Fallback

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche


























De.png
En.png
Fr.png


Einrichtung einer Fallback-Lösung

Letzte Anpassung zur Version: 11.8.6 (11.2019)

Änderungen:

Vorherige Versionen: 11.6



Szenario

direkter Anschluss von zwei DSL Verbindungen

Der Aufbau in unserem Fall sieht wie folgt aus:

  • zwei, direkt über Modem verbundene Internetleitungen an der Firewall.
    • wan0 als Standard-Leitung
    • wan1 als Fallback-Leitung
    •   Default-Gateway und Fallback-Leitung dürfen nicht im selben physikalischen Netz sein.  
      Im Fallback-Fall wird die Schnittstelle des Default-Gateways deaktiviert. Damit ist ein Netz an dieser Schnittstelle nicht mehr erreichbar.



Konfiguration auf der Firewall

Netzwerkkonfiguration
  • Das Netzwerk sollte so konfiguriert sein, dass die externen Zonen (external, firewall-external und die VPN-Zonen) auf dem primären Interface liegen.
  • Auf dem Fallback-Interface (in unserem Fall wan1) dürfen keine Zonen vorhanden sein.
  •  
    Default-Gateway und Fallback-Leitung dürfen nicht im selben physikalischen Netz sein.
    Im Fallback-Fall wird die Schnittstelle des Default-Gateways deaktiviert. Damit ist ein Netz an dieser Schnittstelle nicht mehr erreichbar.
     

 

  • Die Adresse des Netzwerkobjektes, mit dem die Verbindung Richtung Internet genattet wird, muss von z.B. eth0 zu 0.0.0.0/0 geändert werden.

Routing

Defaultroute über wan0

Auf der Firewall wird genau eine Defaultroute für die "Standardleitung" benötigt. In unserem Fall ist das wan0.

  Wichtig:   Als Router muss in einer Fallback-Konfiguration immer ein Device angegeben werden. Sollte ein Ethernet-Router als Default Gateway verwendet werden, muss unter Netzwerkschnittstellen auf der Schnittstelle für die Default-Leitung Schnittstelle bearbeiten unter Einstellungen Route Hint IPv4 (oder IPv6, je nach Konfiguration) die IP-Adresse des Routers der Default-Leitung eingegeben werden.


Fallback Optionen

Fallback-Einstellungen

Konfiguration der Fallback-Einstellungen unter Fallback

Beschriftung Wert Beschreibung
Fallback-Schnittstelle: wan1 Die Schnittstelle, auf die im Falle eines Ausfalls gewechselt werden soll.
Ping Check Host: 194.0.0.53 Der zu pingende Host. Hier: a.nic.de (u.a.: Berlin)
Ping-Check Intervall: 5   Link= Sekunden Die "Pause" zwischen den Pings.
Ping-Check Threshold: 4   Link= Versuche Anzahl der Pings, die abgesetzt werden.

In Unserem Fall wird also ein DENIC-DNS (194.0.0.53) als Ping-Check Host verwendet. Sollte dieser nicht antworten, wird mit einem Zeitabstand von jeweils fünf Sekunden vier mal versucht, einen erfolgreichen Ping abzusetzen. Sollte keiner dieser Pings erfolgreich sein, greift das Fallback und es wird auf wan1 gewechselt.


Andere Szenarios

Es ist ebenso möglich, als Fallback Schnittstelle eine genattete Verbindung (also über einen Router) als Fallback zu nutzen. Geben Sie hierzu einfach die entsprechende Schnittstelle in den Fallback-Einstellungen an.

  Wichtig:  In diesem Fall muss in der Fallback-Schnittstelle unbedingt das Feld "Route Hint" ausgefüllt sein! Hier wird der Nexthop (also das Gateway) eingetragen.

Default-Gateway und Fallback-Leitung dürfen nicht im selben physikalischen Netz sein.
Im Fallback-Fall wird die Schnittstelle des Default-Gateways deaktiviert. Damit ist ein Netz an dieser Schnittstelle nicht mehr erreichbar.

Hinweise zur Anwendung

Es wird grundsätzlich davon abgeraten, ein Fallback in Verbindung mit Hostnamen in der Liste der Administration zu nutzen.