Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-IPsec-add-failover-group

Fügen Sie eine Failovergruppe hinzu.

Eine Failovergruppe ist eine Abfolge von IPsec-Verbindungen. Wenn die primäre Verbindung ausfällt, übernimmt automatisch die nächste aktive Verbindung in der Gruppe.

Mitglieder einer Ausfallgruppe:

  • Eine Verbindung kann nur Mitglied einer einzigen Gruppe sein.
  • Nur aktive Verbindungen nehmen am Failover teil.
  • Verbindungen, die Teil einer Failovergruppe sind, können nicht gelöscht werden.
  • Remotezugriffsverbindungen können nicht Teil einer Failovergruppe sein.

So funktionieren Verbindungen und Einstellungen:

  • Bestehende Verbindungen werden getrennt, wenn Sie sie einer Failovergruppe hinzufügen.
  • Sobald eine Verbindung einer Failovergruppe hinzugefügt wird, wird die Erkennung ausgefallener Peers deaktiviert und die Anzahl der Schlüsselverhandlungsversuche im entsprechenden IPsec-Profil auf 3 gesetzt. Die Sophos Firewall verwendet die Failoverbedingung, um zu prüfen, ob das Remote-Netzwerk verfügbar ist.
  • Sobald eine Verbindung aus der Gruppe entfernt wird, verwendet die Sophos Firewall die in der entsprechenden Richtlinie festgelegten Funktionen zur Erkennung inaktiver Peers und zur Schlüsselverhandlung.

Um eine Failovergruppe hinzuzufügen, gehen Sie wie folgt vor:

  1. Gehe zu Site-to-Site-VPN > IPsec.
  2. Scrollen Sie zu Failovergruppe und klicken Hinzufügen.
  3. Geben Sie einen Namen ein.

  4. Wählen Sie mindestens zwei Verbindungen aus. Falls die primäre Verbindung ausfällt, übernimmt automatisch die nächste aktive Verbindung in der Gruppe.

    Notiz

    Die IP-Adresse der Remote-ID muss für alle Verbindungen in der Gruppe gleich sein.

  5. Wählen E-Mail-Benachrichtigung um Benachrichtigungen über Verbindungsfehler zu erhalten.

  6. Wählen Automatisches Failback automatisch auf die primäre IPsec-Verbindung zurückzugreifen, sobald diese wiederhergestellt ist.

    Die Sophos Firewall überprüft den Zustand des Remote-Gateways anhand der von Ihnen für die Gruppe festgelegten Failover-Bedingung. Die Zustandsprüfung wird in dem von Ihnen festgelegten Intervall durchgeführt. Gateway-Failover-Timeout An Netzwerk > WAN-Verbindungsmanager.

    Sobald das Remote-Gateway wieder verfügbar ist, versucht die Sophos Firewall, die primäre IPsec-Verbindung wiederherzustellen und wiederholt dies bis zu fünfmal. Gelingt dies nicht, wird weiterhin die sekundäre Verbindung verwendet, und die primäre Verbindung wird nicht erneut auf automatisches Failback überprüft. Ein Failback auf die primäre Verbindung erfolgt nur, wenn das Remote-Gateway der sekundären Verbindung ausfällt. Um die primäre Verbindung manuell wiederherzustellen, rufen Sie die Failover-Gruppenliste auf und deaktivieren Sie den Status der Gruppe. Anschließend aktivieren Sie ihn wieder. Dies führt zu einer kurzen Ausfallzeit.

  7. Legen Sie die Ausfallbedingung fest.

    Die Firewall betrachtet eine Verbindung als fehlgeschlagen, wenn die Failover-Bedingung erfüllt ist. Abhängig von Ihrer Auswahl müssen Sie auf beiden Firewalls den Zugriff auf eine der folgenden Ressourcen erlauben:

    • Ping: Erlauben Ping/Ping6 über die WAN-Zone auf Verwaltung > Gerätezugriff.
    • TCP-Port 22: Zulassen SSH über die VPN-Zone auf Verwaltung > Gerätezugriff: Aus Sicherheitsgründen empfehlen wir, den WAN-Zugriff über SSH nicht zuzulassen.
    • TCP über andere Ports: Erstellen Sie eine Firewall-Regel, um eingehende und ausgehende Pakete zuzulassen.

  8. Klicken Speichern.

Klicken Sie auf die Statusschaltfläche, um die Gruppe zu aktivieren und die primäre Verbindung herzustellen.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen