn--server--desc
{{var | ssl-vpn--server--desc
| In allen SSL-VPN-Server-Instanzen muss die Option Multihome aktiviert werden:<br> {{Menu|VPN|SSL-VPN}} Schaltfläche {{Button| |w}} Reiter {{Reiter| Erweitert}}
| In allen SSL-VPN-Server-Instanzen muss die Option Multihome aktiviert werden:<br> {{Menu|VPN|SSL-VPN}} Schaltfläche {{Button| |w}} Reiter {{Reiter| Erweitert}}
| In all SSL VPN server instances the option Multihome must be activated:<br> {{Menu|VPN|SSL-VPN}} Button {{Button| |w}} Tab {{Reiter|Advanced}} }}
| In all SSL-VPN server instances the option Multihome must be activated:<br> {{Menu|VPN|SSL-VPN}} Button {{Button| |w}} Tab {{Reiter|Advanced}} }}
{{var | ssl-vpn--clients--desc
{{var | ssl-vpn--clients--desc
| Alle SSLVPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Dazu sind folgende CLI-Befehle erforderlich:
| Alle SSL-VPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Dazu sind folgende CLI-Befehle erforderlich:
| All SSLVPN client instances must be customized to use one of the virtual IPs to connect. The following CLI commands are required for this: }}
| All SSL-VPN client instances must be customized to use one of the virtual IPs to connect. The following CLI commands are required for this: }}
{{var | bedeutung
{{var | bedeutung
| Bedeutung
| Bedeutung
| Meaning }}
| Meaning }}
{{var | cli--openvpn-get
{{var | cli--openvpn-get
| Ermittelt die ID der SSLVPN-Verbindung
| Ermittelt die ID der SSL-VPN-Verbindung
| Determines the ID of the SSLVPN connection }}
| Determines the ID of the SSL-VPN connection }}
{{var | cli--openvpn-set
{{var | cli--openvpn-set
| Setzt die lokale Adresse
| Setzt die lokale Adresse
Zeile 655: Zeile 659:
| Combine DHCP client with HA interface }}
| Combine DHCP client with HA interface }}
{{var | Einschränkungen--dhcp--ha--desc
{{var | Einschränkungen--dhcp--ha--desc
| Es darf kein HA Interface auf einem Ethernet oder VLAN Interface konfiguriert werden, wenn das Interface als DHCP Client konfiguriert wurde und die UTM dort eine IP-Adresse dynamisch zugewiesen bekommt. <br>Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt.
| Es darf kein HA Interface auf einem Ethernet oder VLAN Interface konfiguriert werden, wenn das Interface als DHCP Client konfiguriert wurde und die UTM dort eine IP-Adresse dynamisch zugewiesen bekommt. <br>Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt.
| No HA interface may be configured on an Ethernet or VLAN interface if the interface has been configured as a DHCP client and UTM is dynamically assigned an IP address there. <br>If the DHCP server is not available after you have started the UTM and it is also the master in the cluster at that moment, the virtual IP address is removed from the interface as soon as the DHCP server is available again and the UTM receives a new IP address from the DHCP server. }}
| No HA interface may be configured on an Ethernet or VLAN interface if the interface has been configured as a DHCP client and UTM is dynamically assigned an IP address there. <br>If the DHCP server is not available after you have started the UTM and it is also the master in the cluster at that moment, the virtual IP address is removed from the interface as soon as the DHCP server is available again and the UTM receives a new IP address from the DHCP server. }}
{{var | Einschränkungen--dhcp--cluster
{{var | Einschränkungen--dhcp--cluster
Zeile 662: Zeile 666:
{{var | Einschränkungen--dhcp--cluster--desc
{{var | Einschränkungen--dhcp--cluster--desc
| Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] der anderen IP-Adressen liegen.<br>Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. Siehe: [[#Schritt2 | Cluster Konfiguration Schritt 2]]
| Bei Verwendung der UTM als DHCP-Server dürfen diese IP-Adressen nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] der anderen IP-Adressen liegen.<br>Der DHCP-Server würde sich sonst beim Fallback auf die Physische Adresse der Spare-UTM schlüsseln und die Leases nicht synchronisieren. Siehe: [[#Schritt2 | Cluster Konfiguration Schritt 2]]
| When using the UTM as DHCP server, these IP addresses must not be located in the same [http://en.wikipedia.org/wiki/Broadcast_domain Broadcast Domain] of the other IP addresses.<br> Otherwise the DHCP server would key itself to the physical address of the spare UTM during the fallback and would not synchronize the leases. See: [[#Step2 | Cluster Configuration Step 2]] }}
| When using the UTM as DHCP server, these IP addresses must not be located in the same [http://en.wikipedia.org/wiki/Broadcast_domain Broadcast Domain] of the other IP addresses.<br> Otherwise the DHCP server would key itself to the physical address of the spare UTM during the fallback and would not synchronize the leases. See: [{{#var:host}}UTM/NET/Cluster#Step2 Cluster Configuration Step 2] }}
{{var | Speichern
{{var | Speichern
| Speichern
| Speichern
Zeile 672: Zeile 676:
| 2=Ist ein Gerät defekt und muss ersetzt werden, muss die Konfiguration exakt dieser Maschine auf dem neuen Gerät wieder hergestellt werden. <br>(Es darf z.B. nicht die Konfiguration der Master auf die Spare eingespielt werden um dann lediglich die IP Adressen zu ändern). <br>Liegt weder ein lokales, noch ein Cloud Backup der Konfiguration vor, kann das Ersatzgerät mit einer neuen Konfiguration in den Cluster eingebunden werden.<br> Dazu sind die Einrichtungsschritte als <i class="host utm">Spare</i> so vorzunehmen, wie sie untenstehend beschrieben sind:
| 2=Ist ein Gerät defekt und muss ersetzt werden, muss die Konfiguration exakt dieser Maschine auf dem neuen Gerät wieder hergestellt werden. <br>(Es darf z.B. nicht die Konfiguration der Master auf die Spare eingespielt werden um dann lediglich die IP Adressen zu ändern). <br>Liegt weder ein lokales, noch ein Cloud Backup der Konfiguration vor, kann das Ersatzgerät mit einer neuen Konfiguration in den Cluster eingebunden werden.<br> Dazu sind die Einrichtungsschritte als <i class="host utm">Spare</i> so vorzunehmen, wie sie untenstehend beschrieben sind:
• [[#Spare-UTM | Spare UTM]] bei externem Modem  
• [[#Spare-UTM | Spare UTM]] bei externem Modem  
• [[#Spare-UTM_2 | Spare UTM]] bei externem Router
• [{{#var:host}}UTM/NET/Cluster#Spare-UTM_2 Spare UTM] bei externem Router
| 3=If a device is defective and needs to be replaced, the configuration of exactly this machine must be restored on the new device. <br>(e.g. the master configuration must not be copied to the spare in order to change only the IP addresses). <br>
| 3=If a device is defective and needs to be replaced, the configuration of exactly this machine must be restored on the new device. <br>(e.g. the master configuration must not be copied to the spare in order to change only the IP addresses). <br>
If neither a local nor a cloud backup of the configuration is available, the replacement unit can be integrated into the cluster with a new configuration.<br> For this purpose, the setup steps as <i class="host utm">Spare</i> must be carried out as described below:
If neither a local nor a cloud backup of the configuration is available, the replacement unit can be integrated into the cluster with a new configuration.<br> For this purpose, the setup steps as <i class="host utm">Spare</i> must be carried out as described below:
• [[#Spare UTM  | Spare UTM]] with external modem  
• [[#Spare UTM  | Spare UTM]] with external modem  
• [[#Spare UTM_2 | Spare UTM]] with external router }}
• [{{#var:host}}UTM/NET/Cluster#Spare UTM_2 Spare UTM] with external modem }}
{{var | Konfiguration-Austauschgeräte--SSH
{{var | Konfiguration-Austauschgeräte--SSH
| Die SSH-Keys müssen dabei '''beide''' aus dem aktuell aktiven Gerät vice versa in das jeweilige Pendant kopiert werden
| Die SSH-Keys müssen dabei '''beide''' aus dem aktuell aktiven Gerät vice versa in das jeweilige Pendant kopiert werden
Zeile 685: Zeile 689:
{{var | NAT in der Cluster-Konfiguration--desc
{{var | NAT in der Cluster-Konfiguration--desc
| In der beschriebenen Konstellationen mit externen HA-Schnittstellen ist es sinnvoll die NAT Einstellungen anzupassen.{{info|Die Ausfallzeit des Clusters wird reduziert, da keine neue IP-Adressen für die Kommunikation vergeben werden müssen.}} <br>
| In der beschriebenen Konstellationen mit externen HA-Schnittstellen ist es sinnvoll die NAT Einstellungen anzupassen.{{info|Die Ausfallzeit des Clusters wird reduziert, da keine neue IP-Adressen für die Kommunikation vergeben werden müssen.}} <br>
Wir beziehen uns hier auf das Beispiel »Cluster Konfiguration: Externer Router«.<br> Die externe virtuelle IP-Adresse des Clusters ist in der selben Broadcast Domain wie die externen IP-Adressen der Schnittsellen.<br> Die Standardroute der UTMs zeigt auf den Router der die Internet Verbindung herstellt.
