Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 2147 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Tunnel mit Backupleitung und Standby Interface

bernd@hubinger.org

Hallo Zusammen,

Ich habe aktuell 2 Standorte und je 2x230 UTM im HA im Einsatz.
Verbunden sind diese per IPSEC. Gestern habe ich eine Backupleitung am 2ten Standort bekommen.
Nun habe ich die Back-up-Leitung als Standby Interface konfiguriert, und diese dann zusätzlich bei Remote Gateway eingetragen.

Nun meine Frage, sobald das Hauptinterface ausfällt, geht mir sofort der link beim Backup ein.
Soweit so gut. Sollte sich nun der IPSEC nicht mit der Back-up-Leitung aufbauen, wenn diese auch als Remotegateway eingetragen ist?

Sorry für die Frage, aber stehe gerade etwas auf der Leitung.

SG Bernd



This thread was automatically locked due to age.
Parents
  • 0

    Nur zur Sicherheit:

    Haben beide Kisten auch gleichberechtigten Zugang zu dem Uplink?

    Wenn du ein HA betreibst, sollte die Backupkiste trotzdem die Hauptleitung verwenden.

    Die Backupleitung ist ja dafür da, dass beim Ausfall seitens ISPs gegengesteuert werden kann.

     

    Ich meine das so:

  • 0 in reply to Patrick Lachmann

    Hi Patrick,

    yes beide haben gleichberechtigten Zugang.
    Leider funktioniert der Neuaufbau des IPSEC auch nicht, wenn ich die Backupleitung direkt anstecken würde am Master.
    Also bin ich mir leider nicht sicher, ob das grundsätzlich funktionieren würde, wenn die Hauptleitung ausfällt die Backupleitung sofort einspringt und dann der Tunnel neu aufgebaut werden würde.

     

    SG Bernd

  • 0 in reply to bernd@hubinger.org

    Was sagt denn das Logfile so?

     

    Bedauerlicherweise kann ich nicht mehr in den configs spicken, da ich bereits alles mit REDs ersetzt habe...

  • 0 in reply to Patrick Lachmann

    Hi,

    Anbei das Logfile

    IP Adressen habe ich ersetzt ;-)

    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: forgetting secrets
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: "S_REF_IpsSitVpnLtw_0": deleting connection
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: "S_REF_IpsSitVpnLtw_0" #17977: deleting state (STATE_QUICK_I2)
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: "S_REF_IpsSitVpnLtw_0" #17977: HA System: failed to send message (-1/8): Bad file descriptor (9)
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: ERROR: "S_REF_IpsSitVpnLtw_0" #17977: sendto on eth1 to IP-Adresse failed in delete notify. Errno 22: Invalid argument
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: id="2204" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN down" variant="ipsec" connection="REF_IpsSitVpnLtw" address="Externe IP Hauptanschluß" local_net="Internes Netz" remote_net="Netz Gegenstelle"
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: "S_REF_IpsSitVpnLtw_0" #17976: deleting state (STATE_MAIN_I4)
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: "S_REF_IpsSitVpnLtw_0" #17976: HA System: failed to send message (-1/8): Bad file descriptor (9)
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: ERROR: "S_REF_IpsSitVpnLtw_0" #17976: sendto on eth1 to IP-Adresse failed in delete notify. Errno 22: Invalid argument
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: updown: /sbin/ip -4 route del Netz Gegenstelle dev eth1 table main src Internes Netz proto ipsec metric 0 failed with status 2:
    2019:06:06-13:05:54 BTSgw01-1 pluto[6754]: updown: RTNETLINK answers: No such process

  • 0 in reply to bernd@hubinger.org

    Hallo Bernd,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The way I've configured this for my clients is described in Auto-Failover IPsec VPN Connections.  This is fairly straightforward and uses the backup interface in Active, not Standby mode.  It does take up to a minute for the new tunnel to establish.

    Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial (DE) describes a configuration where there are two established tunnels and Static Routing is used to select which tunnel is the backup tunnel.   The advantage of this approach is that failover is almost instantaneous.  If you try this approach, please report on your results here.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to bernd@hubinger.org

    Hallo Bernd,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The way I've configured this for my clients is described in Auto-Failover IPsec VPN Connections.  This is fairly straightforward and uses the backup interface in Active, not Standby mode.  It does take up to a minute for the new tunnel to establish.

    Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial (DE) describes a configuration where there are two established tunnels and Static Routing is used to select which tunnel is the backup tunnel.   The advantage of this approach is that failover is almost instantaneous.  If you try this approach, please report on your results here.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML