UTM/NET/Cluster v12.1

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

12.1

(03.2023)

11.7

'

[[Datei: ]]

1.1

[[Datei:|hochkant=2|mini| 1.2 ]]

1	2	UTM 1 Status	UTM 2 Status
UTM 1 UP , UTM 2 UP	UTM 1 UP , UTM 2 UP	Aktiv	Passiv
UTM 1 DOWN , UTM 2 UP	UTM 1 UP , UTM 2 UP	'	'
UTM 1 DOWN , UTM 2 DOWN	UTM 1 UP , UTM 2 UP	'	'
UTM 1 DOWN , UTM 2 DOWN	UTM 1 UP , UTM 2 DOWN	'	'
UTM 1 DOWN , UTM 2 DOWN	UTM 1 DOWN , UTM 2 DOWN	'	'

1.3


Master-UTM Master-UTM

Master eth2 →
	» ✕192.168.180.2/24		[[Datei: ]] 1.4
			[[Datei: ]] 1.4

Master
1
\|\| eth2: 192.168.180.2/24 \|\| \|\| rowspan="4" class="bild" \| [[Datei: ]] 1.5
	192.168.180.2/24
	192.168.180.3

2
	eth1		[[Datei:]] 1.6
	192.168.200.1/24


3
×wan0			[[Datei: ]] 1.7
			[[Datei: ]] 1.7
4
×Clientless VPN ×DHCP Server ×Greylisting Filter ×HTTP Proxy ×IPSEC ×L2TP VPN ×Mailrelay ×POP3 Proxy ×Routing Daemon ×SPF Filter ×SSL-VPN ×Spamfilter ×WLAN ServerDefault			[[Datei: ]] 1.8
			[[Datei: ]] 1.8
5
			[[Datei: ]] 1.9
	insecure




Master
eth1			[[Datei:]] 1.10
eth2
wan0



Master
			[[Datei: ]] 1.11
	ssh-rsa AAAAB3Nz […] zE0SU= root@master.cluster.local


Spare-UTM Spare UTM

Spare
	eth2	eth2	[[Datei: ]] 1.12

	192.168.180.3/24
	192.168.180.2

Spare
			[[Datei: ]] 1.13
	insecure

	ssh-rsa AAAAB3Nz […] Q1/k= root@spare.cluster.local
	ssh-rsa AAAAB3Nz […] zE0SU= root@master.cluster.local


Master
	ssh-rsa AAAAB3Nz […] Q1/k= root@spare.cluster.local


Master


Master & Spare
			[[Datei:]] 1.14


Master UTM Master UTM

Master eth2 →
\|\| style="min-width: 165px" \|» ✕192.168.180.2/24 \|\| \|\| rowspan="2" class="bild" \| [[Datei: ]] 1.4


Master +
1
	eth2: 192.168.180.2/24		1.5
Lokale IP‑Adresse:	192.168.180.2/24
Remote IP‑Adresse:	192.168.180.3

2
	eth1		[[Datei: ]] 1.6
	192.168.200.1/24

3
			[[Datei: ]] 1.7
			[[Datei: ]] 1.7
4
×Clientless VPN ×DHCP Server ×Greylisting Filter ×HTTP Proxy ×IPSEC ×L2TP VPN ×Mailrelay ×POP3 Proxy ×Routing Daemon ×SPF Filter ×SSL-VPN ×Spamfilter ×WLAN ServerDefault			1.8
			1.8
5
			[[Datei: ]] 1.9
	insecure	Die Passphrase für die Kommunikation der beiden UTMs auf den HA-Schnittstellen (VRR Protokoll)




Master
eth0			[[Datei:]] 1.10
eth1
eth2
wan0



Master
Lokaler SSH‑Schlüssel:			[[Datei: ]] 1.11
Lokaler SSH‑Schlüssel:	ssh-rsa AAAAB3Nz […] zE0SU= root@master.cluster.local


Spare UTM Spare UTM

Spare
	eth2	eth2	[[Datei:]] 1.12

	192.168.180.3/24
	192.168.180.2


Spare
			[[Datei: ]] 1.13
	insecure
Lokaler SSH‑Schlüssel:
Lokaler SSH‑Schlüssel:	ssh-rsa AAAAB3Nz […] Q1/k= root@spare.cluster.local
	ssh-rsa AAAAB3Nz […] zE0SU= root@master.cluster.local

Master

	ssh-rsa AAAAB3Nz […] Q1/k= root@spare.cluster.local


Master


Master eth0
	eth0		[[Datei: ]] 1.26

Virtuelle IP-Adressen:	» ✕192.168.175.101/24


'
Master & Spare
	→		[[Datei: ]] 1.14
	Auf der Master-UTM:
	Auf der Spare-UTM:

tcpdump auf master.cluster.local

1 Master	192.168.175.102/24
2 Spare	192.168.175.103/24
Cluster	192.168.175.101/24
	192.168.175.1/24

Die UTM 1 ist der Master und besitzt die virtuelle IP-Adresse.
Setzt man nun einen ping aus dem internen Netz auf die IP-Adresse des Routers ab, sieht man nebenstehendes im tcpdump der UTM1 auf dem externen Interface.

Der Ping wird vom Client im Standard-Regelwerk nicht über die virtuelle IP-Adresse des Clusters geNATet, sondern über die dem Master eindeutige IP-Adresse 192.168.175.102.
Das kommt zustande, weil die eindeutige IP-Adresse die erste IP auf der Schnittstelle ist und der Router sich in der gleichen Broadcast Domain befindet. Wechselt der Cluster auf das Backup System, wird dort nicht mehr die IP-Adresse der externen Schnittstelle der Master-UTM 192.168.175.102 stehen, sondern die IP-Adresse der externen Schnittstelle der Spare-UTM 192.168.175.103.

[[Datei:|hochkant=1|mini|]]

Master

[[Datei:|hochkant=2|mini| ]]

[[Datei: |hochkant=2|mini|]]

IPSec


master.cluster.local> openvpn get
master.cluster.local> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT>
master.cluster.local> appmgmt restart application openvpn
'
master.cluster.local> openvpn get [...] master.cluster.local> openvpn set id <1> local_addr <192.168.175.101> local_port <20000> master.cluster.local> appmgmt restart application openvpn

		B
cli> cluster info	cluster_state ∣master backup none
	sync_state ∣synchronized pending error
	hotwire_dev ∣ethx
cli> system config save name <Name der Konfiguration>
cli> system config synchronize
cli> extc value get application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY"	Value ∣2
cli> extc value set application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" value 2	OK

cli> cluster maintainance set value "1" cli> system update interface	OK
cli> cluster maintainance set value "0" cli> system update interface	OK
Master cli> cluster info	attribute \|value -------------+----- cluster_state\|backup sync_state \|synchronized hotwire_dev \|eth2 maintainance \|true
Spare cli> cluster info	attribute \|value -------------+----- cluster_state\|master sync_state \|synchronized hotwire_dev \|eth2 maintainance \|false

Master-UTM

1

2

3

4

5

Spare-UTM

Master UTM

1

2

3

4

5

Spare UTM

'

IPSec