Wir beziehen uns hier auf das Beispiel »Cluster Konfiguration: Externer Router«.<br> Die externe virtuelle IP-Adresse des Clusters ist in der selben Broadcast Domain wie die externen IP-Adressen der Schnittstellen.<br> Die Standardroute der UTMs zeigt auf den Router der die Internet Verbindung herstellt.
| In the described constellations with external HA interfaces, it makes sense to adjust the NAT settings.{{info|The downtime of the cluster is reduced because no new IP addresses have to be assigned for communication.}}<br> We refer here to the example »Cluster configuration: External router«.<br> The external virtual IP address of the cluster is in the same broadcast domain as the external IP addresses of the interfaces.<br> The default route of the UTMs points to the router that connects to the Internet. }}
| In the described constellations with external HA interfaces, it makes sense to adjust the NAT settings.{{info|The downtime of the cluster is reduced because no new IP addresses have to be assigned for communication.}}<br>
We refer here to the example »Cluster configuration: External router«.<br> The external virtual IP address of the cluster is in the same broadcast domain as the external IP addresses of the interfaces.<br> The default route of the UTMs points to the router that connects to the Internet. }}
{{var | Priorität
{{var | Priorität
| Priorität
| Priorität
Zeile 692: Zeile 697:
{{var | Priorität--Spare
{{var | Priorität--Spare
| Niedrig
| Niedrig
| low }}
| Low }}
{{var | Priorität--Spare--desc
{{var | Priorität--Spare--desc
| Die Priorität beim Spare muss auf ''Niedrig'' gestellt sein
| Die Priorität beim Spare muss auf ''Niedrig'' gestellt sein
Zeile 734: Zeile 739:
{{var | Reiter Einstellungen
{{var | Reiter Einstellungen
| Reiter Einstellungen
| Reiter Einstellungen
| Tab settings }}
| Settings tab }}
{{var | Beispiel DSL
{{var | Beispiel DSL
| Beispiel {{Hover|1|UTM an externem DSL-Modem}}
| Beispiel {{Hover|1|UTM an externem DSL-Modem}}
Zeile 770: Zeile 775:
{{var | 1=Reiter Schnittstellen nach Aktivierung
{{var | 1=Reiter Schnittstellen nach Aktivierung
| 2=Reiter {{Reiter|Schnittstellen}} nach Aktivierung des Clusters im Reiter {{Reiter|Einstellungen}} auf <i class="host utm">Master</i> & <i class="host utm">Spare</i> setzen
| 2=Reiter {{Reiter|Schnittstellen}} nach Aktivierung des Clusters im Reiter {{Reiter|Einstellungen}} auf <i class="host utm">Master</i> & <i class="host utm">Spare</i> setzen
| 3=Set {{Tab|Interfaces}} tab to <i class="host utm">Master</i> & <i class="host utm">Spare</i> after activating the cluster in the {{Tab|Settings}} tab. }}
| 3=Set {{Reiter|Interfaces}} tab to <i class="host utm">Master</i> & <i class="host utm">Spare</i> after activating the cluster in the {{Reiter|Settings}} tab. }}


----
----

Version vom 27. Juni 2023, 08:12 Uhr