Hallo Support,
habe heute ein etwas komplizierteres Problem, worüber ich mir die ganze Zeit den Kopf zerbreche. Erstmal zur Situation:
Ein Kunde hat 4 Standorte (jeweils mit SP Firewall, alle per IPSec mit der "Zentrale" vernetzt).
Standort 1 hat nur sehr sehr schlechtes Internet, befindet sich aber in Sichtweiter zur Zentrale. Deswegen habe ich jetzt mal mit einer WLAN Richtfunkstrecke getestet und das läuft super sauber und schnell mit effektiven 100 Mbit Durchsatz.
Das würde ich dann gerne Produktiv einsetzen, jedoch mit einer gewissen Redundanz über die vorhandene Internetleitung, da ja Wlan auch mal schnell Probleme macht.
Die Antennen arbeiten als reine transparente Bridge, also ohne Routing oder ähnliches.
Durch die Redundanz die ich will, gibt es eigentlich nur die Möglichkeit dies über die FW zu steuern und wahrscheinlich einen Tunnel über die Wlan Verbindung laufen zu lassen.
Was habe ich für Möglichkeiten? Habe schon wegen Fallback IF in der 11er überlegt, weil durch den Ping den ich da einstellen kann (da könnte ich jeweils die gegenüber Seite anpingen lassen) weiß die FW wenigstens das der Link down ist.
Allerdings ist mir nicht ganz klar wie sich in der 11 das mit VPN und Fallback zusammen verhält...
Also muss ich wohl 2 Redundante VPN Tunnel aufbauen (einmal via Wlan, einmal via xDSL). Wie kann ich sowas realisieren? Da bei redundanten VPN Tunneln sicher nicht 2x IPSec genommen werden kann, sondern wahrscheinlich einmal IPSec und einmal openvpn, müsste openvpn in dem Fall über Wlan laufen und bevorzugt werden, da in der Zentrale ja noch weitere IPSec VPNs von anderen Außenstellen "ankommen" und somit die ipsec Zone ja auf dem INTERNET Interface bleiben muss.... richtig?
Ich hoffe auf ein paar Gedankenstützen und eure Hilfe :-)
Redundante Verbindung?!?
Moderator: Securepoint
Es spricht generell nichts dagegen, parallel einen IPSec und einen Openvpn-Tunnel zwischen den gleichen Netzen aufzubauen. Solange der IPSec-Tunnel aktiv ist, wird dieser verwendet - der Openvpn-Tunnel ist also zwangsläufig immer das Fallback.
Sie können problemlos auf mehreren unterschiedlichen Interfaces IPSec-Verbindungen terminieren. Dazu müssen Sie nur eine neue Zone anlegen: "vpn-ipsec2" und diese auf das zweite Interface binden.
Ab da unterscheidet sich die Konfiguration nicht mehr vom Multipath-Routing.
Sie können problemlos auf mehreren unterschiedlichen Interfaces IPSec-Verbindungen terminieren. Dazu müssen Sie nur eine neue Zone anlegen: "vpn-ipsec2" und diese auf das zweite Interface binden.
Ab da unterscheidet sich die Konfiguration nicht mehr vom Multipath-Routing.
Zum SSL-Tunnel:
Eine der beiden Maschinen wird in den Client-Modus geschaltet werden müssen. Auf diese Maschine sind dann keine Roadwarrior-Verbindungen mit Openvpn möglich.
Zum IPSec-Tunnel:
Da füllen Sie das Feld "Route über" mit der externen IP der gegenüberliegenden Seite aus (wenn ich Sie richtig verstanden habe und beide Interfaces im gleichen Subnetz hängen).
Eine der beiden Maschinen wird in den Client-Modus geschaltet werden müssen. Auf diese Maschine sind dann keine Roadwarrior-Verbindungen mit Openvpn möglich.
Zum IPSec-Tunnel:
Da füllen Sie das Feld "Route über" mit der externen IP der gegenüberliegenden Seite aus (wenn ich Sie richtig verstanden habe und beide Interfaces im gleichen Subnetz hängen).
wegen dem SSL Tunnel ist mir klar, kein Problem.
Wegen der ipsec Sache... ja beide Interfaces würden dann im gleichen Transfer-Wlan-Netz hängen... das route über und dann den eintrag der gegenstelle statt eines routers (den ich ja nicht habe in dem fall) soll bewirken das er den tunnel auch über dieses entsprechende interface aufbaut richtig?
Wegen der ipsec Sache... ja beide Interfaces würden dann im gleichen Transfer-Wlan-Netz hängen... das route über und dann den eintrag der gegenstelle statt eines routers (den ich ja nicht habe in dem fall) soll bewirken das er den tunnel auch über dieses entsprechende interface aufbaut richtig?