finchen961988
Goto Top

Sophos UTM mit IPSEC Tunnel und OSPF?

Hallo liebes Forum,

erst mal möchte ich mich bedanken, ich habe durch das Aufmerksame lesen hier viel die letzten Jahre gelernt und durch eure tolle Hilfe!
Meine Fragen sind manchmal nicht ganz so qualitativ Hochwertig, dafür möchte ich mich entschuldigen!

Aber kommen wir mal zu einer Frage, die ich schon lange google und nicht so richtig finde.

Hier mal das Szenario:

HQ Office mit einer Sophos UTM und 3 ISPs (ISP1 Telekom(Standleitung),SP2 EWE, ISP 3 Vodafon), mehrere Außenstandorte mit einem ISP, in naher zukunft aber mit zusätzlich Vodafone Gigacube.

Zwischen HQ und Außenstandorte sollen IPSEC VPNS laufen (laut einem Berater GRE-Tunnel) wobei ich GRE-Tunnel mit Sophos noch nicht eingerichtet habe.

Es soll immer so sein das ein Standort mit EWE und Standleitung, der nächste Standort Vodafon und Standleitung und so weiter.

Ich würde die VPN Verbindung wie im ersten Teil in der Anleitung anlegen SOPHOS UTM IPSEC mit 2 ISP

Frage 1: Was müsste man machen wenn in den Außenstandorten der 2te ISP dazu kommt, damit die Ausfallsicherheit dazu kommt?
Frage 2: In der Anleitung reden die Über Multipath - Regeln oder wie würdet Ihr das mit dem Routing zu den Standorten machen?


Hat hier jemand schon von Sophos UTM ein IPSEC GRE TUNNEL aufgebaut, ich suche nach einer Anleitung dafür.

Ach ja in den Außenstandorten ist auch SOPHOS UTM

Content-ID: 620564

Url: https://administrator.de/forum/sophos-utm-mit-ipsec-tunnel-und-ospf-620564.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

aqui
aqui 08.11.2020 um 13:35:12 Uhr
Goto Top
laut einem Berater GRE-Tunnel
Das wäre ideal, denn damit ist es dann sehr leicht umzusetzen.
Für die Grundlagen kannst du hier etwas lesen:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
GRE Tunnel sind wenn man die Sophos Dokumentation richtig versteht nur über das CLI Interface konfigurierbar und nicht über das Web GUI. Aber da GRE Tunnel schon laufen wäre das in deinem angestrebten OSPF Setup ideal, denn für dynmaische Routing Protokolle sind entweder VTI_Interfaces oder GRE eine Vorgabe.
pfSense Firewalls supporten z.B. beide Optionen VTI und GRE so das bei der UTM wohl auch sicher davon auszugehen ist das das klappt wenn schon Open Source Firewalls sowas können.
Frage 1:
Dual WAN Firewall oder Router und dann mit Split Tunneling je Provider WAN einen Tunnel zum Gegenüber aufbauen.
Frage 2.:
Die Frage ist jetzt vor dem Hintergrund deiner OSPF Vorgabe recht verwirrend und macht unklar was dein Ziel ist. Wie du ja weisst hat OSPF schon Protokoll bedingt eine ECMP Funktion. Wenn du also dein Setup mit dynmaischen Routing (OSPF) einrichtest stellt sich die Frage Multipath ja gar nicht mehr.
Finchen961988
Finchen961988 09.11.2020 um 20:10:31 Uhr
Goto Top
Frage 1:
Dual WAN Firewall oder Router und dann mit Split Tunneling je Provider WAN einen Tunnel zum Gegenüber aufbauen.
Frage 2.:
Die Frage ist jetzt vor dem Hintergrund deiner OSPF Vorgabe recht verwirrend und macht unklar was dein Ziel ist. Wie du ja weisst hat OSPF schon Protokoll bedingt eine ECMP Funktion. Wenn du also dein Setup mit dynmaischen Routing (OSPF) einrichtest stellt sich die Frage Multipath ja gar nicht mehr.


Die Fragen versuche ich gerade zu klären, bevor man nützliche INFOS aus dem BErater bekommt, muss man sich 2 Stunden durch unnütze Sachen arbeiten.
Das Konzept kommt vom Berater.

Ich würde vll wie du es beschreibst in Frage 1 aufbauen, frage ist nur wie mache ich das mit dem Routing in die Standorte?

Wenn zum Beispiel im HQ ein Leitung, also zum Beispiel Standort HQ zu Standort A ein VPN über die Standleitung und ein VPN über EWE und nun fällt EWE aus, dann muss ja automatisch das Routing zum Zielnetz Standort A über das VPN von der Standleitung gehen.

@aqui hast du den link von Sophos wegen den GRE Tunnel, ich bin zu blöde den zu finden!
aqui
aqui 10.11.2020 aktualisiert um 09:24:09 Uhr
Goto Top
bevor man nützliche INFOS aus dem BErater bekommt, muss man sich 2 Stunden durch unnütze Sachen arbeiten.
Das ist das übliche Schicksal wenn man mit "Beratern" arbeitet. face-wink
frage ist nur wie mache ich das mit dem Routing in die Standorte?
Diese Frage von dir ist jetzt leider schon wieder wirr und unverständlich, denn du schreibst doch oben selber das du das Routing dynamisch mit OSPF lösen willst...?!?
Damit ist doch dann die Frage des Routings UND damit des automatischen Failovers und Load Balancings über die redundanten VPN Tunnel geklärt, denn das erledigt OSPF doch alles ! Genau deshalb nimmt man ja auch ein dynamisches und schnell konvergierendes Routing Protokoll mit ECMP wie OSPF. Ist jetzt etwas unverständlich...??
Bei GRE sagt Sophos selber das es supportet ist im "Copernicus" Release:
https://community.sophos.com/utm-firewall/f/vpn-site-to-site-and-remote- ...
Die Info ist aber schon etwas älter so das man wohl davon ausgehen kann das es mittlerweile implementiert ist. Besser und sicherer ist aber mal die Produkt Hotline von Sophos anzurufen und das wasserdicht zu klären.
Mit Cisco, pfSense und anderen ist das kein Problem... face-wink
Finchen961988
Finchen961988 11.11.2020 um 19:08:43 Uhr
Goto Top
Danke,

ja ich denke auch ich frage mal bei unseren Sophos Support Leuten nach.
Mit den RED habe ich auch gefunden, aber die REDs finde ich nicht so toll.

Danke
Finchen961988
Finchen961988 10.01.2021 um 11:07:11 Uhr
Goto Top
Hallo liebe Community,

wegen Corona wurde das ganze Thema komplett verschoben.

Wir wollen das ganze ja nach dem Szenario Szenario aufbauen.

Allerdings soll der komplette Verkehr über die IPSEC Mutlipath Verbindung laufen lassen, also es soll auch der Internetverkehr drüber laufen:

Wenn man eine Sophos einrichtet wird ja immer ein Standard Gateway definiert, meine frage hier kann ich den Haken für Standardgateway bei den WAN Schnittstellen rausnehmen und alles also auch 0.0.0.0\0 über den IPSEC leiten?