Hinzufügen einer Failovergruppe
Eine Failover-Gruppe ist eine Folge von IPsec-Verbindungen. Fällt die primäre Verbindung aus, übernimmt automatisch die nächste aktive Verbindung in der Gruppe.
Mitglieder einer Failover-Gruppe:
- Eine Verbindung kann nur Mitglied einer Gruppe sein.
- Nur aktive Verbindungen nehmen am Failover teil.
- Sie können keine Verbindungen löschen, wenn sie Teil einer Failover-Gruppe sind.
- Remotezugriffsverbindungen können nicht Teil einer Failover-Gruppe sein.
So funktionieren Verbindungen und Einstellungen:
- Hergestellte Verbindungen werden getrennt, wenn Sie sie zu einer Failover-Gruppe hinzufügen.
- Sobald eine Verbindung zu einer Failover-Gruppe hinzugefügt wird, wird die Dead-Peer-Erkennung deaktiviert und die Anzahl der Schlüsselverhandlungsversuche im entsprechenden IPsec-Profil auf 3 gesetzt. Die Sophos Firewall nutzt die Failover-Bedingung, um zu prüfen, ob das Remote-Netzwerk verfügbar ist.
- Sobald eine Verbindung aus der Gruppe entfernt wird, verwendet die Sophos Firewall die in der entsprechenden Richtlinie angegebenen Dead-Peer-Erkennungs- und Schlüsselverhandlungsversuche.
Um eine Failover-Gruppe hinzuzufügen, gehen Sie wie folgt vor:
- Gehe zu Site-to-Site-VPN > IPsec.
- Scrollen Sie zu Failover-Gruppe und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen ein.
-
Wählen Sie mindestens zwei Verbindungen aus. Fällt die primäre Verbindung aus, übernimmt automatisch die nächste aktive Verbindung in der Gruppe.
Notiz
Die IP-Adresse der Remote-ID muss für alle Verbindungen in der Gruppe gleich sein.
-
Wählen E-Mail-Benachrichtigung um Benachrichtigungen über Verbindungsfehler zu erhalten.
-
Wählen Automatisches Failback um automatisch auf die primäre IPsec-Verbindung zurückzugreifen, wenn diese wiederhergestellt wird.
Die Sophos Firewall prüft den Zustand des Remote-Gateways basierend auf der Failover-Bedingung, die Sie für die Gruppe festlegen. Die Integritätsprüfung wird in dem von Ihnen festgelegten Intervall durchgeführt. Gateway-Failover-Timeout An Netzwerk > WAN-Link-Manager.
Sobald das Remote-Gateway wieder aktiv ist, versucht die Sophos Firewall, die primäre IPsec-Verbindung wiederherzustellen. Dies geschieht bis zu fünfmal. Gelingt die Wiederherstellung nicht, verwendet sie weiterhin die sekundäre Verbindung und prüft die primäre Verbindung nicht erneut auf ein automatisches Failback. Nur wenn das Remote-Gateway der sekundären Verbindung ausfällt, wird auf die primäre Verbindung zurückgegriffen. Um die primäre Verbindung manuell wiederherzustellen, öffnen Sie die Liste der Failover-Gruppen und klicken Sie auf die Statusschaltfläche der Gruppe. Dies führt zu Ausfallzeiten.
-
Geben Sie die Failover-Bedingung an.
Die Firewall betrachtet eine Verbindung als fehlgeschlagen, wenn die Failover-Bedingung erfüllt ist. Abhängig von Ihrer Auswahl müssen Sie auf beiden Firewalls den Zugriff auf eine der folgenden Optionen zulassen:
- Ping: Erlauben Ping/Ping6 über die WAN-Zone auf Verwaltung > Gerätezugriff.
- TCP-Port 22: Erlauben SSH über die VPN-Zone auf Verwaltung > GerätezugriffAus Sicherheitsgründen empfehlen wir, den WAN-Zugriff nicht über SSH zuzulassen.
- TCP über andere Ports: Erstellen Sie eine Firewall-Regel, um eingehende und ausgehende Pakete zuzulassen.
-
Klicken Speichern.
Klicken Sie auf die Statusschaltfläche, um die Gruppe zu aktivieren und die primäre Verbindung herzustellen.