Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 993 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Failover für MPLS Strecke (Sophos SG)

Bernhard Schlögel

Hallo zusammen,

wir benötigen einen VPN Failover als Absicherung einer Primärverbindung vom Hauptstandort ins Rechenzentrum. Am Hauptstandort haben wir eine Sophos SG mit einem Interface (eth8) auf ein MPLS-Gateway ins Rechenzentrum (Primärleitung) und unser WAN Interface (eth1) über die Telekom, über das wir eine Site-2-Site VPN Verbindung ins RZ vorbereitet haben. Im RZ haben wir der Vollständigkeit halber eine Fortigate Firewall stehen. 

Wir möchten gerne, dass die VPN dann aktiv wird, sobald die MPLS Verbindung ein Problem hat. Es ergeben sich insgesamt folgende Fragen:

  • Wie bringe ich der Sophos bei auf die VPN Strecke zu wechseln, wenn MPLS nicht mehr durchgängig ist.
  • Wie kann ich die Metric für das Routing des VPN Tunnel niedriger setzen, als die MPLS Line?(Hintergrund, sobald die VPN aktiv ist, schickt er den Traffic hier durch, was ungünstig ist)
  • Wie stelle ich sicher, dass die Sophos wieder auf MPLS zurück wechselt, wenn das wieder gesichert up ist?
  • Wie kann ich die Sophos am besten monitoren, wenn MPLS oder VPN down sind?

Gruß,
Bernd



This thread was automatically locked due to age.
  • 0

    Hallo Berd,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    You can do this with 'Uplink Monitoring' in 'Interfaces and Routing' and an IPsec tunnel.  Depending on how you are otherwise configured at present, this can be an easy or a difficult project.  

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Wir haben es jetzt wie folgt gelöst. Bei der Umsetzung gehen wir davon aus, dass die Routen sowohl im RZ, als auch lokal korrekt gesetzt sind. Primärstrecke ins RZ ist die Layer 2/3 Strecke (im Beispiel von M-Net). Sekundärstrecke soll über den lokalen Standort I-Net Breakout (im Beispiel Telekom) erfolgen.

    Unser Lösungsansatz:

    1. Notieren der Schnittstellen unter Networkprotection/NAT/Maskierung. Da sich diese im Verlauf durch die Konfig leider automatisch ändern, ist es wichtig diese VOR den Änderungen zu notieren.

    2. Vergabe einer Gateway-Adresse für die Schnittstelle ins RZ (Primärstrecke M-Net). Damit wird das Interface automatisch zum 2. WAN Interface.
    3. Durch die Änderung aktiviert sich der Uplink-Ausgleich automatisch. Die Reihenfolge hier ist erst Primärstrecke (M-Net), dann VPN Failover T-Com. Zusätzlich wurde die Checkbox bei automatische Überwachung entfernt und gezielt ein Host im Web und ein Host im RZ gesetzt. Diese Hosts versucht die Sophos dann immer zu kontaktieren. Sind beide nicht erreichbar, nutzt er die T-Com Schnittstelle in Verbindung mit einer Aktion der Uplink-Überwachung, die wir nachfolgend noch einrichten.
    4. Einrichten einer IPSec VPN Strecke ins RZ als Failover. Die Regel darf nicht aktiviert werden! Das soll später die Uplink-Überwachung regeln. 

    5. Damit der Internet-Traffic weiterhin lokal über die T-Com erfolgt, muss man den lokalen Internetverkehr über die T-Com Leitung über eine Multipath Regel erzwingen.
    6. Erstellen einer Regel in der Uplink Überwachung, um die Failover Leitung zu aktivieren, wenn die Primärleitung weg ist. Hier ist die vorhin erstellte VPN Strecke auszuwählen. Das Routing erfolgt automatisch über die Schnittstelle.



    7. WICHTIG. Unter NAT Maskierung wurden durch den Uplink-Ausgleich alle Regeln auf die Schnittstelle "Uplink-Interfaces" geändert. Dies muss wieder auf den lokalen Internet-Breakout in unserem Fall (T-Com) gesetzt werden, bzw. auf die Interfaces, die ihr unter Punkt 1 notiert habt.

    Mit den Maßnahmen haben wir jetzt ein sauber funktionierendes Failover, wenn die Standleitung mal weg ist. Ebenso kommt er auch wieder ordentlich zurück, wenn die Hauptleitung wieder da ist.

    Gruß,
    Bernd

  • 0 in reply to BAlfson

    Hallo Bob,

    vielen Dank für deinen Hinweis. Wir haben eine passende Lösung gefunden, die ich nachfolgend gerne zeige.

    Gruß,
    Bernd

Unfiltered HTML