Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 5 subscribers
  • Views 543 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG Dienste bei Fehler automatisch neu starten

Steffen Schulz

Hallo Gemeinde,

ich habe an einem Standort das Problem, das sich der IPsec-Tunnel immer wieder mal aufhängt. Aktuell sieht die Lösung so aus, das ich dann den Anruf bekomme "Hier geht mal wieder nichts!", ich dann jedes mal aufs neue den Mitarbeitern erkläre, wie sie die Firewall aus und wieder an bekommen. Dann funktioniert es wieder, ist aber unbefriedigend.

Meine Lösungsideen:

- XG macht regelmäßig (1x/Minute?) einen Ping an eine IP am Hauptstandort. Wenn dieser Test 3 mal nacheinander fehlschlägt, prüfe Ping auf 8.8.8.8. Wenn Ping auf 8.8.8.8 geht, starte IPsec-Dienst neu, ansonsten starte WAN-Interface neu.

- im Aussenstandort wird ein Raspberry installiert, der die besagten Prüfungen vornimmt und dann die entsprechenden Aktionen auslöst (per SSH einen Befehl absetzen, der dann den IPsec-Dienst, das WAN-Interface oder von mir aus auch die ganze Firewall neu startet. Vielleicht geht so etwas ja auch per SNMP?

im Aussenstandort wird ein Raspberry installiert, der die besagten Prüfungen vornimmt und dann eine schaltbare Steckdose aus- und wieder einschaltet, um die Firewall hart zu resetten

Variante 1 habe ich in der Sophos noch gar nicht finden können, nur als WAN-Failover.

Variante 2 könnte möglich sein, drauf hoffe ich zumindest. SSH ist ha möglich, ich könnte hierfür ja für den Login eine Zertifikatsbasierte Authentifizierung nehmen. Wie genau vom Raspbery aus, werde ich noch finden :-) . Die erste Hürde ist jetzt ja, das ich dort nicht direkt auf einer Shell lande, sondern in einem Menü, über das ich mich dann zur Not bis auf die Linux-Shell durchhängen kann. Wenn ich jetzt dort angekommen bin, sollte es ja eigentlich möglich sein, einen normalen Befehl wie "/etc/init.d/dienst-xy restart" oder "systemctl dienst-xy restart" auszuführen. Aber wie bekomme ich das sozusagen alles als Einzeiler als Remote-Befehl hin???

Variante 3 klingt für mich als die am einfachsten realisierbare, aber unschönste Variante, die ich gerne vermeiden würde.

Hat hier jemand einen Tipp für mich? Vielen Dank im Voraus!

Steffen



This thread was automatically locked due to age.
Parents
  • 0

    Ich würde eher überprüfen, warum der IPsec Tunnel diese Probleme auslöst. Anstatt an Symptomen zu knabbern, kann man lieber rausfinden, warum der IPsec Tunnel instabil ist. Hast du die DPD aktiv? 

    Du könntest auch, wenn beides Sophos Produkte sind, mit RED Site to Site oder Route Based VPN arbeiten und schauen, ob das stabiler läuft. 

    __________________________________________________________________________________________________________________

Reply
  • 0

    Ich würde eher überprüfen, warum der IPsec Tunnel diese Probleme auslöst. Anstatt an Symptomen zu knabbern, kann man lieber rausfinden, warum der IPsec Tunnel instabil ist. Hast du die DPD aktiv? 

    Du könntest auch, wenn beides Sophos Produkte sind, mit RED Site to Site oder Route Based VPN arbeiten und schauen, ob das stabiler läuft. 

    __________________________________________________________________________________________________________________

Children
No Data
Cookie Information Banner