Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 26948 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configuring HA (High Availability)

m@rek
Hi,

Recently, I deployed Sophos SG135 with 3 years of premium support and now I would like to install in that remote office second Sophos SG135 appliance and have them configured in HA mode.

I want to utilize Active/Passive HA (Hot Standby) method.

Question1: Does second appliance needs to be same model?
Question2: Do I need to buy support for the second appliance?
Question3: Please, look at my diagram and let me know if it makes sense. I want to follow the best practices and I cannot find one clean How-to, setp-by-step documents.


This thread was automatically locked due to age.
  • 0
    1) Appliance models must be the same.
    2) Support for a second Unit while in a HA pair is included as part of the license.
    3) Wiring looks good. Rule of thumb is each unit must be wired identically in a cluster.
  • 0 in reply to TheDrew
    I understand that I would not need a second license since only one appliance would be active; however, I'm concern about the support for hardware.

    The vendor told me that I need support for each box. Please, let me know about the support piece.

    Thank you for all your help,
    Mark
  • 0
    I've purchased UTM appliances in pairs since 2010, and sold them as such since early 2013. Never told by anyone at Sophos that the hardware support for the secondary node wasn't covered by the license. Considering that hardware support is included with a subscription, you can't buy hardware support separately.
  • 0
    The vendor told me that I need support for each box.

    Never told by anyone at Sophos that the hardware support for the secondary node wasn't covered by the license.

    Drew's right, Mark.  You might want to ask Sophos Sales about a different reseller in your area.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
     Question3: Please, look at my diagram and let me know if it makes sense. I want to follow the best practices and I cannot find one clean How-to, setp-by-step documents.


    It looks fine to me...real world example schema and photo attached in this post.
  • 0
    Here's what I found in Sophos UTM Administration Guide:

    4.12.1 Hardware and Software Requirements
    The following hardware and software requirements must be met to provide HA failover or cluster functionality:
    1. Valid license with the high availability option enabled (for the stand-by unit you only need an additional base license).


    What is base license and how to I obtain it?

    Thanks guys,
  • 0
    You don't need any additional license, just join the second device to the cluster.
  • 0
    Dont want to start a new thread since I have similar questions on setting up HA.

    I have two identical GS125s. Both boxes are wired properly to the LAN and WAN interfaces. Have ETH02 (HA port) connected to one another.

    Turned the secondary unit on. It detected things and started HA mode in Hot Standby mode.  Master is the proper master and slave is the proper slave.

    Will HA properly copy the Up2Date firmware versions as well? Or do you first have to manually configure the slave with the same firmware version?  See pic.

    Here is the current live HA log: 

    2015:10:12-22:31:35 host-2 ha_daemon[3867]: id="38A0" severity="info" sys="System" sub="ha" seq="S: 42 35.591" name="Monitoring interfaces for link beat: eth0"

    2015:10:12-16:29:15 ddpnet-1 ha_proxy[32483]: Closed connection between local client (fd:6) and remote client (fd:7)

    2015:10:12-16:29:15 ddpnet-1 ha_proxy[381]: Connect (file descriptor 6): node2 [198.19.250.2]

    2015:10:12-16:29:15 ddpnet-1 ha_proxy[381]: Request (file descriptor 6): CONNECT us1.utmu2d.sophos.com:443 HTTP/1.0

    2015:10:12-16:29:15 ddpnet-1 ha_proxy[381]: No proxy for us1.utmu2d.sophos.com

    2015:10:12-16:29:15 ddpnet-1 ha_proxy[381]: Established connection to host "us1.utmu2d.sophos.com" using file descriptor 7.

    2015:10:12-16:29:15 ddpnet-1 ha_proxy[381]: Not sending client headers to remote machine

    2015:10:12-16:29:23 ddpnet-1 ha_proxy[381]: Closed connection between local client (fd:6) and remote client (fd:7)

    2015:10:12-22:32:02 host-2 ha_up2date[5514]: calling /sbin/auisys.plx --types=sys --upto 9.350012

    2015:10:12-22:32:03 host-2 ha_up2date[5514]: done (auisys has gone into the background) 


    It seems like its not "doing anything".  I see the 9.350012 reference in the live log, but over the course of a few hours the firmware version of the slave in the WebAdmin hasnt moved.

    Did I do something stupid or skip a step?
  • 0
    I've found it sits in that mode for up to 24hrs depending on how many updates are required. The slave downloads them from sophos, not the master if I recall correctly.
  • 0
    Hmm. Checked this afternoon and the status is still the same as the screenshot I posted. Last status change yesterday at 14:35.

    Do I need to reboot the slave? I did that once yesterday but it didnt affect anything.
Unfiltered HTML