Fallback

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
mkoehling
Beiträge: 69
Registriert: Di 29.11.2011, 16:55

Fallback

Beitrag von mkoehling »

Hallo!

Einer unserer Kunden hat seit kurzem ein "Ethernet Private Network", über das drei Standorte verbunden werden.
Zur Erläuterung: das E-PN verbindet die Standorte auf Layer-2-(MAC-)Ebene - die drei angeschlossenen Knoten sind (logisch) im selben LAN.

Der Kunde möchte die Verbindung der drei Netz zusätzlich über VPNs absichern (das E-PN ist dann nur Transfernetz); das wäre ja grundsätzlich mit drei Securepoints möglich - allerdings soll beim Ausfall des E-PNs ein Fallback auf zusätzlich vorhandene Internetleitungen stattfinden, und ich sehe keine Möglichkeit, das mit der aktuellen Software zu realisieren.

Die Funktion "Fallback Interface" macht (soweit ich das verstehe) ja folgendes:
- alle Zonen werden vom Default-Interface auf da Fallback-Interface umgelegt
- alle Adressobjekte, die das Default-Interface referenzieren, werden auf das Fallback-Interface umgebogen
- die Defaultroute wird entsprechend umgesetzt
- die Paketfilterregeln werden aktualisiert
- diverse Dienste (VPN,...) werden neu gestartet
Soweit richtig?

Das dürfte aber in diesem Fall nicht ganz reichen - das "Transfernetz" hat/benötigt ja keine Defaultroute, und außerdem sind die Adressen der VPN-Endpunkte im "Transfernetz" und im Internet natürlich unterschiedlich...

Gibt's da vielleicht doch eine Lösung, oder muss ich (nach langer Zeit mal wieder) eine eigene Linux-Firewall stricken? :-)

(By the way: OpenVPN unterstützt im Client-Modus pro Tunnel beliebig viele redundante Server-Adressen - die werden dann solange durchprobiert, bis einer von ihnen antwortet; allerdings scheint dies derzeit vom GUI nicht unterstützt zu werden - gibt es da vielleicht eine Möglichkeit per CLI? Selbst das wäre aber wohl nur eine Teillösung...)

Gruß
Martin

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

Sie können es einmal mit IPSec (Transfernetz) und SSL-VPN über die default Route aufbauen. Beim IPSec müssen Sie mit Route Over arbeiten. Hier wird dann die Ziel IP angegeben. IPSec greift vor SSL-VPN.

Bzgl. Openvpn meinen Sie hier die Site-to-Site Funktion oder den Roadwarrior. Bei Site-to-Site können Sie mit "," getrennt die Unterschiedlichen IPs/FQDN angeben.

Gruß Björn

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

das mit dem SSL-VPN parallel zu IPSEC habe ich bei einem Kunden aufgebaut, funktioniert eigentlich sehr gut und kann ich so empfehlen (da ist der Aufbau ähnlich, das "IPSEC-Netz" ist ein Netz mit 4 Standorten über Richtfunk Antennen)

mkoehling
Beiträge: 69
Registriert: Di 29.11.2011, 16:55

Beitrag von mkoehling »

Bjoern hat geschrieben: Sie können es einmal mit IPSec (Transfernetz) und SSL-VPN über die default Route aufbauen. Beim IPSec müssen Sie mit Route Over arbeiten. Hier wird dann die Ziel IP angegeben. IPSec greift vor SSL-VPN
Oh - danke für den Tip.
Es müsste dann eigentlich reichen, IPSec-DPD zu aktivieren, um ein automatisches Fallback (in beide Richtungen) zu erreichen, oder?
(Umpf, doppelte VPN-Konfiguration, und doppelte Paketfilter-Regeln... :-()
Bjoern hat geschrieben:Bzgl. Openvpn meinen Sie hier die Site-to-Site Funktion oder den Roadwarrior. Bei Site-to-Site können Sie mit "," getrennt die Unterschiedlichen IPs/FQDN angeben.
Ich meinte "Site-to-Site Client"; ich hab' mich hier wohl von der  Onlinehilfe verwirren lassen:
    Remote Host(s):
        Geben Sie hier die IP-Adresse oder den Hostnamen der Gegenstelle ein.
In der Erläuterung ist nur von einer Adresse die Rede - das Plural-S habe ich wohl übersehen...

Danke!

MfG
Martin

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ja es würde DPD reichen. Doppelte Regeln kann sein muss aber nicht. Wenn beide Seiten im IPSec voll Zugriff haben reichen die "impliziten Regeln" zu aktivieren wenn diese nicht schon sind.
Ich meinte "Site-to-Site Client"; ich hab' mich hier wohl von der  Onlinehilfe verwirren lassen:    Remote Host(s):        Geben Sie hier die IP-Adresse oder den Hostnamen der Gegenstelle ein.

In der Erläuterung ist nur von einer Adresse die Rede - das Plural-S habe ich wohl übersehen...
Wir werden es ändern damit keine Missverständnisse mehr auftreten.

Antworten