Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Temporärer Parallelbetrieb von zwei gleichen Konfigurationen

Ich habe eine (zwei) UTM 425 im Einsatz und will diese auf eine neue aktuellere 425 Umstellen. Da wir aber gleichzeitig auch einen Schwenk der Internetanbindung machen, habe ich einfach einen zweiten Satz mit der alten Konfiguration bespielt und deren interne IP geändert, so daß sie nicht der selben entspricht die die alten beiden Geräte haben. Allerdings habe ich sobald beide Geräte in Betrieb sind, ausfälle auf dem internen interface auf beiden Failovergerätepaaren. Gibt es da irgendwie einen MAC Adresskonflikt?
Wenn ja wie behebe ich den am besten?

Danke schon mal für eure Hilfe.


This thread was automatically locked due to age.
  • Genau für sowas ist eigentlich der HA/Cluster-Betrieb vorgesehen und da Du offenbar ohnehin zwei Geräte hast, warum nicht entsprechend nutzen?
  • Ja, 
    Active/Passive einrichten.
    Solange es zwei 425er sind (z.B. rev4 und rev5), dann nutze deine rev4 als Slave. Kommen keine zusätzlichen Lizenzkosten auf dich zu.

    Nice greetings
  • Also im Moment habe ich vier Geräte, und ich würde gerne die beiden neuen Geräte als neues Setup mit den alten Configdaten vorbereiten. Wenn ich euch jetzt richtig verstehe sollte ich die alten und die neuen mischen?
    Das würde aber das Ziel nicht erfüllen. Die alten werden abgelöst weil sie nicht genug Leistung bieten. Derzeit ist der Plan also, die IPSEC Tunnel auf dem alten System zu belassen und die I-Net Anbindung über Proxy Profiles über die neuen Maschinen abzuwickeln, samt neuer I-Net Anbindung. Dann wenn alles läut Stück für Stück die IPSEC Tunnel auf die neuen System umzuziehen. 
    Wie bekomme ich das am besten hin, ohne  daß die MAC Adressen sich gegenseitig in die Quere kommen? Eine kleine Anleitung oder ein Hint auf die richtigen tutorials oder docs wäre nett. Ich habe nichts diesbezüglich gefunden. 
    Danke nochmal für eure Antwort,
  • Also...

    Die neuen UTMs sind das gleiche Model, nur verschiedene Revisionen, korrekt?

    Wenn ja, dann schließt du eine neue UTM an die ASG inkl. aller anderen Kabel, dann lässt du diese synchronisieren.
    Sobald die fertig sind, startest du die ASG neu und die UTM arbeitet.
    Danach kannst du die andere UTM in Betrieb nehmen. Fertig.

    Wenn die Modelle unterschiedlich sind - bei den neuen Systemen Backup einspielen und fertig.

    Machst da ja nen Problem draus, sorry aber dein Versuch ist sehr kompliziert und unnötig.
    So wirst du auf jeden Fall Probleme und Ausfälle haben!

    Nice greetings
  • Danke nochmal für die genaue Beschreibung, allerdings habe ich auch mit diesem Ansatz immer noch das Problem, daß ich nicht alle vier Geräte bzw. zwei Sätze gleichzeitig betreiben kann. Da aus irgend einem Grund, egal welche IP Adresse ich intern vergebe, es immer zu einem Konflikt mit dem anderen Gerät gibt. 
    Beispielsweise hat die eine 
    ASG 425 (altes Gerät) die IP 172.22.1.201/22 das zweite Gerät die UTM 425 bekommt dann nach einspielen des Backups oder nach Syncronsierung, bleibt sich in diesem Fall gleich, die IP 172.22.1.200. 
    Beide Geräte (altes und neues) werden dann in Betrieb genommen. Wenn ich dann aber mit einem Client einen Dauerping auf beide IP's mache, bekomme ich regelmäßig Ausfälle, das allerdings nur solange ich das zweite Gerät eingeschaltet habe. Die Fehler verschwinden sobald ich das jeweils andere Gerät (alt/neu) deaktiviere. Das läßt mich auf einen MAC Adresskonflikt schließen. Wie bekomme ich den beseitigt? Läßt sich das über die Oberfläche lösen oder muß ich da auf Consolenebene was machen, wenn ja, an welche Config muß ich da ran. 
    Wichtig, es sollen alle vier Geräte vorerst parallel laufen, daher ist ein simpler Umstieg über Sync und/oder Backup restore nicht möglich.

    @GuyFawkes
    Sollte ich dich jetzt immer noch falsch verstanden haben, dann bitte ich höflichst um Entschuldigung, aber dann weiß ich beim besten willen nicht worauf du raus willst. Es wäre nett wenn du es dann trotzdem nochmal versuchen würdest, mir zu erklären. 
    Danke
  • Du kannst im Webadmin mal die Mac prüfen. Sobald HA aktiviert wird, nutzt die UTM "virtuelle" MAC.

    Die " Ausfälle" sollten dann aber häufiger auftreten und auch im Switch sichtbar sein.
  • Ich versuche es nochmal, ist ja nicht schlimm.

    Du hast 2x ASG 425 und 2x UTM 425 im active/passive Mode.
    Das ist perfekt! Die ASG und UTM müssen nur dieselbe Software Version haben.

    Warum willst du 4 Geräte laufen lassen, obwohl du es so einfach haben könntest.
    War gestern unterwegs, daher war das mit dem Tippen etwas schwer.

    ok, noch einmal:

    Du nimmst eine ASG aus deinem aktiven Cluster raus (entweder hinten einfach Knopf drücken, oder über HA Einstellungen im WebAdmin die Node Herunterfahren), dann läuft es ja noch ohne Probleme weitere. Also du machst diese aus und baust diese aus dem Schrank aus, nicht weiter laufen lassen! Du schließt dann eine UTM an die alte ASG an (HA Port), verkabelst den Rest natürlich auch. Sobald jetzt die neue UTM startet, synchronisieren sich die beiden Systeme und du hast dabei keinen Ausfall.

    Wenn die fertig synchronisiert sind, hast du eine deiner neuen UTMs bereits in Betrieb genommen. Jetzt noch die zweite UTM.

    Jetzt fährst du die zweite alte ASG herunter (auch hier, Knopf drücken, oder schöner, via WebAdmin - HA herunterfahren), die an der UTM hängt im active/passive Mode und baust die aus, auch hier abgeschaltet lassen bzw. nicht mehr in Netz hängen! Baust die andere neue UTM ein und schließt diese an (HA Port und der Rest auch, also so wie vorher), verkabelst es schön, startest die zweite UTM. Die UTMs synchronisieren ihre Konfiguration und fertig. So hast du ohne Probleme deine neuen UTMs migriert. Ohne Ausfall, mit Übernahme aller Logs und Einstellungen.

    Falls die Software noch nicht aktuell war, kannst die jetzt natürlich aktualisieren.

    Fertig und viel Spaß mit deiner neuen Hardware.


    Also sehr easy, so hast du kein gedaddel mit Übernahme einzelne Tunnel, MAC Adress Probleme, IP Konflikte etc. etc. etc.

    Nice greetings
  • Wenn die Punkte "mehrere VPN Tunnel" und "neuer Internetanschluss" nicht mehr überlesen werden, kommt vielleicht noch der Punkt "auf den AGSs erst den neuen Internetanschluss umstellen und die VPN Tunnel migrieren" zur Sprache ...
  • Wurde nicht überlesen.
    Mit diesem Schritt löst du doch alle Probleme.
    Legst nen neues Interface an und richtest dort den Anschluss ein. Wo ist euer Problem???

    Vier Geräte wegen einem neuen Internetanschluss betreiben, ich bitte euch.
    Wenn man Lust hat, am Wochenende zu arbeiten, oder sich selbst Probleme unnötige Probleme zu schaffen, dann kann man das so machen, dass man 4 Geräte gleichzeitig nutzt. Aber Schritt für Schritt ohne große Probleme zu bekommen, dann macht man es wie beschrieben.

    Nice greetings
  • @GuyFawkes: 

    Danke für die sehr ausführliche Beschreibung, das hilft mir definitv weiter. Das Problem bleibt allerdings trotzdem der Punkt mit der VPN Migration und dem neuen Internetanschluß incl. neuer IP Range (extern). Warum ich jeweils zwei paare betreiben will, liegt daran, daß die IPSEC Tunnel im Moment noch auf den alten IP's liegen. Eine Migration auf die neuen Adressen hängt nicht von der alten Konfiguration bzw. den Geräten bei uns ab sondern von den Einstellungen beim anderen Endpoint der Tunnel. Daher bleibt mir nichts anderes als die Tunnel auf dem alten Internetanschluß zu betreiben und Stück für Stück die verschiedenen Partner anzuschreiben und sie zu bitten auf die neue externe IP zu ändern. Daher mein Problem. Wenn ich das ganze so mache wie du es mir vorschlägst, läßt sich das so nicht lösen, da bei deinem Ansatz die alten Geräte komplett durch die neuen Geräte ersetzt werden. Das ist so aber nicht geplant und auch nicht möglich. Ich habe dann zwar die neuen Geräte ohne viel Streß im Einsatz aber dafür dann wieder das Problem, daß ich den Schwenk der IPSECs am offenen Herzen machen muß. Das allerdings wollte ich durch eine Redundanz der laufenden Geräte und Internetanbindungen verhindern. 
    Wie läßt sich also der MAC Adresskonflikt verhindern, der durch das Einspielen oder auch replizieren der Geräte entsteht?
    Danke nochmal für all eure Beiträge, ich bin echt froh daß sich jemand meldet und versucht mir zu helfen. Das Thema tue ich mir jetzt schon eine Weile an und brauche dringend eine Lösung.