Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4412 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN - Redundanz

Abyss_X
Guten Morgen zusammen,

ich bräuchte mal etwas konzeptionelle Hilfe. Kurz zur Umgebung wir haben einen Zentralen Standort mit einer ASG220 sowie diverse Zweigstellen mit UTM120 im Einsatz. An der Zentrale liegt eine Company Connect 20Mbit an. Die Standorte sind per IPSec Tunnel mit der Zentale verbunden.

Die Anforderung ist die Internetanbindung und somit auch die VPN Tunnel zu den Zweigstellen redundant auszulegen. Eine Backupanbindung an der Zentrale schalten zu lassen sollte nicht das Problem sein. 

Die Frage die ich mir stelle ist wie ich das ganze in der Astaro konfigurieren kann, der IP Adressraum wird sich ja ändern sobald im Fehlerfall auf die Backup Leitung geschalten wird.


Cu, Abyss_X


This thread was automatically locked due to age.
  • 0
    Hallo,

    1.Auf den Appliances jeweils Uplink Balancing einrichten.
    2.Per Multiphath Regel den IPsec Traffic auf das gewünschte PRIMÄRE Interface "binden"
    3.Bei den IPsec Verbindungen als lokales Interface "Uplink Interfaces" verwenden
    4.Bei den IPsec Verbindungen als remote Gateway anstelle der Host Definition eine Availability Group (welche die beiden IP´s der ASG220 beinhaltet, hier zuerst die Hauptleitung!) eintragen.  

    Und schon hast du einen redundanten IPsec VPN :-)

    Lg Gerald
  • 0 in reply to gfreiler
    Hey thx für die Antwort, ich vergaß zu erwähnen das wir für die Backupanbindung eine zweite ASG im HA Passiv Mode in einem seperaten Serverraum laufen lassen werden.

    An der Einrichtung sollte das aber nichts ändern oder?

    Hat schonmal jemand so ein Konstruk in Bezug auf Exchange eingerichtet? Ein paar Fragezeichen tun sich da nämlich auch noch auf, was ist z.B. mit dem PTR Record der Versender-IP, dieser wäre ja dann falsch. Der zweite Punkt sind Clients die über Outlook Anywhere und einen entsprechenden SRV-DNS Record arbeiten.

    Cu, Abyss_X
  • 0
    Hallo,

    HA hat darauf keinen Einfluss - du musst natürlich beide WAN Leitungen an BEIDE ASG´s anstecken! Und ich würde dir empfehlen das Clusterinterface nur physikalisch zu patchen (kein Switch)

    Bezüglich PTR Record: hier musst du für beide IP´s den gleichen Hostnamen (den was die UTM hat) eintragen (lassen)

    Schwieriger wird es mit Outlook Anywhere:
    1. Die "solide aber teure" Lösung: Dein DNS Provider bietet einen A-Record Failover an.
    2. Du setzt die TTL beim betreffenden A-Record sehr kurz und stellst dann manuell um.
    3. Du gehst den Weg über FreeDNS Anbieter (das hab ich derzeit aber noch nicht wirklich im Einsatz - steht aber auf der TODO Liste)

    Derzeit verwenden wir bei "27x4" Kunden Variante 1, bei allen anderen Variante 2 :-)

    Bei weiteren Fragen einfach melden. 

    Gerald
  • 0 in reply to gfreiler
    So ich denke ich bin jetzt ein Stück weiter in meiner Planung und finde prompt einen neuen Stolperstein beim mail Versand. Wenn ich die Konfig wie besprochen durchführe z.B.

    ETH1 80.10.10.1 mit ptr mail.firma.de (DNS 80.10.10.1=mail.firma.de)
    +
    ETH2 80.20.20.1 mit ptr mailbu.firma.de (DNS 80.20.20.1=mailbu.firma.de)

    und der Hauptanschluss ETH1 fällt weg werden ab dato die mails ja über eth2 gesendet. In der ASG kann ich aber nur eine HELO Adresse konfigurieren:

    Email Protection -> SMTP -> Erweitert -> Erweiterte Einstellungen -> SMTP Hostname: "mail.firma.de"

    Im DNS ist unter mail.firma.de die IP von ETH1 erreichbar. Wenn die mails jetzt von ETH2 gesendet werden sollte doch der HELO Check beim Empfänger fehl schlagen da wenn die Gegenseite entsprechend scharf konfiguriert ist oder?

    Cu, Abyss_X
  • 0
    Setz doch beide IPs auf mail.firma.de, also A und PTR.
Cookie Information Banner