Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 1043 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM Cluster erstellen - Verständnisfragen

StefanX85

Hi Leute,

 

ich betreibe eine Sophos UTM 9.7 auf einem Mini-PC  mit 2 NICs. 

Jetzt möchte ich einen HA-Status schaffen und habe mir dazu eine weitere Hardware besorgt (APU Board mit 3 NICs). 

Was muss ich jetzt bei der Einrichtung der 2. Sophos UTM beachten bzgl. IP und Co.?  Gibt es vielleicht irgendwo einen ausführlichen Guide?

Bzgl. des HA-Links (Heartbeat) würde ich an meine bestehende Sophos einen USB->RJ45 Adapter zusätzlich anschließen. 

Braucht die 2. Sophos ebenfalls eine direkte Verbindung zum Modem oder wie hat das Setup hierfür auszusehen?

Sorry, Fragen über Fragen, wahrscheinlich alles easy, wenn man es mal gemacht hat.

 

Gruß,

Stefan



This thread was automatically locked due to age.
  • +1

    Hallo Stefan!

    Als 1. solltest Du entscheiden, ob Du eine Active/Active (2 Lizenzen!!!) oder eine Active/Passive Konfiguration wählen möchtest. Mit einer Privatlizenz kann man keine Cluster bauen.

    Jede Sophos benötigt mindestens 3 dedizierte Netzwerkschnittstellen: LAN, WAN und HA. Klar müssen LAN-seitig beide Sophos mit Deinem LAN-Switch verbunden sein. Zur WAN-Seite:

    Wenn Du PPPoE mit einem Modem machst, dann müssen beide Sophos Zugriff darauf haben. Am besten mit einen Miniswitch oder einfach ein vLAN auf Deinem Switch mit 3 Ports abtrennen.

    Die beiden HA-Ports verbindest Du mit einem Kabel.  Die IP-Adressen der beiden Nodes müssen auf dem LAN unterschiedlich sein!

    Betreibst Du das in einer virtuellen Umgebung, muss auf allen Interfaces MAC-Adress Spoofing mit fester MAC-Adresse eingestellt sein. Der HA-Cluster benutzt die MAC-Adressen!

    Dann bootest Du Deine 1. Sophos. Warte dann mindestens 10 min und anschließend bootest Du Deine 2. Sophos (im Active/Passive Mode wird die zut gebootete Sophos der Master, die 2. Slave. Das macht der HA-Dienst an den unterschiedlichen Bootzeiten fest, daher muss da eine Differenz von mindestens 10 min sein).

    Geh dann auf die 1. Sophos und unter Verwaltung/Hochverfügbarkeit/Konfiguration das HA mit der gewünschten Funktionalität ein. Du musst ein Interface für das HA auswählen. Schließlich noch ein Kommunikationspasswort vergeben. Dann gehst Du auf die 2. Sophos und stellst dort das Gleiche ein. Dann heißt es warten. Es dauert durchaus eine Viertelstunde, bis sh der Cluster konfiguriert hat. unter Verwaltung/Hochverfügbarkeit/Status kannst Du sehen, wie weit alles ist. Über die IP der 1. Sophos hast Du künftig Zugriff auf den Cluster und kannst unter Verwaltung/Hochverfügbarkeit/Status auch die einzelnen Nodes ausschalten oder neu starten. Auch erkennst Du dort, wer Master bzw Slave ist (Active/passive Konfiguration)

    Gruß Thomas

  • 0 in reply to Thomas Friedrich

    Hi Thomas,

     

    hab vielen Dank für deine ausführliche Antwort! Genau so hatte ich mir das gewünscht, damit ich als Laie auch endlich mal den Anschluss an das Thema Firewall schaffe.

     

    Gruß,

     

    Stefan

Unfiltered HTML