Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 38 subscribers
  • Views 4877 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Temporärer Parallelbetrieb von zwei gleichen Konfigurationen

crusader
Ich habe eine (zwei) UTM 425 im Einsatz und will diese auf eine neue aktuellere 425 Umstellen. Da wir aber gleichzeitig auch einen Schwenk der Internetanbindung machen, habe ich einfach einen zweiten Satz mit der alten Konfiguration bespielt und deren interne IP geändert, so daß sie nicht der selben entspricht die die alten beiden Geräte haben. Allerdings habe ich sobald beide Geräte in Betrieb sind, ausfälle auf dem internen interface auf beiden Failovergerätepaaren. Gibt es da irgendwie einen MAC Adresskonflikt?
Wenn ja wie behebe ich den am besten?

Danke schon mal für eure Hilfe.


This thread was automatically locked due to age.
  • 0
    Neues Interface erstellen, neuen Internet Anschluss anschließen.

    Firewallregeln, Masquerating anpassen.

    Mail an Partner - ab dem xx.xx.2014 muss diese IP verwendet werden.

    Dann brauchste doch nur das Interface am Tunnel ändern.

    Fertig!

    Nice greetings
  • 0 in reply to GuyFawkes
    Mail an Partner - ab dem xx.xx.2014 muss diese IP verwendet werden.

    Dann brauchste doch nur das Interface am Tunnel ändern.

    Fertig!

    Du warst noch nie in der Situation, mehrere unabhängige VPNs zu migrieren, wenn es zu Lieferanten oder Kunden geht ... Da geht es nicht drum, was leichter, oder sinnvoller wäre.

    @crusader
    Ich vermute, die vMAC ist im Backup.
    Vielleicht HA vor dem "Migrationsbackup" dekonfigurieren? Und die "Globalisierungsoption" beim Backup?
  • 0 in reply to K.N.
     Du warst noch nie in der Situation, mehrere unabhängige VPNs zu migrieren, wenn es zu Lieferanten oder Kunden geht ... Da geht es nicht drum, was leichter, oder sinnvoller wäre.  @crusader Ich vermute, die vMAC ist im Backup. Vielleicht HA vor dem "Migrationsbackup" dekonfigurieren? Und die "Globalisierungsoption" beim Backup?
     

    Doch und genau so kann man das machen. Ich verstehe nicht, warum man es sich selber, bei einem solch kleinen Projekt (einfache Aufgabe), so viele Steine in den Weg legen will. Macht es euch doch selber nicht so kompliziert.  

    Zusätzliches Interface anlegen und beide WAN Interface an der UTM nutzen. Die UTM gibt euch alle Hilfsmittel an die Hand.  

    Du kannst doch auf einer UTM mehrere WAN Interface nutzen. Dann richtest du den Tunnel halt doppelt ein und die Gegenstelle kann es sich aussuchen, zu welcher IP verbunden wird. Da hast du sogar das die super Funktion, dass du alle Einstellungen einfach klonen kannst. So erreicht ihr doch genau das, was ihr wollt.  Umstellung der Tunnel ohne Ausfall. Wenn Tunnel fertig umgestellt ist, löscht du die Einstellung, welche an die alte WAN Leitung gekoppelt war.  

    Und den Austausch der Hardware vorher oder nachher (ich würde es vorher machen).

     Neue UTMs in Betrieb nehmen, neue Internetleitung in Betrieb nehmen und eine sanfte Migration der Tunnel.

    OHNE das MACs doppelt sind und was weiß ich für Probleme daraus entstehen.


    Nachtrag:
    Achja, denk dran, wenn du die beiden parallel laufen lassen willst, musst du auch dein Netz entsprechend umstellen/anpassen, damit dein Routing dann auch noch klappt. Stichwort Default GW wären ja noch die alten ASG. Und dann an jedem Server bzw. Zielsystem ne Route setzten... ähm...
    Du siehst, worauf ich hinaus will.


    Nice greetings
  • 0
    Danke nochmal an alle. 
    Soweit hat alles geklappt, jetzt habe ich nur noch ein Problem. 
    Ich habe die HA verbindung zwischen den neuen beiden UTMs aufgelöst. Wie bekomme ich die ehemalige Master Node dazu, die ehemalige Slave Node bzw. die aktuelle Master Node zu kopieren und nicht versehentlich die alte Slave Node zu überschreiben?
  • 0
    Hallo crusader,
    Wie im Handbuch beschrieben: 
    Wenn Du HA auflöst, wird der ehemalige Slave einen FactoryReset machen und sich ausschalten.
    Wenn Du ihn nun wieder in HA Betrieb nimmst, gewinnst das System mit der längeren Uptime. Das sollte ja Dein Master erfüllen.
    Viel Erfolg.
    Grüße, Karsten

    Sent from my iPhone using Astaro.org
  • 0
    Moin,
    die Laufzeit entscheidet hier.

    Setzte eth3 auf Automatische Einrichtung in de HA Einstellungen (beide Nodes).
    Starte die Node neu, welche überschrieben werden soll und verbinde eth3.

    Syncen lassen (Aufkleber mit Node1 und Node2 drauf) und fertig [:)]

    Nice greetings
  • 0 in reply to GuyFawkes
    Danke dir für die Info. 
    Das hatte ich beim letzten mal auch gemacht. In welchem Bereicht entscheidet sich die Laufzeit. Beim letzten mal habe ich schlicht einfach den Master Node laufen lassen und den zweiten angesteckt und neu gestartet. Zu früh angesteckt?

    Danke nochmal.
  • 0
    Erst neu starten, dann anstecken.
    Sonst fängt der Flash bereits an und der Neustart steht noch aus.

    Einfacher - zukünftiger Slave ausschalten - wenn aus, dann Stecker stecken - Slave starten - waren bis Sync fertig ist - fertig

    Nice greetings
  • 0 in reply to GuyFawkes
    Super vielen Dank. Das hat alles soweit funktioniert, bis ich dann auf ein Syncproblem gestoßen bin. Siehe: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29115

    Ich werde mal schauen ob ich mit der V9.2 hier auch was erreichen kann. 
    Allerdings hat durch diesen Fehler sich irgendwie die MAC Adresse von der alten HA kopplung wieder eingeschlichen. Gibt es einen Weg die virtuelle MAC der neuen HA manuell zu setzen, oder dafür zu sorgen, daß die alte HA Kombi eine andere virtuelle MAC bekommt?

    Danke nochmal für eure Hilfe.
Unfiltered HTML