Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial

Hier ein kleines Tutorial wie man mehrfache IPsec Tunnel einrichtet und den Traffic über diese Leitungen verteilt. Dazu habe ich mir eine kleine virtuelle Umgebung aufgebaut. In einer solchen Dev-Umgebung sollte man immer einen Router nutzen um das „Internet“ auch wirklich richtig zu simulieren. Hierzu eignet sich am besten eine kleine Linux-VM mit mehreren Interfaces die IP Forwarding aktiviert hat. Es kommen zwei aktuelle Sophos UTM 9.1 und zwei Win7 als Clients zum Einsatz. Eine der UTMs läuft als Cluster für Tests mit aktuellen Updates.

Hier eine Übersicht meiner Umgebung:
Sophos_Multi_VMs        Sophos_Multi_VMs2

Nun definieren wir auf den beiden UTMs jeweils zwei WAN und die internen Interfaces:
Sophos_Multi_Netzconfig_1Sophos_Multi_Netzconfig_2

Als nächstes wird eine Interface Group mit den beiden lokalen WAN Interfaces angelegt:
Sophos_Multi_GRP_Interface Sophos_Multi_GRP_Interface2

Jetzt definieren wir unsere beiden IPsec Verbindungen (deren Einrichtung setze ich voraus und spare mir die Screenshots). Von Sophos 1 WAN1 zu Sophos 2 WAN3 und Sophos 1 WAN2 zu Sophos 2 WAN4:
Sophos_Multi_IPsec_1   Sophos_Multi_IPsec_2

Es dürfen keine Routen zu den Remote Netzwerken gesetzt werden. Mit gesetzten Routen wird es einen Fehler geben und nur eine Verbindung kommt zustande:
Sophos_Multi_IPsec_5_error
Sophos_Multi_IPsec_6_route

Daher nutzen wir in der VPN Definition die Option „Bind Tunnel to local Interface“:
Sophos_Multi_IPsec_3

Jetzt wird keine Route gesetzt und beide VPN Tunnel sind aktiv:
Sophos_Multi_IPsec_7_route
Sophos_Multi_IPsec_4

Nun können wir die „Multipath Rules“ festlegen. Durch diese Regeln wird der Traffic über beide WAN Interfaces in die Tunnel verteilt:
Sophos_Multi_MultipathRule_1

Sophos_Multi_MultipathRule_2

Damit die Interfaces auch wirklich überwacht werden und diese Regeln greifen können, müßen die WAN Interfaces ins „Uplink Balancing“ aufgenommen werden:
Sophos_Multi_GRP_Interface_Uplink

Zur Kontrolle senden wir ICMP Pakete und simulieren den Ausfall eines WAN Links (z.B. durch „ifconfig eth1 down“ auf dem Linux-Router). Der Failover kann schon mal einige Zeit dauern. Ruhe bewahren – Schock bekämpfen:
Sophos_Multi_Failover_Ping
Funktioniert aber!

Hier sieht man wie der Traffic über den ersten VPN Tunnel gesendet wird:
Sophos_Multi_Failover_Weg1

Nach dem Failover wird der zweite Tunnel genutzt:
Sophos_Multi_Failover_Weg2

2 Gedanken zu „Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial

  1. Bob Alfson

    Sehr elegant, Michael. Ich meine daß ‚Weight‘ sollte 100-100 sein – oder?

    Der große Vorteil deiner Lösung statt Uplink Monitoring ist dass die Failover sofort geschieht . Genie!

    MfG – Bob
    (BAlfson auf Sophos UTM User BB)

  2. Pingback: Undocumented IPSec failover over Internet - Sophos User Bulletin Board

Schreibe einen Kommentar