KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 26: | Zeile 26: | ||
{{var | Einsatzgebiete--desc | {{var | Einsatzgebiete--desc | ||
| Durch Einsatz der UTM in einem Hot-Standby-Cluster kann eine Hochverfügbarkeit der UTM gewährleistet werden.<br> Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig. | | Durch Einsatz der UTM in einem Hot-Standby-Cluster kann eine Hochverfügbarkeit der UTM gewährleistet werden.<br> Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Ein Eingriff des Administrators ist nicht notwendig. | ||
| | | High availability of the UTM can be ensured by using the UTM in a hot standby cluster.<br> The UTMs within the cluster monitor each other and, if necessary, automatically switch to the device with the best status. Intervention by the administrator is not necessary. }} | ||
{{var | Einsatzgebiete--bild | {{var | Einsatzgebiete--bild | ||
| Cluster-01.jpg | | Cluster-01.jpg | ||
Zeile 53: | Zeile 53: | ||
{{var | Voraussetzungen--hardware | {{var | Voraussetzungen--hardware | ||
| '''Zwei identische Appliances<sup>*</sup> mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br> <p>Im kleinsten Szenario (siehe Abbildung 1.1) sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p> <p><small>* Der Betrieb einer RC300 G3 und einer RC340 G3 in einem gemeinsamen Cluster ist freigegeben. Andere Konstellationen werden nicht unterstützt.</small> | | '''Zwei identische Appliances<sup>*</sup> mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware'''<br> <p>Im kleinsten Szenario (siehe Abbildung 1.1) sind eine Eingangs-Schnittstelle (internes LAN) und eine Ausgangs-Schnittstelle (externes LAN) sowie die dritte freie Schnittstelle vorhanden. Diese, im Folgenden auch als Hotwire-Schnittstelle bezeichnet, wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Sie kann keine weitere Netzwerkfunktion übernehmen.</p> <p><small>* Der Betrieb einer RC300 G3 und einer RC340 G3 in einem gemeinsamen Cluster ist freigegeben. Andere Konstellationen werden nicht unterstützt.</small> | ||
| '''Two identical appliances with at least 3 Ethernet interfaces and the same firmware'''<br> <p>In the smallest scenario (see Figure 1.1) there is one input interface (internal LAN) and one output interface (external LAN) as well as the third free interface. This interface, also referred to as the Hotwire interface in the following, is required for configuration adjustment and connection tracking. It cannot take over any other network function.</p> }} | | '''Two identical appliances<sup>*</sup> with at least 3 Ethernet interfaces and the same firmware'''<br> <p>In the smallest scenario (see Figure 1.1) there is one input interface (internal LAN) and one output interface (external LAN) as well as the third free interface. This interface, also referred to as the Hotwire interface in the following, is required for configuration adjustment and connection tracking. It cannot take over any other network function.</p> }} | ||
{{var | Voraussetzungen--software | {{var | Voraussetzungen--software | ||
| '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br> <p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br> Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren. | | '''Die eingesetzten Switches und Router unterstützen ''gratuitous ARP'''''<br> <p>Kommt es im UTM-Cluster zum Master-/Backup-Wechsel, sendet die jetzt aktive UTM ''gratuitous ARP'' Pakete an ihre Umgebung, um die neuen MAC-Adresse bekannt zu geben.<br> Unterstützen die Switches bzw. Router diese Funktion nicht, können sie nur verzögert über die aktive UTM kommunizieren. | ||
Zeile 169: | Zeile 169: | ||
| | | | ||
* To set up the UTM cluster, the installation wizard is used first | * To set up the UTM cluster, the installation wizard is used first | ||
* A (cluster) | * A (cluster) license is already required to log on to the UTM | ||
* To prevent double dial-up, the DSL modem should not be connected | * To prevent double dial-up, the DSL modem should not be connected | ||
* Up to this point, the configuration of the two UTMs differs only in the internal and external IP address | * Up to this point, the configuration of the two UTMs differs only in the internal and external IP address | ||
Zeile 184: | Zeile 184: | ||
* In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.12.141 Master sein | * In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse 192.168.12.141 Master sein | ||
* Login über das Webinterface mit dieser IP und dem Port für Administration <small>(Default: 11115)</small> | * Login über das Webinterface mit dieser IP und dem Port für Administration <small>(Default: 11115)</small> | ||
| 3=The UTMs have different priorities within the cluster. The higher priority is given to the active device (<i class="host utm">Master</i>), the lower to the backup system <i class="host utm">Spare</i>. | | 3=* The UTMs have different '''priorities''' within the cluster. | ||
* The higher priority is given to the active device (<i class="host utm">Master</i>), the lower to the backup system <i class="host utm">Spare</i>. | |||
