2
ZyXEL USG Firewall Device HA probleme
Hallo zusammen,
zunächst mal schöne Ostern euch allen.
Ich bin neu hier und habe direkt mal eine Frage an euch.
Ich hoffe ihr könnt mir dabei helfen.
Folgende Problemstellung habe ich:
Ich habe zwei ZyXEL USG 1900 die ich in einem Device HA Verfahren betreiben
möchte. Leider bricht mir das Netzwerk immer zusammen sobald ich das
Device HA aktiviere.
Ich habe Lanseitig mehrere vlan's und wan seitig ebenfalls mehrere vlan's
Port 1 -3 sind als wan eingestellt und alle anderen sind dem internen LAN zugeteilt.
Jedes VLan hat eine eigene Zone. Diese funktionieren auch alle.
Ich möchte aber nun das sich die beiden USG's gegenseitig ersetzen sobald einer der ports
auf der Master USG ausfällt. Dafür habe ich einen Port komplett ohne vlan für die Synchronisation
der USG's vorgesehen. Auf diesem port hat jede USG auch eine Management IP.
Und damit die anderen Ports ebenfalls überwacht werden habe ich diese ohne Management IP
auf "Monitorred Interface" gestellt.
Wenn ich nun das Device HA aktivierte und auf den USG's die Kabel stecke sehe ich auf dem
backup das der port 5 auf dem die management IP eingestellt ist auf standby steht alle anderen
aber auf Active.
Und auf der Master USG stehen alle Ports auf Active.
Außerdem funktioniert die Synchronisation nicht.
Und die beide USG's versuchen sich gegenseitig die Daten weg zu nehmen so das keinerlei
Kommunikation in das Internet möglich ist.
Außerdem versuchen beide USG's VPN Verbindungen aufzubauen.
Das soll ja eigentlich nicht so sein.
So das war es erstmal und ich hoffe das dies nicht zu abstrakt formuliert ist.
Ich habe inzwischen keine Idee mehr was ich noch machen kann und hoffe das mir
hier jemand bei dem Problem weiterhelfen kann.
Ich bedanke mich schon mal im Voraus und wünsche noch schöne Feiertage.
Mfg
Deadman
zunächst mal schöne Ostern euch allen.
Ich bin neu hier und habe direkt mal eine Frage an euch.
Ich hoffe ihr könnt mir dabei helfen.
Folgende Problemstellung habe ich:
Ich habe zwei ZyXEL USG 1900 die ich in einem Device HA Verfahren betreiben
möchte. Leider bricht mir das Netzwerk immer zusammen sobald ich das
Device HA aktiviere.
Ich habe Lanseitig mehrere vlan's und wan seitig ebenfalls mehrere vlan's
Port 1 -3 sind als wan eingestellt und alle anderen sind dem internen LAN zugeteilt.
Jedes VLan hat eine eigene Zone. Diese funktionieren auch alle.
Ich möchte aber nun das sich die beiden USG's gegenseitig ersetzen sobald einer der ports
auf der Master USG ausfällt. Dafür habe ich einen Port komplett ohne vlan für die Synchronisation
der USG's vorgesehen. Auf diesem port hat jede USG auch eine Management IP.
Und damit die anderen Ports ebenfalls überwacht werden habe ich diese ohne Management IP
auf "Monitorred Interface" gestellt.
Wenn ich nun das Device HA aktivierte und auf den USG's die Kabel stecke sehe ich auf dem
backup das der port 5 auf dem die management IP eingestellt ist auf standby steht alle anderen
aber auf Active.
Und auf der Master USG stehen alle Ports auf Active.
Außerdem funktioniert die Synchronisation nicht.
Und die beide USG's versuchen sich gegenseitig die Daten weg zu nehmen so das keinerlei
Kommunikation in das Internet möglich ist.
Außerdem versuchen beide USG's VPN Verbindungen aufzubauen.
Das soll ja eigentlich nicht so sein.
So das war es erstmal und ich hoffe das dies nicht zu abstrakt formuliert ist.
Ich habe inzwischen keine Idee mehr was ich noch machen kann und hoffe das mir
hier jemand bei dem Problem weiterhelfen kann.
Ich bedanke mich schon mal im Voraus und wünsche noch schöne Feiertage.
Mfg
Deadman
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 268419
Url: https://administrator.de/contentid/268419
Printed on: April 24, 2024 at 21:04 o'clock
2 Comments
Latest comment
Hallo,
Diese Darstellung birgt Interpretarionsspielraum. Bitte genauer beschreiben! Handelt es sich auf der USG um tagged VLANs oder werden lediglich die multiplen WAN- und LAN-Interfaces switchseitig in VLANs geführt.
Beachte, dass sich im Rahmen des Device-HA nur physische Interfaces monitoren lassen - keine VLAN-Interfaces. Ist aber eigentlich auch logisch.
Bitte mit System vorgehen!
- erst die Master-USG als solche fertig konfigurieren
- dann deren Konfig auf eine zweite - nicht mit dem Produktivnetz verbundene - USG aufspielen und diese als Slave konfigurieren
- dann die Backup-USG mit dem Sync-Interface mit dem Produktivnetz verbinden und sicherstellen, dass sich der Slave erfolgreich die Config von dem Master zieht
- erst dann die anderen Interfaces stecken
ZLD4.10 Patch 2 hat übrigens einen Bug, der zu Problemen bei der HA-Sync führte. Den konnte ich auch nachvollziehen. Auf unserem USG310-Cluster lief die Synchronisation entgegen den Vorversionen nur, wenn als Quell-IP auf dem Slave die virtuelle IP des Clusters angegeben wurde - nicht die Management-IP des Masters.
Dieser Bug ist in der kürzlich erschienenen ZLD4.11 Rev. 0 gepatcht worden. Leider sind kurz nach der Veröffentlichung dieser Firmware bei vielen Kunden diverse Probleme aufgetaucht, so dass ZyXEL diese Firmware schnell wieder zurückgezogen hat. In ca. einer Woche soll wohl ein neues Release kommen. Ich hab die 4.11er auf unserem 310er Cluster produktiv und bisher keine Probleme feststellen können. Das einzige, was ich nachvollziehen konnte, war dass im Echtzeitlog in der Spalte "Notes" nicht mehr vermerkt ist, ob der Traffic zugelassen oder geblockt wurde. Alles andere scheint mein Einsatzzsenario nicht zu berühren.
Auf dslreports.com wird von folgenden Problemen berichtet:
- Probleme mit einer neuen DNS-Sicherheitseinstellung
- Probleme bei der WLAN-Konfiguration bei der USG60W (aber nicht bei der 40W)
Auf zyxelforum.de wird von Problemen mit L2TP-VPN und dem Contentfilter berichtet. Letzteres müsste auch mich betreffen, aber ich konnte diesbezüglich nichts feststellen. Ich bezweifle daher den Zusammenhang.
Wenn Du die 4.11er testen möchtest: Die deutsche Niederlassung hat die Firmware noch online (ftp://ftp.zyxel-tech.de/2.new_mirror/USG1900/firmware/USG1900_4.11(AAPL.0)C0.zip).
Gruß
Steffen
Zitat von @simsnake:
Ich habe Lanseitig mehrere vlan's und wan seitig ebenfalls mehrere vlan's
Port 1 -3 sind als wan eingestellt und alle anderen sind dem internen LAN zugeteilt.
Jedes VLan hat eine eigene Zone. Diese funktionieren auch alle.
Ich habe Lanseitig mehrere vlan's und wan seitig ebenfalls mehrere vlan's
Port 1 -3 sind als wan eingestellt und alle anderen sind dem internen LAN zugeteilt.
Jedes VLan hat eine eigene Zone. Diese funktionieren auch alle.
Diese Darstellung birgt Interpretarionsspielraum. Bitte genauer beschreiben! Handelt es sich auf der USG um tagged VLANs oder werden lediglich die multiplen WAN- und LAN-Interfaces switchseitig in VLANs geführt.
Beachte, dass sich im Rahmen des Device-HA nur physische Interfaces monitoren lassen - keine VLAN-Interfaces. Ist aber eigentlich auch logisch.
Zitat von @simsnake:
Ich möchte aber nun das sich die beiden USG's gegenseitig ersetzen sobald einer der ports
auf der Master USG ausfällt. Dafür habe ich einen Port komplett ohne vlan für die Synchronisation
der USG's vorgesehen. Auf diesem port hat jede USG auch eine Management IP.
Und damit die anderen Ports ebenfalls überwacht werden habe ich diese ohne Management IP
auf "Monitorred Interface" gestellt.
Wenn ich nun das Device HA aktivierte und auf den USG's die Kabel stecke sehe ich auf dem
backup das der port 5 auf dem die management IP eingestellt ist auf standby steht alle anderen
aber auf Active.
