Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 939 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multi-Site VM DR routing

gdmorton
Hi All, 

We have inherited a clustered VMware system from a new clients previous IT provider, with a replication to a DR site.

Currently, the system runs on 5 Vyatta virtual routers and another 6 PFSense firewalls.  Pain in the ass to look after, so the client wanted to get some Sophos UTM's in to replace it all, that they can understand. (we are 2nd line support)

Replacing it all is pretty straightforward with the exception of the VMware replication and performing a failover.  

The servers being replicated are on 172.16.200.0/24 subnet at site A
The DR site B, is on 172.17.200.0/24

Having not tried this with a Sohos UTM before, whats the most straightforward way to get the routing correct so that users at both sites can still see the servers once they have been failed over.  Ideally with minimal administration as we have to train the clients staff to perform a fail-over themselves.  There will be a Site to Site VPN link.

Currently the procedure given by old support company is as follows:
The DR capability for COMPANY is based on vSphere replication of the business critical VM’s from SITEA to SITEB,  These are all in the 172.16.200.0/24 subnet. In each site there is a VLAN and interface on the router for this subnet, and in the standby site the router interface has and placeholder IP address in a different subnet.
                To fail over The router IP addressing for the interface in the primary site is changed to a placeholder address so the 172.16.200.0/24 subnet is removed from the intersite dynamic routing automatically. In the standby site the router interface is re-ipaddressed to match the 172.16.200.0/24 subnet which re-adds it to the dynamic routing table but it’s now based in SITEB. The VM’s are then brought on-line in SITEB where the ESX portgroups match to attach them to the correct VLAN and so they can communicate with both sites.
                All external traffic to VM’s in the subnet i.e. Outlook Web Access, Access to the Citrix Netscaler, SSTP VPN is configured on both site firewalls with inbound source NAT so that no matter which firewall the traffic comes in on it returns to the firewall it cam from to avoid dropping on state.
                The external DNS needs to be updated as part of the failover to point to the relevant IP’s in the DR site.

Many Thanks,

Gareth


This thread was automatically locked due to age.
  • 0
    Hi, Gareth, and welcome to the User BB!

    Anyone trying to help you is going to need before and after diagrams along with time to understand how they relate to what was written by the old support company.  I assume that you would have asked a simple, short question if this were not messy.  This may be a simple as using "1:1" Source and Destination NATs (caution - not the same terminology as Cisco!), but I'm about as confused as Costello in the famous "Who's on First, What's on Second" routine. [:D]

    It might be worth a minimum investment in some Sophos Consulting or that of a strong reseller in your area.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML