3
Ausfallabsicherung einer VPN-Verbindung bei Ausfall Cisco ASA-5506
Hallo Admin-Forum!
Bei uns fällt zum dritten Mal eine unserer Cisco ASA-5506 aus.
Die Fehlerursache macht immer einen Komplettaustausch der Firewall notwendig.
Durch den Ausfall ist unser zweiter Standort komplett abgeschnitten.
Das Modell scheint unheimlich anfällig zu sein.
Hättet ihr einen Vorschlag/Idee wie man sich gegen einen solchen Geräte-Ausfall absichern kann?
Ich dachte daran die Verbindung vorübergehend (bis die ASA ausgetauscht wird) über zwei Pfsense
an beiden Standorten herzustellen, konnte mich aber noch nicht intensiver mit der Einrichtung befassen.
Eine andere Idee war, ob es evtl. möglich ist, eine VPN-Verbindung über eine Fritz-Box zu einer der
Cisco ASA-5506 aufzubauen. Weiß aber nicht ob das überhaupt geht.
Für eure Tipps vielen Dank!
Bei uns fällt zum dritten Mal eine unserer Cisco ASA-5506 aus.
Die Fehlerursache macht immer einen Komplettaustausch der Firewall notwendig.
Durch den Ausfall ist unser zweiter Standort komplett abgeschnitten.
Das Modell scheint unheimlich anfällig zu sein.
Hättet ihr einen Vorschlag/Idee wie man sich gegen einen solchen Geräte-Ausfall absichern kann?
Ich dachte daran die Verbindung vorübergehend (bis die ASA ausgetauscht wird) über zwei Pfsense
an beiden Standorten herzustellen, konnte mich aber noch nicht intensiver mit der Einrichtung befassen.
Eine andere Idee war, ob es evtl. möglich ist, eine VPN-Verbindung über eine Fritz-Box zu einer der
Cisco ASA-5506 aufzubauen. Weiß aber nicht ob das überhaupt geht.
Für eure Tipps vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2598905501
Url: https://administrator.de/contentid/2598905501
Ausgedruckt am: 20.11.2024 um 11:11 Uhr
3 Kommentare
Neuester Kommentar
Wie wäre es mit einer zweiten 5506 im Active-Passive-Verbund? Am Ende erspart es viel Arbeit, weil du die 5506 kennst und da Ausfälle immer Geld kosten, ist eine zweite Firewall günstiger als eine Menge an gehemmten Mitarbeitern.
Wir haben eine 5512-X, also die größere Version und keine Probleme. Läuft jetzt seit der Beschaffung in 2015 durch, mit mehreren Umzügen und fliegt die Tage raus, weil End of Life.
Die Kiste macht bei uns aber nur das Client-VPN, alle anderen Strecken sind anderweitig realisiert und konzeptionell redundant ausgelegt, also extra Hardware und Leitungen, gesonderte Standorte sowie die entsprechende Netzwerkintegration
Am Ende ist es egal, was man nimmt, für ein automatisches Backup muss man aber mehr als nur etwas Hardware beschaffen. Es muss auch integrierbar sein. Also ein FHRP wie VRRP oder ein Routing Protokoll wie OSPF.
Beim Cold Standby wäre es nicht nötig, dafür ist hier immer einer nötig, der es dann austauscht.
Fritzbox eher nein, mit einer pfSense könnte es gehen, wäre sogar nur eine nötig, solange die Gegenseite noch funktioniert. Man muss nur die nötigen Einstellungen zusammenbekommen.
Wir haben eine 5512-X, also die größere Version und keine Probleme. Läuft jetzt seit der Beschaffung in 2015 durch, mit mehreren Umzügen und fliegt die Tage raus, weil End of Life.
Die Kiste macht bei uns aber nur das Client-VPN, alle anderen Strecken sind anderweitig realisiert und konzeptionell redundant ausgelegt, also extra Hardware und Leitungen, gesonderte Standorte sowie die entsprechende Netzwerkintegration
Am Ende ist es egal, was man nimmt, für ein automatisches Backup muss man aber mehr als nur etwas Hardware beschaffen. Es muss auch integrierbar sein. Also ein FHRP wie VRRP oder ein Routing Protokoll wie OSPF.
Beim Cold Standby wäre es nicht nötig, dafür ist hier immer einer nötig, der es dann austauscht.
Fritzbox eher nein, mit einer pfSense könnte es gehen, wäre sogar nur eine nötig, solange die Gegenseite noch funktioniert. Man muss nur die nötigen Einstellungen zusammenbekommen.
Beide deiner Lösungsoptionen funktionieren. Generell funktionieren IPsec Verbindungen zw. ASA, pfSense/OPNsense und FritzBox untereinander völlig problemlos, egal in welcher Kombination. Infos dazu findest du auch HIER.
In den weiterführenden Links finden sich weitere Praxisbeispiele zur VPN Kopplung mit FritzBox usw.
Die oben vom Kollegen @tikayevent angesprochene Lösung mit einem dynamischen Routing Protokoll (RIPv2, OSPF) ist natürlich die Königsklasse weil sie automatisch und unterbrechungsfrei solche Ausfälle, egal ob Gerät, Leitung oder Provider, kompensiert.
Die FritzBox ist da dann allerdings raus, weil sie sowas wegen der fehlenden Unterstützung für dynamische Routing Protokolle nicht supportet.
Als Alternative kann man aber einen preiswerten Mikrotik Router verwenden, der so oder so eine bessere Wahl statt der FritzBox in diesem Umfeld ist. Kollege @tikayevent hat es oben ja auch schon richtig angemerkt.
Infos dazu findest du HIER.
In den weiterführenden Links finden sich weitere Praxisbeispiele zur VPN Kopplung mit FritzBox usw.
Die oben vom Kollegen @tikayevent angesprochene Lösung mit einem dynamischen Routing Protokoll (RIPv2, OSPF) ist natürlich die Königsklasse weil sie automatisch und unterbrechungsfrei solche Ausfälle, egal ob Gerät, Leitung oder Provider, kompensiert.
Die FritzBox ist da dann allerdings raus, weil sie sowas wegen der fehlenden Unterstützung für dynamische Routing Protokolle nicht supportet.
Als Alternative kann man aber einen preiswerten Mikrotik Router verwenden, der so oder so eine bessere Wahl statt der FritzBox in diesem Umfeld ist. Kollege @tikayevent hat es oben ja auch schon richtig angemerkt.
Infos dazu findest du HIER.
Hallo tikayevent und aqui!
Vielen Dank wiedermal für Eure tolle und schnelle Info!
Ich werde mir die Anleitungen genauer anschauen.
VG
Vielen Dank wiedermal für Eure tolle und schnelle Info!
Ich werde mir die Anleitungen genauer anschauen.
VG
