How to setup a VDSL connection on a HA-Cluster

Question

Hi, 
 I have a question concerning the setup of a VDSL line on a HA cluster consisting of two SG230 UTM appliances. 
 Our current setup consists of said two SG230 running mainly web protection and ssl vpn. 
 Our VDSL line is connected to an AVM FritzBox which is acting as the default gateway for the SG230s. 
 We now wanted to get the FritzBox out of the picture and let the SG230 handle the PPPoE connection itself. Mainly for security reasons because right now, one only needs to type in the ip address of the FritzBox as their default gateway and since there doesn't seem to be a way to limit outgoing connection using firewall rules on AVM kit (it's basically SOHO equipment, after all) you're scot free to simply bypass the Sophos UTM. 
 The other reason is convenience: Right now we have to setup two separate port forwardings to make internal services accessible from the internet. Once on the FritzBox and then again on the UTM. 
 My problem is: Since we're basically using two SG230 units but have only one VDSL line, how can I go about connecting the VDSL modem to both UTMs at the same in order to stay connected to the internet in case of a HA failover? Apart from switching the VDSL modem to the then active WAN port? 
 Is this at all possible? Or would we need two physical VDSL lines and two VDSL modems to get this to work? 
 We're using a Draytek Vigor 130 VDSL modem, btw. 
 Thanks in advance, 
 Dominik

BAlfson · Accepted Answer

In fact, Dominik, in HA, both devices must be cabled identically . Here's a picture of what Astaro named Meshed High Availability . 
 Cheers - Bob

zaphod · Answer

Hallo, Ich antworte in Deutsch da ich denke du verstehst das :-) Wie Bob schon erw&auml;hnt hat muss f&uuml;r ein HA-Cluster jede Verbindung auf beiden Maschinen vorhanden sein. Ich fahre auch mehrere VDSL/DSL-Leitungen auf meinem HA Cluster. Das DSL-Modem einfach mit dem LAN-Netzanschluss auf einen kleinen Switch h&auml;ngen (Wir nutzen daf&uuml;r kleine 5-Port Switche) und von dort aus an den entsprechenden Ethernet-Port auf beiden Nodes. Somit ist bei einem Failover sichergestellt das auch die zweite Node &uuml;ber das DSL-Modem die PPPOE Verbindung herstellen kann. 
 Funktioniert recht gut. Allerdings ist bei einem Failover zu beachten das die Swtich-Zeiten der DSL-Leitungen etwas l&auml;nger sind. Bei mir bis zu 5 Minuten bis wieder alles normal ist. Tipp: Bei einem Failover keine Panik bekommen und mindestens 5 Minuten vergehen lassen bis gepr&uuml;ft wird ob Internet usw. wieder funktioniert. 
 F&uuml;r einen schnellen Failover sind PPPOE-Verbindungen nicht die beste Wahl. Hier w&auml;re dann ein Company-Connect (oder Deutschland-LAN) oder jeglicher andere Internet-Anschluss zu empfehlen der einen eigenen Router mit bringt.

dowagner · Answer

Hey Zaphod, 
 
tatsächlich bin ich der deutschen Sprache einigermaßen mächtig, ich Danke dir für deine ausführliche Antwort :-) 
Ich habe mir schon gedacht, dass es mit einem Switch funktionieren müsste, wir haben diese Variante auch bereits vor Ort einmal getestet. 
Eine PPPoE-Einwahl scheiterte allerdings, das PPPoE-Log wies nur aus, dass keine Gegenstelle gefunden werden konnte. 
 
Kann es sein, dass der zwischengeschaltete Switch (es handelete sich um ein einfaches 5-Port Netgear-Modell, unmanaged) das VLAN7 verschluckt hat welches für die VDSL-Verbindung in der Sophos gesetzt werden muss?