* In our example, the UTM with the unique internal IP address 192.168.12.141 will be the master. | * In our example, the UTM with the unique internal IP address 192.168.12.141 will be the master. | ||
* Login via the web interface with this IP and the port for administration <small>(Default: 11115)</small>. }} | * Login via the web interface with this IP and the port for administration <small>(Default: 11115)</small>. }} | ||
Zeile 204: | Zeile 205: | ||
{{var | ip-adressen--desc | {{var | ip-adressen--desc | ||
| In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. <br>Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.'''2'''/24. | | In der Clickbox wird die IP-Adresse der zukünftigen Hotwire-Schnittstelle hinzugefügt. <br>Im Beispiel bekommt LAN3/A2 der Master die IP-Adresse 192.168.180.'''2'''/24. | ||
| In the clickbox the IP address of the upcoming Hotwire interface is added. <br>In the example the masters LAN3/A2 gets the IP address 192.168.180.2/24. }} | | In the clickbox the IP address of the upcoming Hotwire interface is added. <br>In the example the masters LAN3/A2 gets the IP address 192.168.180.'''2'''/24. }} | ||
{{var | cluster-schnittstelle--bild | {{var | cluster-schnittstelle--bild | ||
| UTM_v11.8.7_Cluster_Schnittstelle1.png | | UTM_v11.8.7_Cluster_Schnittstelle1.png | ||
Zeile 254: | Zeile 255: | ||
| The virtual IP address should be 192.168.200.1. There can also be several virtual IP addresses on one HA interface. }} | | The virtual IP address should be 192.168.200.1. There can also be several virtual IP addresses on one HA interface. }} | ||
{{var | 1=wizard2--hinweis--dhcp | {{var | 1=wizard2--hinweis--dhcp | ||
| 2=Bei Verwendung der UTM als DHCP-Server darf die | | 2=Bei Verwendung der UTM als DHCP-Server darf die virtuelle IP-Adresse nicht in der gleichen [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] liegen, in der die Master- und Spare-UTM sind. | ||
| 3=When using the UTM as a DHCP server, the virtual IP address must not be in the same [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] as the master and spare UTM. }} | | 3=When using the UTM as a DHCP server, the virtual IP address must not be in the same [http://de.wikipedia.org/wiki/Broadcast_Domain Broadcast Domain] as the master and spare UTM. }} | ||
{{var | wizard2--hinweis--info | {{var | wizard2--hinweis--info | ||
Zeile 404: | Zeile 405: | ||
| Paste public SSH key of the ''Master UTM'' from the clipboard }} | | Paste public SSH key of the ''Master UTM'' from the clipboard }} | ||
{{var | spare--copy-ssh | {{var | spare--copy-ssh | ||
| '''Jetzt''' den lokalen Public- | | '''Jetzt''' den lokalen Public-SSH-Key der Spare-UTM in die Zwischenablage einfügen. | ||
| '''Now''' paste the local Public- | | '''Now''' paste the local Public-SSH-Key of the spare UTM into the clipboard. }} | ||
{{var | wechsel-auf | {{var | wechsel-auf | ||
| Wechsel auf | | Wechsel auf | ||
Zeile 478: | Zeile 479: | ||
''Externe Schnittstellen'' (zum Router) 192.168.175.101/24.<br> | ''Externe Schnittstellen'' (zum Router) 192.168.175.101/24.<br> | ||
''Interne Schnittstellen'' 192.168.200.1/24 | Diese IP ist das '''Standard-Gateway''' des internen Netzwerks. | ''Interne Schnittstellen'' 192.168.200.1/24 | Diese IP ist das '''Standard-Gateway''' des internen Netzwerks. | ||
| The virtual IP addresses that both members of the cluster will share are the | | The '''virtual IP addresses''' that both members of the cluster will share are:<br> | ||
''External interfaces'' (to the router) 192.168.175.101/24.<br> | |||
'''Internal interfaces''' 192.168.200.1/24 | This IP is the '''default gateway''' of the internal network. }} | |||
{{var | inbetriebnahme--extern--desc | {{var | inbetriebnahme--extern--desc | ||
| * Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet | | * Zur Inbetriebnahme des UTM-Clusters wird zunächst der Installationsassistent verwendet | ||
Zeile 615: | Zeile 618: | ||
{{var | radius--desc | {{var | radius--desc | ||
| Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem '''Ziel-Server''' jeweils die '''Management-IPs beider''' Geräte freigegeben werden. | | Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem '''Ziel-Server''' jeweils die '''Management-IPs beider''' Geräte freigegeben werden. | ||
| If the server only allows connections from certain IPs, the '''management IPs of both | | If the server only allows connections from certain IPs, the '''management IPs of both''' devices must be released on the '''target server.''' }} | ||
{{var | ipsec--desc | {{var | ipsec--desc | ||
| Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld „Local Gateway“ eine der virtuellen IPs fest eingetragen ist.<br> {{Menu|VPN|IPSec}} → {{Button|Phase 1|w}} → {{Reiter|Allgemein}} {{b| Local Gateway}} {{Button|192.168.175.101|dr}} | | Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld „Local Gateway“ eine der virtuellen IPs fest eingetragen ist.<br> {{Menu|VPN|IPSec}} → {{Button|Phase 1|w}} → {{Reiter|Allgemein}} {{b| Local Gateway}} {{Button|192.168.175.101|dr}} |
UTM/NET/Cluster.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki