Sophos UTM mit multiple Ipsec, Multipath und OSPF

Die neue IPSEC Funktion „Bind Tunnel to local Interface“ in der Version 9.1 wird zwar fleissig beworben, ist aber extrem schlecht dokumentiert und es gibt absolut keine Beiträge in der KB von Sophos oder irgendwelche Installationsbeispiele. Ich habe daher mal ein Testsetup gemacht: Zwei simulierte Standorte mit Sophos UTM 9.104-17 in einer VMware Umgebung. Diese sind mit zwei IPSEC Tunneln (über zwei ISPs) untereinander verbunden. Dabei habe ich die Verfahren „Multipath Rules“ und „OSPF“ ausprobiert. Von den Multipath Rules war ich eher enttäuscht, denn im Handbuch steht, das es nicht mit Interface Groups möglich ist. Aber wie soll es sonst gehen? Nur mit den Uplink Devices? Wir nutzen aber wesentlich mehr Leitungen als nur zwei ISP. Was ist wenn ich aber nur ZWEI davon nutzen möchte? Ich habe es trotzdem mit Interface Gruppen ausprobiert, denn auf der Seite mit den Feature Requests wird es als „solved“ angegeben mit dem Hinweis auf eben diese Device Groups. Da sollte sich Sophos besser abstimmen was denn nun richtig ist ;-). Es hat auch funktioniert – aber die Umschaltzeiten beim Failover waren grausam langsam und funktionierten nur, wenn das Device wirklich weg war – ein Error auf der Leitung reichte nicht aus, denn die Gegenseite schickte die Pakete weiter fleissig in den Tunnel. Also habe ich eine weitere Möglichkeit getestet: eine OSPF Area für die VPN Tunnel. Und das funktionierte wirklich sehr gut!

Weniger erfolgreich (Multipath Rule):
sophos-ipsec-4

Nun mit OSPF:
sophos-ipsec-1

sophos-ipsec-2

Die Routen sind schnell gelernt und OSPF leitet die Pakete im Failover Fall schnell um:
sophos-ipsec-3

Sollte das jemand mit Multipath Rules besser hinbekommen, oder hat mal ein Howto im Netz entdeckt (von Sophos findet man nur die Werbevideos oder Funktionsbeschreibung), dann sendet mir bitte kurz eine Mail mit dem Link oder einer kurzen Beschreibung.