This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Redundantes Site2Site Vpn IPSEC mit 2 DSL Anschlüssen

Hallo zusammen,

eigentlich ist die redundante VPN Einrichtung für IPSEC Site2Site ja gut beschrieben.

Ich habe diese Anleitung befolgt
https://community.sophos.com/kb/en-us/118975

Tricky und auch nur in dieser Anleitung beschrieben, ist, dass es auf einer Seite eine und auf der anderen Seite 2 Verbindungen gibt.
Genau dieses versuche ich zu realisieren.
Auf der Seite der 2 Verbindungen habe ich auch kein Problen, hier werden mir schön beide Verbindungen angezeigt, ich habe beide an ein Interface gebunden und kann eine Multipath Regel bauen.

Auf der anderen Seite ist das Problem! Hier habe ich die Verbindung zwar auch 2 mal angelegt, aber ich muss auf das gleiche Interface zeigen. Daher kann ich auch keine Multipath Regel anlegen.

Hat das schonmal jemand gebaut und kann mir nachfühlen? Die Sophos verstrubbelt sich irgendwie sobald die beiden Tunnel losgehen...

 

Ich bitte um Hilfe,

Grüße, Rolf



This thread was automatically locked due to age.
  • Hallo,

     

    kennst du folgenden KBA:

    https://community.sophos.com/kb/en-us/118975

     

    Gruß

    __________________________________________________________________________________________________________________

  • Genau diesen Artikel habe ich doch selbst verlinkt ;-)

  • I hope you don't mind me answering in English.

    What I usually configure in this kind of scenario is the following:

    On site with 2 internet connections:

    Create an interface group (you can create it under interfaces using the 2 internet connections) and use this group at this site as the local interface for the VPN-connection.

    On the other site create an availability group where you put both of the other sites connections in (and use the same order as you used in creating the interface group).

    You can use this availability group as the other site's connection.

    The connection will normally be build on the "primary" connection, but if it fails it will switch over to the secondary one.

    Another thing you could configure is to have the site with only 1 connection as a respond only interface, it's a little less secure, since it will respond to any incoming VPN connection (of course everything has to match (PSK or certificate) before the connection will be up).


    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • Hallo,

     

    hatte ich leider übersehen.

    Aber wie von Apijnappels beschrieben benötigst du in dem Remote Gateway eine availability Group.

    "You can use this availability group as the other site's connection."

     

    Damit hast du 2+ Host im Remote Gateway, fällt eines aus, wird das zweite Gateway verwendet.

     

    Gruß

    __________________________________________________________________________________________________________________

  • Hallo zusammen,

    um es nochmal abzuschließen, es läuft inzwischen...

    Die "Availibilyty Group" hat mir nicht geholfen, denn die Seite, welche die Verbindung aufbaut, hat 2 Anschlüsse, nicht die Seite, welche die Verbindung entgegennimmt!

    For BALFSON in English, cause Google Translator or whatever will not translate the above sentence.

    The avalibilyty Group was not a good choice. This is intended to be used if you have two possible destinations from one Initiator. For me it was other way round, I had two Connections on the Initiator side and only one at the receiving site.

    Zurück auf deutsch...

    Also habe ich es zum guten Schluss komplett auf eine Verbindung konfiguriert und mittels der Multipath Regeln im Uplink-Balancing biege ich den Tunnel auf die gewollte Verbindung. Kracht diese weg, dann ist der Tunnel auch erst einmal weg, kommt aber nach einer Weile auf der anderen Verbindung hoch, da dann die Default Regel zieht.

     

    Das könnte eigentlich mal jemand mit in die ganzen Tutorials aufnehmen...

     

    Grüße, Rolf

  • Hallo Rolf,

    Für den initiierender Seite sollte wie ich geschrieben hab ein Interface Group (Nicht die availability group) benutzt werden, damit ist eine Gruppe von 2 oder mehr Interfaces definiert womit verbinding augebaut wird.


    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.