hier steht grundsätzlich die Frage im Raum ob ein IPSec Failover mit einem Nicht-Securepoint-Gerät als Gegenstelle möglich ist. Der Austausch der Gegenstelle gegen ein Securepointgerät ist nicht möglich. Es ist ein anderes Unternehmen, dass seine eigene Netz- und SicherheitsInfrastruktur hat.
NetzA
|
FW_A(Securepoint-Cluster)
|
Internet
|
FW_B(Hersteller: entweder Fortigate oder Sophos)
|
NetzB
Auf Seite A ist ein vom Netzanbieter redundanter Internetanschluss(Mit /28 Public IP-Netz dabei). Der bereitgestellte Router stellt auch bei Ausfall einer Leitung die IP-Adressen immer transparent zur Verfügung
Auf Seite B sind zwei verschiedene öffentliche IP-Adressen im Einsatz, die über verschiedene Internetleitungen geroutet werden.
Meine Fragen:
Ist ein Failover möglich? Wenn ja wie?
Wenn ich das Multisite-Beispiel im Wiki so richtig verstehe, dann könnte ich ja eigentlich eine eingehende IPSec-Verbindung auf der UTM(Seite A) erstellen, die jeweils von Seite B aus aufgebaut werden. Auf der UTM(Seite A) kann ich unter Remote Host den Wert Any remote station einstellen. Den Wert für Remote Host / Gateway ID könnte ich dann ja - gemäß Wiki Aussage bei Local Gateway ID("Es können aber auch Text-Strings verwendet werden wie zum Beispiel Butterbrot.") auf beiden Seiten auf einen beliebiges Wort setzen?
In Bezug zu 2. : Ist "Local Gateway ID" bzw. "Remote Gateway ID" ein standardisierter Parameter bei IPSec-Verbindungen? Falls nicht kann dieser Parameter bei einer Standard-IPSec-Verbindung irgendwie konfiguriert werden?
Ich würde für die Authentifizierung Zertifikate und möglichst IKEv2 verwenden ( Sophos SG kann soweit ich weiß noch kein IKEv2).
Momentan gibt es ein Problem mit der v12.2.1.1. Wenn nicht alle Felder in den Zertifikaten ausgefüllt sind, werden die aus den Zertifikaten generierten IDs nicht korrekt ausgewertet. In der v12.1.9 gab es diese Eigenart noch nicht. Hab deswegen ein Support-Ticket offen.
Die UTM auf Seite A sollte auf "Incoming" (Responder) stehen und in Phase 2 sollte "Neustart nach Abbruch" NICHT aktiviert werden.
Seite B sollte der Initiator sein und möglichst Phase 2 aktiv halten (evtl. alle 10 s einen Ping schicken).
ja IPSec bekommen Sie hin. Sie können es entweder über ein ANY Tunnel (beliebiges Remote Gateway) oder über eine Dyndns Adresse (wenn die Gegenstelle so etwas Unterstützt) verwenden.
Die IDs sind zusätzlicher Sicherheitspunkt. Die UTM erkennt den Unterschied zwischen IP, FQDN, E-Mailadresse oder Textfeld. Bei den anderen Herstellern ist es meistens aus wählbar.
@Franz das mit den Zertifikaten ist bekannt. Es liegt daran das entweder die Felder im Zertifikat nicht gefüllt sind oder falsch gefüllt sind. Beispiel: E-Mail ein - eingeben. Das Problem sollte mit der nächsten Version 12.2.1.2 behoben sein.