Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4414 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN - Redundanz

Abyss_X
Guten Morgen zusammen,

ich bräuchte mal etwas konzeptionelle Hilfe. Kurz zur Umgebung wir haben einen Zentralen Standort mit einer ASG220 sowie diverse Zweigstellen mit UTM120 im Einsatz. An der Zentrale liegt eine Company Connect 20Mbit an. Die Standorte sind per IPSec Tunnel mit der Zentale verbunden.

Die Anforderung ist die Internetanbindung und somit auch die VPN Tunnel zu den Zweigstellen redundant auszulegen. Eine Backupanbindung an der Zentrale schalten zu lassen sollte nicht das Problem sein. 

Die Frage die ich mir stelle ist wie ich das ganze in der Astaro konfigurieren kann, der IP Adressraum wird sich ja ändern sobald im Fehlerfall auf die Backup Leitung geschalten wird.


Cu, Abyss_X


This thread was automatically locked due to age.
Parents
  • 0
    Hallo,

    HA hat darauf keinen Einfluss - du musst natürlich beide WAN Leitungen an BEIDE ASG´s anstecken! Und ich würde dir empfehlen das Clusterinterface nur physikalisch zu patchen (kein Switch)

    Bezüglich PTR Record: hier musst du für beide IP´s den gleichen Hostnamen (den was die UTM hat) eintragen (lassen)

    Schwieriger wird es mit Outlook Anywhere:
    1. Die "solide aber teure" Lösung: Dein DNS Provider bietet einen A-Record Failover an.
    2. Du setzt die TTL beim betreffenden A-Record sehr kurz und stellst dann manuell um.
    3. Du gehst den Weg über FreeDNS Anbieter (das hab ich derzeit aber noch nicht wirklich im Einsatz - steht aber auf der TODO Liste)

    Derzeit verwenden wir bei "27x4" Kunden Variante 1, bei allen anderen Variante 2 :-)

    Bei weiteren Fragen einfach melden. 

    Gerald
Reply
  • 0
    Hallo,

    HA hat darauf keinen Einfluss - du musst natürlich beide WAN Leitungen an BEIDE ASG´s anstecken! Und ich würde dir empfehlen das Clusterinterface nur physikalisch zu patchen (kein Switch)

    Bezüglich PTR Record: hier musst du für beide IP´s den gleichen Hostnamen (den was die UTM hat) eintragen (lassen)

    Schwieriger wird es mit Outlook Anywhere:
    1. Die "solide aber teure" Lösung: Dein DNS Provider bietet einen A-Record Failover an.
    2. Du setzt die TTL beim betreffenden A-Record sehr kurz und stellst dann manuell um.
    3. Du gehst den Weg über FreeDNS Anbieter (das hab ich derzeit aber noch nicht wirklich im Einsatz - steht aber auf der TODO Liste)

    Derzeit verwenden wir bei "27x4" Kunden Variante 1, bei allen anderen Variante 2 :-)

    Bei weiteren Fragen einfach melden. 

    Gerald
Children
  • 0 in reply to gfreiler
    So ich denke ich bin jetzt ein Stück weiter in meiner Planung und finde prompt einen neuen Stolperstein beim mail Versand. Wenn ich die Konfig wie besprochen durchführe z.B.

    ETH1 80.10.10.1 mit ptr mail.firma.de (DNS 80.10.10.1=mail.firma.de)
    +
    ETH2 80.20.20.1 mit ptr mailbu.firma.de (DNS 80.20.20.1=mailbu.firma.de)

    und der Hauptanschluss ETH1 fällt weg werden ab dato die mails ja über eth2 gesendet. In der ASG kann ich aber nur eine HELO Adresse konfigurieren:

    Email Protection -> SMTP -> Erweitert -> Erweiterte Einstellungen -> SMTP Hostname: "mail.firma.de"

    Im DNS ist unter mail.firma.de die IP von ETH1 erreichbar. Wenn die mails jetzt von ETH2 gesendet werden sollte doch der HELO Check beim Empfänger fehl schlagen da wenn die Gegenseite entsprechend scharf konfiguriert ist oder?

    Cu, Abyss_X
Cookie Information Banner