ZyXEL USG Firewall Device HA probleme

Mitglied: simsnake

simsnake (Level 1) - Jetzt verbinden

05.04.2015 um 09:13 Uhr, 1552 Aufrufe, 2 Kommentare

Hallo zusammen,

zunächst mal schöne Ostern euch allen.

Ich bin neu hier und habe direkt mal eine Frage an euch.
Ich hoffe ihr könnt mir dabei helfen.

Folgende Problemstellung habe ich:

Ich habe zwei ZyXEL USG 1900 die ich in einem Device HA Verfahren betreiben
möchte. Leider bricht mir das Netzwerk immer zusammen sobald ich das
Device HA aktiviere.

Ich habe Lanseitig mehrere vlan's und wan seitig ebenfalls mehrere vlan's
Port 1 -3 sind als wan eingestellt und alle anderen sind dem internen LAN zugeteilt.
Jedes VLan hat eine eigene Zone. Diese funktionieren auch alle.

Ich möchte aber nun das sich die beiden USG's gegenseitig ersetzen sobald einer der ports
auf der Master USG ausfällt. Dafür habe ich einen Port komplett ohne vlan für die Synchronisation
der USG's vorgesehen. Auf diesem port hat jede USG auch eine Management IP.
Und damit die anderen Ports ebenfalls überwacht werden habe ich diese ohne Management IP
auf "Monitorred Interface" gestellt.

Wenn ich nun das Device HA aktivierte und auf den USG's die Kabel stecke sehe ich auf dem
backup das der port 5 auf dem die management IP eingestellt ist auf standby steht alle anderen
aber auf Active.
Und auf der Master USG stehen alle Ports auf Active.
Außerdem funktioniert die Synchronisation nicht.
Und die beide USG's versuchen sich gegenseitig die Daten weg zu nehmen so das keinerlei
Kommunikation in das Internet möglich ist.

Außerdem versuchen beide USG's VPN Verbindungen aufzubauen.

Das soll ja eigentlich nicht so sein.

So das war es erstmal und ich hoffe das dies nicht zu abstrakt formuliert ist.

Ich habe inzwischen keine Idee mehr was ich noch machen kann und hoffe das mir
hier jemand bei dem Problem weiterhelfen kann.

Ich bedanke mich schon mal im Voraus und wünsche noch schöne Feiertage.

Mfg

Deadman
Mitglied: sk
05.04.2015, aktualisiert um 13:23 Uhr
Hallo,

Zitat von simsnake:
Ich habe Lanseitig mehrere vlan's und wan seitig ebenfalls mehrere vlan's
Port 1 -3 sind als wan eingestellt und alle anderen sind dem internen LAN zugeteilt.
Jedes VLan hat eine eigene Zone. Diese funktionieren auch alle.

Diese Darstellung birgt Interpretarionsspielraum. Bitte genauer beschreiben! Handelt es sich auf der USG um tagged VLANs oder werden lediglich die multiplen WAN- und LAN-Interfaces switchseitig in VLANs geführt.
Beachte, dass sich im Rahmen des Device-HA nur physische Interfaces monitoren lassen - keine VLAN-Interfaces. Ist aber eigentlich auch logisch.


Zitat von simsnake:
Ich möchte aber nun das sich die beiden USG's gegenseitig ersetzen sobald einer der ports
auf der Master USG ausfällt. Dafür habe ich einen Port komplett ohne vlan für die Synchronisation
der USG's vorgesehen. Auf diesem port hat jede USG auch eine Management IP.
Und damit die anderen Ports ebenfalls überwacht werden habe ich diese ohne Management IP
auf "Monitorred Interface" gestellt.
Wenn ich nun das Device HA aktivierte und auf den USG's die Kabel stecke sehe ich auf dem
backup das der port 5 auf dem die management IP eingestellt ist auf standby steht alle anderen
aber auf Active.
Und auf der Master USG stehen alle Ports auf Active.
Außerdem funktioniert die Synchronisation nicht.

Bitte mit System vorgehen!
- erst die Master-USG als solche fertig konfigurieren
- dann deren Konfig auf eine zweite - nicht mit dem Produktivnetz verbundene - USG aufspielen und diese als Slave konfigurieren
- dann die Backup-USG mit dem Sync-Interface mit dem Produktivnetz verbinden und sicherstellen, dass sich der Slave erfolgreich die Config von dem Master zieht
- erst dann die anderen Interfaces stecken

ZLD4.10 Patch 2 hat übrigens einen Bug, der zu Problemen bei der HA-Sync führte. Den konnte ich auch nachvollziehen. Auf unserem USG310-Cluster lief die Synchronisation entgegen den Vorversionen nur, wenn als Quell-IP auf dem Slave die virtuelle IP des Clusters angegeben wurde - nicht die Management-IP des Masters.
Dieser Bug ist in der kürzlich erschienenen ZLD4.11 Rev. 0 gepatcht worden. Leider sind kurz nach der Veröffentlichung dieser Firmware bei vielen Kunden diverse Probleme aufgetaucht, so dass ZyXEL diese Firmware schnell wieder zurückgezogen hat. In ca. einer Woche soll wohl ein neues Release kommen. Ich hab die 4.11er auf unserem 310er Cluster produktiv und bisher keine Probleme feststellen können. Das einzige, was ich nachvollziehen konnte, war dass im Echtzeitlog in der Spalte "Notes" nicht mehr vermerkt ist, ob der Traffic zugelassen oder geblockt wurde. Alles andere scheint mein Einsatzzsenario nicht zu berühren.
Auf dslreports.com wird von folgenden Problemen berichtet:
- Probleme mit einer neuen DNS-Sicherheitseinstellung
- Probleme bei der WLAN-Konfiguration bei der USG60W (aber nicht bei der 40W)
Auf zyxelforum.de wird von Problemen mit L2TP-VPN und dem Contentfilter berichtet. Letzteres müsste auch mich betreffen, aber ich konnte diesbezüglich nichts feststellen. Ich bezweifle daher den Zusammenhang.
Wenn Du die 4.11er testen möchtest: Die deutsche Niederlassung hat die Firmware noch online (ftp://ftp.zyxel-tech.de/2.new_mirror/USG1900/firmware/USG1900_4.11(AAP ...).


Gruß
Steffen
Bitte warten ..
Mitglied: simsnake
05.04.2015 um 20:38 Uhr
Hallo Steffen,

es handelt sich tagged vlan's. Sowohl als LAN wie Wan. Mir ist klar das ich nur physische ports monitoren kann. Deshalb hat jede
Schnittstelle zusätzliche eine echte IP Adresse.

Das vorgehen so wie du es beschreibst habe ich bereits mehrfach durchgeführt. Aber immer mit dem bereits beschriebenen Ergebnis.

Bei die Firmware muss ich schauen welche Version ich genau da drauf habe. Es ist auf jeden ZLD 4.10 aber weiter weiß leider auf
Anhieb nicht.

MFG

simsnake
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliQuestionWindows Server26 Comments

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01QuestionExchange Server12 Comments

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
solved predator66QuestionLAN, WAN, Wireless12 Comments

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Peripherals
Kaufberatung 32" Monitor mit WQHD Auflösung
solved GrueneSosseMitSpeckQuestionPeripherals10 Comments

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Notebook & Accessories
Business Support HP, Dell, Lenovo etc
fuzzyLogicQuestionNotebook & Accessories10 Comments

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Security
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netTickerSecurity9 Comments

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ähnliche Inhalte
Router & Routing
Router und Firewall Zyxel USG-20
maax227FrageRouter & Routing1 Kommentar

Guten Abend Habe ein Heimnetz und habe hinter dem InternetProvider Router ein Firewall. Nun möchte ich zwei getrennte Netze ...

DSL, VDSL
Fritzbox mit ZyXEL USG
seiimonnFrageDSL, VDSL2 Kommentare

Hallo zusammen, bei einem Kunde in Deutschland ist eine Fritbox im Einsatz. Nun wünscht sich der Kunde eine Zyxel ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Oggy01FrageRouter & Routing42 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Router & Routing
VPN ZYXEL USG 310 Netzwerkzugriff
gelöst Ernst3FrageRouter & Routing5 Kommentare

Hallo, wir haben eine ZYXEL USG 310 in Betrieb genommen. Ich bin sehr zufrieden damit. Über die Windows Client ...

Firewall
Zyxel Firewall einrichten
sturmtideFrageFirewall6 Kommentare

Hallo, ich Habe einen Zyxel SBG5500 Router über den 3 VLANS angelegt sind. Diese sollen untereinander nicht bzw. Nur ...

Firewall
IPSec VPN zwischen pfSense und Zyxel USG
tr00p3rFrageFirewall24 Kommentare

Guten Tag Grundsätzlich sollten die pfSense und die Zyxel USG für den Verbindungsaufbau eines IPSec VPN Tunnels kompatibel sein. ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT