Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-route-based-VPN-failover

Konfigurieren Sie ein routenbasiertes VPN-Failover mit zwei ISP-Verbindungen

Sie können ein Failover zwischen routenbasierten VPNs konfigurieren, die über zwei verschiedene Internetdienstanbieter (ISPs) erstellt wurden. Beispielsweise können Sie routenbasierte VPN-Tunnel zwischen den Firewalls Ihrer Zentrale (HO) und Ihrer Zweigstelle (BO) für ISP1 und ISP2 einrichten. Fällt ISP1 aus, wird der Datenverkehr automatisch auf ISP2 umgeleitet. Sobald ISP1 wieder verfügbar ist, wird der Datenverkehr wieder auf ISP1 zurückgeleitet.

Wichtige Schritte

Die wichtigsten Schritte sind folgende:

  1. Konfigurieren Sie die HO-Firewall wie folgt:

    1. Konfigurieren Sie die routenbasierten VPN-Verbindungen.
    2. Weisen Sie den XFRM-Schnittstellen IP-Adressen zu.
    3. Gateway-Hosts hinzufügen.
    4. Statische Routen hinzufügen.
    5. Routenpriorität festlegen.

  2. Konfigurieren Sie die BO-Firewall wie folgt:

    1. Konfigurieren Sie die routenbasierten VPN-Verbindungen.
    2. Weisen Sie den XFRM-Schnittstellen IP-Adressen zu.
    3. Gateway-Hosts hinzufügen.
    4. Füge statische Routen hinzu.
    5. Routenpriorität festlegen.

Alle Konfigurationsdetails sind Beispiele, die auf dem Netzwerk im folgenden Diagramm basieren:

Route-Based VPN with ISPs network diagram.

Firewall des Hauptsitzes

Konfigurieren Sie die routenbasierten VPN-Verbindungen

Um die routenbasierten VPN-Verbindungen zu konfigurieren, gehen Sie auf Ihrer HO-Firewall wie folgt vor:

  1. Erstellen Sie einen routenbasierten VPN-Tunnel zwischen Ihren HO- und BO-Firewalls für ISP1.

  2. Erstellen Sie einen routenbasierten VPN-Tunnel zwischen Ihren HO- und BO-Firewalls für ISP2.

Anweisungen zum Erstellen eines routenbasierten VPN-Tunnels finden Sie unter Erstellen Sie ein routenbasiertes VPN (beliebige zu beliebigen Subnetzen)..

Um Ihre konfigurierten VPN-Verbindungen anzuzeigen, gehen Sie zu Site-to-Site-VPN > IPsec.

Two ISP VPNs in HO.

XFRM-Schnittstellen IP-Adressen zuweisen

Sie müssen jeder XFRM-Schnittstelle eine IP-Adresse zuweisen, und zwar wie folgt:

  1. Gehe zu Netzwerk > Schnittstellen und erweitern Sie die WAN-Schnittstelle, die zum Herstellen der IPsec-Verbindung verwendet wird.

    Für die Tunnel werden automatisch XFRM-Schnittstellen erstellt. Beispielsweise können Sie sehen, dass die Schnittstellen xfrm1 und xfrm2 unter der WAN-Schnittstelle erstellt werden.

    XFRM interfaces for the VPN tunnels.

  2. Weisen Sie jeder XFRM-Schnittstelle eine IP-Adresse zu.

    Notiz

    Die unten aufgeführten Einstellungen sind Beispiele.

    1. Klicken Sie auf die xfrm1-Schnittstelle.
    2. Für IPv4/Netzmaske, eingeben 10.10.10.1 Und /24(255.255.255.0).
    3. Klicken Sie auf die xfrm2-Schnittstelle.
    4. Für IPv4/Netzmaske, eingeben 20.20.20.1 Und /24(255.255.255.0).

Gateway-Hosts hinzufügen

Fügen Sie für jede XFRM-Schnittstelle einen Gateway-Host hinzu.

  1. Fügen Sie einen Gateway-Host für die xfrm1-Schnittstelle wie folgt hinzu:

    1. Gehe zu Routing > Gateways und klicken Hinzufügen.
    2. In Schnittstelle, wählen Sie die xfrm1-Schnittstelle aus.
    3. Geben Sie die übrigen Gateway-Einstellungen entsprechend Ihrer Netzwerkkonfiguration an.

  2. Fügen Sie einen Gateway-Host für die xfrm2-Schnittstelle wie folgt hinzu:

    1. Gehe zu Routing > Gateways und klicken Hinzufügen.
    2. In Schnittstelle, wählen Sie die xfrm2-Schnittstelle aus.
    3. Geben Sie die übrigen Gateway-Einstellungen entsprechend Ihrer Netzwerkkonfiguration an.

Statische Routen hinzufügen

Fügen Sie zwei statische Routen mit demselben Ziel, aber unterschiedlichen ausgehenden XFRM-Schnittstellen und administrativen Distanzen hinzu. Je niedriger die administrative Distanz einer Route, desto höher ihre Priorität. Setzen Sie daher die administrative Distanz der zweiten Route höher als die der ersten. Dadurch wird sichergestellt, dass der Datenverkehr weiterhin über ISP1 fließt und nur dann auf ISP2 umgeleitet wird, wenn ISP1 ausfällt. Sobald ISP1 wieder verfügbar ist, wird der Datenverkehr wieder über ISP1 geleitet.

Um die statischen Routen hinzuzufügen, gehen Sie wie folgt vor:

Notiz

Die unten aufgeführten Einstellungen sind Beispiele.

  1. Fügen Sie die erste statische Route wie folgt hinzu:

    1. Gehe zu Routing > Statische Routen und klicken Hinzufügen.
    2. In Ziel-IP / Netzmaske, eingeben 192.168.10.0 Und /24 (255.255.255.0).
    3. In Tor, eingeben 10.10.10.2.
    4. In Schnittstelle, wählen Sie die xfrm1.
    5. In Administrative Distanz, eingeben 1.

  2. Fügen Sie die zweite statische Route wie folgt hinzu:

    1. Gehe zu Routing > Statische Routen und klicken Hinzufügen.
    2. In Ziel-IP / Netzmaske, eingeben 192.168.10.0 Und /24 (255.255.255.0).
    3. In Tor, eingeben 20.20.20.2.
    4. In Schnittstelle, wählen Sie die xfrm2.
    5. In Administrative Distanz, eingeben 2.

Routenpriorität festlegen

Sie müssen die Routenpriorität zuerst der statischen Route zuweisen. Dadurch wird sichergestellt, dass die statische Route sowohl gegenüber der VPN- als auch der SD-WAN-Route priorisiert wird.

Gehen Sie in der Befehlszeilenschnittstelle wie folgt vor:

  1. Eingeben 4 für Gerätekonsole.

  2. Um die Routenpriorität festzulegen static Geben Sie zunächst folgenden Befehl ein:

    system route_precedence set static vpn sdwan_policyroute

  3. Um die Routenpriorität zu überprüfen, geben Sie folgenden Befehl ein:

    system route_precedence show

Firewall der Zweigstelle

Konfigurieren Sie die routenbasierten VPN-Verbindungen

Um die routenbasierten VPN-Verbindungen zu konfigurieren, gehen Sie auf Ihrer BO-Firewall wie folgt vor:

  1. Erstellen Sie einen routenbasierten VPN-Tunnel zwischen Ihren HO- und BO-Firewalls für ISP1.

  2. Erstellen Sie einen routenbasierten VPN-Tunnel zwischen Ihren HO- und BO-Firewalls für ISP2.

Anweisungen zum Erstellen eines routenbasierten VPN-Tunnels finden Sie unter Erstellen Sie ein routenbasiertes VPN (beliebige zu beliebigen Subnetzen)..

Um Ihre konfigurierten VPN-Verbindungen anzuzeigen, gehen Sie zu Site-to-Site-VPN > IPsec.

Two ISP VPNs in BO.

Weisen Sie den XFRM-Schnittstellen IP-Adressen zu.

Sie müssen jeder XFRM-Schnittstelle eine IP-Adresse zuweisen, und zwar wie folgt:

  1. Gehe zu Netzwerk > Schnittstellen und erweitern Sie die WAN-Schnittstelle, die zum Herstellen der IPsec-Verbindung verwendet wird.

    Für die Tunnel werden automatisch XFRM-Schnittstellen erstellt. Beispielsweise können Sie sehen, dass die Schnittstellen xfrm1 und xfrm2 unter der WAN-Schnittstelle erstellt werden.

    XFRM interfaces for the VPN tunnels.

  2. Weisen Sie jeder XFRM-Schnittstelle eine IP-Adresse zu.

    Notiz

    Die unten aufgeführten Einstellungen sind Beispiele.

    1. Klicken Sie auf die xfrm1-Schnittstelle.
    2. Für IPv4/Netzmaske, eingeben 10.10.10.2 Und /24(255.255.255.0).
    3. Klicken Sie auf die xfrm2-Schnittstelle.
    4. Für IPv4/Netzmaske, eingeben 20.20.20.2 Und /24(255.255.255.0).

Gateway-Hosts hinzufügen

Fügen Sie für jede XFRM-Schnittstelle einen Gateway-Host hinzu.

  1. Fügen Sie einen Gateway-Host für die xfrm1-Schnittstelle wie folgt hinzu:

    1. Gehe zu Routing > Gateways und klicken Hinzufügen.
    2. In Schnittstelle, wählen Sie die xfrm1-Schnittstelle aus.
    3. Geben Sie die übrigen Gateway-Einstellungen entsprechend Ihrer Netzwerkkonfiguration an.

  2. Fügen Sie einen Gateway-Host für die xfrm2-Schnittstelle wie folgt hinzu:

    1. Gehe zu Routing > Gateways und klicken Hinzufügen.
    2. In Schnittstelle, wählen Sie die xfrm2-Schnittstelle aus.
    3. Geben Sie die übrigen Gateway-Einstellungen entsprechend Ihrer Netzwerkkonfiguration an.

Statische Routen hinzufügen

Fügen Sie zwei statische Routen mit demselben Ziel, aber unterschiedlicher ausgehender XFRM-Schnittstelle und unterschiedlicher administrativer Distanz hinzu. Je niedriger die administrative Distanz einer Route, desto höher ihre Priorität. Setzen Sie daher die administrative Distanz der zweiten Route höher als die der ersten. Dadurch wird sichergestellt, dass der Datenverkehr weiterhin über ISP1 fließt und nur dann auf ISP2 umgeleitet wird, wenn ISP1 ausfällt. Sobald ISP1 wieder verfügbar ist, wird der Datenverkehr wieder über ISP1 geleitet.

Um die statischen Routen hinzuzufügen, gehen Sie wie folgt vor:

Notiz

Die unten aufgeführten Einstellungen sind Beispiele.

  1. Fügen Sie die erste statische Route wie folgt hinzu:

    1. Gehe zu Routing > Statische Routen und klicken Hinzufügen.
    2. In Ziel-IP / Netzmaske, eingeben 172.16.16.0 Und /24 (255.255.255.0).
    3. In Tor, eingeben 10.10.10.1.
    4. In Schnittstelle, wählen Sie die xfrm1.
    5. In Administrative Distanz, eingeben 1.

  2. Fügen Sie die zweite statische Route wie folgt hinzu:

    1. Gehe zu Routing > Statische Routen und klicken Hinzufügen.
    2. In Ziel-IP / Netzmaske, eingeben 172.16.16.0 Und /24 (255.255.255.0).
    3. In Tor, eingeben 20.20.20.1.
    4. In Schnittstelle, wählen Sie die xfrm2.
    5. In Administrative Distanz, eingeben 2.

Routenpriorität festlegen

Sie müssen die Routenpriorität zuerst der statischen Route zuweisen. Dadurch wird sichergestellt, dass die statische Route sowohl gegenüber der VPN- als auch der SD-WAN-Route priorisiert wird.

Gehen Sie in der Befehlszeilenschnittstelle wie folgt vor:

  1. Eingeben 4 für Gerätekonsole.

  2. Um die Routenpriorität festzulegen static Geben Sie zunächst folgenden Befehl ein:

    system route_precedence set static vpn sdwan_policyroute

  3. Um die Routenpriorität zu überprüfen, geben Sie folgenden Befehl ein:

    system route_precedence show

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen