VPN Failover für MPLS Strecke (Sophos SG)

Question

Hallo zusammen, 
 wir ben&ouml;tigen einen VPN Failover als Absicherung einer Prim&auml;rverbindung vom Hauptstandort ins Rechenzentrum. Am Hauptstandort haben wir eine Sophos SG mit einem Interface (eth8) auf ein MPLS-Gateway ins Rechenzentrum (Prim&auml;rleitung) und unser WAN Interface (eth1) &uuml;ber die Telekom, &uuml;ber das wir eine Site-2-Site VPN Verbindung ins RZ vorbereitet haben. Im RZ haben wir der Vollst&auml;ndigkeit halber eine Fortigate Firewall stehen. 
 Wir m&ouml;chten gerne, dass die VPN dann aktiv wird, sobald die MPLS Verbindung ein Problem hat. Es ergeben sich insgesamt folgende Fragen: 
 
 Wie bringe ich der Sophos bei auf die VPN Strecke zu wechseln, wenn MPLS nicht mehr durchg&auml;ngig ist. 
 Wie kann ich die Metric f&uuml;r das Routing des VPN Tunnel niedriger setzen, als die MPLS Line? (Hintergrund, sobald die VPN aktiv ist, schickt er den Traffic hier durch, was ung&uuml;nstig ist) 
 Wie stelle ich sicher, dass die Sophos wieder auf MPLS zur&uuml;ck wechselt, wenn das wieder gesichert up ist? 
 Wie kann ich die Sophos am besten monitoren, wenn MPLS oder VPN down sind?

Gru&szlig;, Bernd

Bernhard Schlögel · Answer

Wir haben es jetzt wie folgt gel&ouml;st. Bei der Umsetzung gehen wir davon aus, dass die Routen sowohl im RZ, als auch lokal korrekt gesetzt sind. Prim&auml;rstrecke ins RZ ist die Layer 2/3 Strecke (im Beispiel von M-Net). Sekund&auml;rstrecke soll &uuml;ber den lokalen Standort I-Net Breakout (im Beispiel Telekom) erfolgen. 
 Unser L&ouml;sungsansatz: 
 
 Notieren der Schnittstellen unter Networkprotection/NAT/Maskierung. Da sich diese im Verlauf durch die Konfig leider automatisch &auml;ndern, ist es wichtig diese VOR den &Auml;nderungen zu notieren. 
 Vergabe einer Gateway-Adresse f&uuml;r die Schnittstelle ins RZ (Prim&auml;rstrecke M-Net). Damit wird das Interface automatisch zum 2. WAN Interface. 
 Durch die &Auml;nderung aktiviert sich der Uplink-Ausgleich automatisch. Die Reihenfolge hier ist erst Prim&auml;rstrecke (M-Net), dann VPN Failover T-Com. Zus&auml;tzlich wurde die Checkbox bei automatische &Uuml;berwachung entfernt und gezielt ein Host im Web und ein Host im RZ gesetzt. Diese Hosts versucht die Sophos dann immer zu kontaktieren. Sind beide nicht erreichbar, nutzt er die T-Com Schnittstelle in Verbindung mit einer Aktion der Uplink-&Uuml;berwachung, die wir nachfolgend noch einrichten. 
 Einrichten einer IPSec VPN Strecke ins RZ als Failover. Die Regel darf nicht aktiviert werden! Das soll sp&auml;ter die Uplink-&Uuml;berwachung regeln. 
 Damit der Internet-Traffic weiterhin lokal &uuml;ber die T-Com erfolgt, muss man den lokalen Internetverkehr &uuml;ber die T-Com Leitung &uuml;ber eine Multipath Regel erzwingen. 
 Erstellen einer Regel in der Uplink &Uuml;berwachung, um die Failover Leitung zu aktivieren, wenn die Prim&auml;rleitung weg ist. Hier ist die vorhin erstellte VPN Strecke auszuw&auml;hlen. Das Routing erfolgt automatisch &uuml;ber die Schnittstelle. 
 WICHTIG. Unter NAT Maskierung wurden durch den Uplink-Ausgleich alle Regeln auf die Schnittstelle "Uplink-Interfaces" ge&auml;ndert. Dies muss wieder auf den lokalen Internet-Breakout in unserem Fall (T-Com) gesetzt werden, bzw. auf die Interfaces, die ihr unter Punkt 1 notiert habt. 
 
 Mit den Ma&szlig;nahmen haben wir jetzt ein sauber funktionierendes Failover, wenn die Standleitung mal weg ist. Ebenso kommt er auch wieder ordentlich zur&uuml;ck, wenn die Hauptleitung wieder da ist. 
 Gru&szlig;, Bernd