This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM Backup Uplink Interface

Hallo zusammen, 

ich habe unsere Sophos damals einrichten lassen, jedoch gibt es einige Punkte die ich gerne ändern möchte. 

Ich habe eine Sophos UTM SG115 und bisher nur ein WAN Interface über die Deutsche Glasfaser. Leider kommt es immer wieder zu Ausfällen und daher kam die Idee einen LTE Router als Backup Interface einzurichten. Die Glasfaserleitung erhalten wir zudem über ein Nachbarunternehmen von uns, da an unserem Standort kein Glasfaser oder DSL verfügbar ist. 

Grundsätzlich soll primär das WAN Interface genutzt werden, da ich für LTE keine feste öffentliche IP bekommen. Wenn ich jedoch beide Interfaces aktiviere, läuft der Internettraffic leider immer über das Backup Interface und nicht über das WAN Interface. Dies ist auch der Fall, wenn ich das Backup Interface als Standy im Uplink Balancing setze. 

Zudem bekomme ich keine VPN Verbindung hergestellt, wenn das Backup Interface aktiv ist. Im Remote Access unter Interfaces ist das WAN Interface hinterlegt. Der FQDN für VPN zeigt auf die öffentliche IP des WAN Interfaces. Die Domäne liegt bei Strato und dort könnte ich auch DynDNS nutzen. 

Dazu habe ich nun 2 Fragen: 

1. Wie kann ich sicherstellen, dass das Backup Interface nur bei Ausfall des WAN Interfaces aktiv wird?

2. Bekomme ich es hin, dass VPN sich immer mit dem jeweilig aktiven Interface verbindet? 

Vielen Dank

Marius


 



This thread was automatically locked due to age.
Parents
  • Hallo Marius,

    Zu deinen Fragen:

    1. Da sollte kein Problem sein, wenn das Interface tatsächlich als "Standby" definiert ist. Ist denn das Uplink Monitoring aktiv? Vielleicht "wackelt" die Leitung zu häufig?

    Eventuell hilft es, das Timeout im Monitoring zu verlängern. Dazu muss man "Automatic Monitoring" abschalten und das manuell definieren.

    2. Welches VPN-Protokoll verwendet ihr?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hi Philipp, 

    das kann gut sein, ich bekomme ab und zu Meldungen, dass das Interface "down" ist, jedoch funktioniert alles gut. Du meinst im Balancing das Timeout auf z.B. 30 min? Das wäre eine Idee, teste ich gerne. Wie würdest du die Gewichtung setzen? 

    Wir verwenden Remote Access SSL VPN.

    Viele Grüße

    Marius

  • Hallo Marius,

    wenn du im Normalbetrieb nicht willst, dass die LTE-Leitung genutzt wird, dann 100:1.

    Beim Timeout mal mit 5 Minuten anfangen. Dann erst steigern.

    Zum VPN: In der *.ovpn Datei für die Client-Konfiguration steht die IP der WAN-Schnittstelle der UTM.

    Generell kann man hier zusätzlich den zweiten WAN-Uplink eintragen und der VPN-Client nimmt der Reihe nach Kontakt auf, bis er eine Verbindung aufbauen kann.

    Dein Problem ist aber, dass dein LTE-Anschluss keine feste IP besitzt.

    Da musst du dir mit DDNS behelfen und dann in der .ovpn Datei die FQDN Namen anstelle der IP eintragen.

    Zu den verfügbaren Anbietern siehe hier:

    https://www.df.eu/blog/was-ist-dyndns-dynamisches-dns/?gclid=EAIaIQobChMI2P-tlYjT-wIVCoKDBx3uAAJEEAAYAiAAEgLlD_D_BwE

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • Hallo Marius,

    wenn du im Normalbetrieb nicht willst, dass die LTE-Leitung genutzt wird, dann 100:1.

    Beim Timeout mal mit 5 Minuten anfangen. Dann erst steigern.

    Zum VPN: In der *.ovpn Datei für die Client-Konfiguration steht die IP der WAN-Schnittstelle der UTM.

    Generell kann man hier zusätzlich den zweiten WAN-Uplink eintragen und der VPN-Client nimmt der Reihe nach Kontakt auf, bis er eine Verbindung aufbauen kann.

    Dein Problem ist aber, dass dein LTE-Anschluss keine feste IP besitzt.

    Da musst du dir mit DDNS behelfen und dann in der .ovpn Datei die FQDN Namen anstelle der IP eintragen.

    Zu den verfügbaren Anbietern siehe hier:

    https://www.df.eu/blog/was-ist-dyndns-dynamisches-dns/?gclid=EAIaIQobChMI2P-tlYjT-wIVCoKDBx3uAAJEEAAYAiAAEgLlD_D_BwE

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
  • Vielen Dank für die schnellen Antworten. Ich werde dies am Wochenende testen und Bescheid geben, wie ich es gelöst habe. 

  • Kurzes Update: 
    Die Backupleitung funktioniert jetzt sehr gut. Ich habe über das Uplink Interface die WAN auf 100 und die Backup auf 10 gestellt. Ein kleines Problem habe ich noch bzgl. VPN, da die IP des LTE-Anschlusses nicht extern erreichbar ist. Das kläre ich aber zurzeit mit der Telekom. 

    Vielen Dank nochmal für die Hilfe!

  • Hallo Marius,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    In general, I prefer to keep both interfaces in 'Active' and use a Multipath Rule binding Any-Any-Any to the primary interface.  That makes failover instantaneous and the weights don't matter.

    You might be interested in UTM: best practice for uplink balancing and multipath rules.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo zusammen, 

    ich habe nun alles erfolgreich aufbauen können. 

    Die Backupleitung funktioniert nun wie gewünscht. Springt automatisch ein und auch VPN ist darüber möglich. 

    Kurz zur Lösung:

    Internetzugänge:

    - WAN über Glasfaser mit einer festen IP

    - Backup über Telekom LTE (öffentliche Dynamische IP) 

    - DynDNS über Strato eingerichtet und auf der Sophos hinterlegt

    Interface Uplink Balancing

    - WAN 100%

    - Backup 10% 

    Automatic Monitoring deaktiviert und entsprechende einträge für das Monitoring gesetzt.