In diesem Testaufbau geht es darum, zwei Standorte mit mehreren Internetprovidern redundant über VPN zu verbinden. Hat man mehrere interne Netzwerke an den Standorten und will nicht jedesmal die IPSec SA’s anlegen und pflegen, bietet sich IPSec im Transportmode und dazu ein GRE Tunnel an. Dieser GRE Tunnel kann auf der Sophos UTM als „L2 Device“ für das OSPF Routing ausgewählt werden. Sophos nennt das ganze statt GRE ein „RED“ (Remote Ethernet Device). In meinem Testszenario habe ich an jedem Standort zwei Internetprovider simuliert. Dazu nimmt am einfach ein Linuxsystem und richtet darauf mehrere Ethernetschnittstellen in verschiedenen VLANs ein. Da der ganze Test auf einem VMware vSphere System abgebildet wird, war das Bereitstellen der Sophos UTM, der Clients und des Routers ohne größeren Aufwand möglich:
     
Folgender schematischer Aufbau liegt der Simulation zugrunde:

Ich beginne mit dem Anlegen und konfigurieren der RED Tunnel und des OSPF. Die grundsätzlichen Einstellungen und Inbetriebnahme der UTM und des Linuxrouters werde ich hier nicht erläutern. Dieser Artikel ist nicht für Einsteiger gedacht 🙂 Wir steigen direkt nach dem Grundsetup ein. Als erstes definieren wir die WAN Zugänge:

und legen das Uplink Balancing an:

Nun werden die RED Tunnel aktiviert und definiert. Sophos 1 nehmen wir als Server:

Anschliessend die Provisioning Files downloaden und auf Sophos 2 als Client anlegen:

Für jeden RED Client nehmen wir einen Internetprovider (WAN1 und WAN2) des RED Servers als Zielhost. Wenn man dieses Setup nun aktiviert passiert folgendes:

Die Verbindung zum RED Server (Sophos 1) wird über den ersten Internetprovider im Uplink Balancing hergestellt! Das müssen wir mit einer Multipath-Rule auf dem RED Client verhindern!
    
Wichtig ist dabei die Option „Skip Rule on Interface Error“, denn sonst wird der ausgefallene Tunnel durch das Uplink Balancing wieder über den verbleibenden Provider aufgebaut und wir erreichen nach einem Ausfall einer Leitung wieder den Zustand, dass beide RED Tunnel über einen Provider aufgebaut werden. Durch das strikte Zuweisen der Pfade von RED Tunnel  1 über WAN3 und RED Tunnel 2 über WAN4 wird dieses verhindert. Nun sollte das ganze so aussehen:

Wenn die Tunnel angelegt sind, können wir die dazugehörigen Interfaces in der Sophos UTM anlegen (interfaces & Routing). Als „Hardware“ wählen wir reds1 und reds2 aus. Diese Interfaces werden vom System wie normale Netzwerkkarten behandelt:


Nun haben wir Interfaces die wir beim Einrichten von OSPF zuweisen können:

Im OSPF legen wir eine „Backbone“ Area 0.0.0.0 an. In einer richtigen integration muss man hier natürlich eine andere Zone wählen sofern man OSPF schon im Einsatz hat. Die internen Schnittstellen und die RED Interfaces müssen im OSPF als OSPF Interface angelegt werden. Anschliessend werden diese OSPF Interfaces der Area zugewiesen:

Nun haben wir erreicht, das die Informationen der Backbone Area „0.0.0.0“ über die zwei Standorte durch die Tunnel verteilt werden. Die Routen sind auf beiden Sophos UTM sichtbar und die Clients können sich erreichen. Zum abschliessenden Test des Setups simuliert man am besten den Ausfall eines Internetprovider, in dem man die Netzwerkkarte im Linuxrouter deaktiviert. Man sieht kurz wie OSPF den neuen Pfad wählt und die Verbindung ohne große Verluste bestehen bleibt:

Mit diesem Setup erspart man sich das Definieren der ganzen IPsec SA’s und kann dynamische Routingverfahren über einen IPsec Tunnel nutzen.