Und auf der Master USG stehen alle Ports auf Active.
Außerdem funktioniert die Synchronisation nicht.
Ich möchte aber nun das sich die beiden USG's gegenseitig ersetzen sobald einer der ports
auf der Master USG ausfällt. Dafür habe ich einen Port komplett ohne vlan für die Synchronisation
der USG's vorgesehen. Auf diesem port hat jede USG auch eine Management IP.
Und damit die anderen Ports ebenfalls überwacht werden habe ich diese ohne Management IP
auf "Monitorred Interface" gestellt.
Wenn ich nun das Device HA aktivierte und auf den USG's die Kabel stecke sehe ich auf dem
backup das der port 5 auf dem die management IP eingestellt ist auf standby steht alle anderen
aber auf Active.
Und auf der Master USG stehen alle Ports auf Active.
Außerdem funktioniert die Synchronisation nicht.
Bitte mit System vorgehen!
- erst die Master-USG als solche fertig konfigurieren
- dann deren Konfig auf eine zweite - nicht mit dem Produktivnetz verbundene - USG aufspielen und diese als Slave konfigurieren
- dann die Backup-USG mit dem Sync-Interface mit dem Produktivnetz verbinden und sicherstellen, dass sich der Slave erfolgreich die Config von dem Master zieht
- erst dann die anderen Interfaces stecken
ZLD4.10 Patch 2 hat übrigens einen Bug, der zu Problemen bei der HA-Sync führte. Den konnte ich auch nachvollziehen. Auf unserem USG310-Cluster lief die Synchronisation entgegen den Vorversionen nur, wenn als Quell-IP auf dem Slave die virtuelle IP des Clusters angegeben wurde - nicht die Management-IP des Masters.
Dieser Bug ist in der kürzlich erschienenen ZLD4.11 Rev. 0 gepatcht worden. Leider sind kurz nach der Veröffentlichung dieser Firmware bei vielen Kunden diverse Probleme aufgetaucht, so dass ZyXEL diese Firmware schnell wieder zurückgezogen hat. In ca. einer Woche soll wohl ein neues Release kommen. Ich hab die 4.11er auf unserem 310er Cluster produktiv und bisher keine Probleme feststellen können. Das einzige, was ich nachvollziehen konnte, war dass im Echtzeitlog in der Spalte "Notes" nicht mehr vermerkt ist, ob der Traffic zugelassen oder geblockt wurde. Alles andere scheint mein Einsatzzsenario nicht zu berühren.
Auf dslreports.com wird von folgenden Problemen berichtet:
- Probleme mit einer neuen DNS-Sicherheitseinstellung
- Probleme bei der WLAN-Konfiguration bei der USG60W (aber nicht bei der 40W)
Auf zyxelforum.de wird von Problemen mit L2TP-VPN und dem Contentfilter berichtet. Letzteres müsste auch mich betreffen, aber ich konnte diesbezüglich nichts feststellen. Ich bezweifle daher den Zusammenhang.
Wenn Du die 4.11er testen möchtest: Die deutsche Niederlassung hat die Firmware noch online (ftp://ftp.zyxel-tech.de/2.new_mirror/USG1900/firmware/USG1900_4.11(AAPL.0)C0.zip).
Gruß
Steffen
Hallo Steffen,
es handelt sich tagged vlan's. Sowohl als LAN wie Wan. Mir ist klar das ich nur physische ports monitoren kann. Deshalb hat jede
Schnittstelle zusätzliche eine echte IP Adresse.
Das vorgehen so wie du es beschreibst habe ich bereits mehrfach durchgeführt. Aber immer mit dem bereits beschriebenen Ergebnis.
Bei die Firmware muss ich schauen welche Version ich genau da drauf habe. Es ist auf jeden ZLD 4.10 aber weiter weiß leider auf
Anhieb nicht.
MFG
simsnake
es handelt sich tagged vlan's. Sowohl als LAN wie Wan. Mir ist klar das ich nur physische ports monitoren kann. Deshalb hat jede
Schnittstelle zusätzliche eine echte IP Adresse.
Das vorgehen so wie du es beschreibst habe ich bereits mehrfach durchgeführt. Aber immer mit dem bereits beschriebenen Ergebnis.
Bei die Firmware muss ich schauen welche Version ich genau da drauf habe. Es ist auf jeden ZLD 4.10 aber weiter weiß leider auf
Anhieb nicht.
MFG
simsnake
