4
Watchguard BOVPN, Routing über Hauptstandort
Hallo zusammen,
wahrscheinlich wurde dieses Thema schon mehrfach behandelt. Allerdings weiß ich nicht was ich am besten in die Suche eintippen soll...
Es geht darum das ich einen Hauptstandort (Watchguard XTM 5) habe und mehre kleinere Niederlassungen (Watchguard XTM 2).
Meine Idee ist nun das die XTM 2 Standorte, welche bereits per VPN verbunden sind, über den XTM 5 Standort surfen. So gibt es nur ein Tor für Angreifer und der Traffic muss nur an einer Stelle kontrolliert werden.
Wie kann ich das am besten konfigurieren? Einfach eine Statische Route bei den XTM 2 Geräten eintragen? <0.0.0.0> auf <IP> der XTM 5?
Oder gibt es eine bessere Lösung.
Vielen Dank im Voraus für eure Hilfe!
wahrscheinlich wurde dieses Thema schon mehrfach behandelt. Allerdings weiß ich nicht was ich am besten in die Suche eintippen soll...
Es geht darum das ich einen Hauptstandort (Watchguard XTM 5) habe und mehre kleinere Niederlassungen (Watchguard XTM 2).
Meine Idee ist nun das die XTM 2 Standorte, welche bereits per VPN verbunden sind, über den XTM 5 Standort surfen. So gibt es nur ein Tor für Angreifer und der Traffic muss nur an einer Stelle kontrolliert werden.
Wie kann ich das am besten konfigurieren? Einfach eine Statische Route bei den XTM 2 Geräten eintragen? <0.0.0.0> auf <IP> der XTM 5?
Oder gibt es eine bessere Lösung.
Vielen Dank im Voraus für eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177874
Url: https://administrator.de/contentid/177874
Printed on: April 19, 2024 at 15:04 o'clock
4 Comments
Latest comment
Hi
Das würde ich persönlich nicht machen, denn das zieht dir die gesamte Bandbreite aus der BOVPN Verbindung raus, öffne doch einfach nur Port 80/443 (asugehend) für Web und gibt als Webblocker den Server an der in eurem Hauptstandort steht, dann ziehen sich die XTM2x jeweils die Settings / Einstellungen von dem globalen Server (der kann mit der Pro Lizenz 5 Geräte verwalten) und du sparst dir einiges an Bandbreite der VPN Verbindung.
Denn wenn du nahtlos alles über die VPN Verbindung legst und dann mal eure Leitung gestört ist, dann ist jeder Standort auch zu 100% "tot" - so kann man immer noch einiges Sachen erledigen nebenher.
Du solltest allerdings die DNS Server so einstellen, dass als erstes der Standort DNS (sofern ADC oder RODC dort läuft) und als 2. und 3. deine primären DC's am Hauptstandort eintragen, dann leitet der lediglich den Webtraffic über die VPN die für Intranet gilt und nicht alles.
Das würde ich persönlich nicht machen, denn das zieht dir die gesamte Bandbreite aus der BOVPN Verbindung raus, öffne doch einfach nur Port 80/443 (asugehend) für Web und gibt als Webblocker den Server an der in eurem Hauptstandort steht, dann ziehen sich die XTM2x jeweils die Settings / Einstellungen von dem globalen Server (der kann mit der Pro Lizenz 5 Geräte verwalten) und du sparst dir einiges an Bandbreite der VPN Verbindung.
Denn wenn du nahtlos alles über die VPN Verbindung legst und dann mal eure Leitung gestört ist, dann ist jeder Standort auch zu 100% "tot" - so kann man immer noch einiges Sachen erledigen nebenher.
Du solltest allerdings die DNS Server so einstellen, dass als erstes der Standort DNS (sofern ADC oder RODC dort läuft) und als 2. und 3. deine primären DC's am Hauptstandort eintragen, dann leitet der lediglich den Webtraffic über die VPN die für Intranet gilt und nicht alles.
Danke für deine schnelle Antwort.
Du hast natürlich recht das es ein gewisses Risiko mitsich bringt das ganze über einen Standort zu machen.
Am Hauptstandort arbeiten zwei XTM 5 im Active/Active Cluster und sind an zwei Leitungen angebunden (einmal Glas, einmal Kupfer). VPN Failover funktioniert auch ohne Probleme. Ein Ausfall ist somit eher unwahrscheinlich.
Die Leitungen sind auch ausreichend dimensoniert und sollten locker reichen. Daher würde ich das ganze, zumindest testweise, erstmal mit einem Standort probieren.
Hierfür benötige ich somit noch die Info wie ich das "best practice like" einstelle...
PS: Das Setup der DCs ist genauso wie du beschrieben hast.
Du hast natürlich recht das es ein gewisses Risiko mitsich bringt das ganze über einen Standort zu machen.
Am Hauptstandort arbeiten zwei XTM 5 im Active/Active Cluster und sind an zwei Leitungen angebunden (einmal Glas, einmal Kupfer). VPN Failover funktioniert auch ohne Probleme. Ein Ausfall ist somit eher unwahrscheinlich.
Die Leitungen sind auch ausreichend dimensoniert und sollten locker reichen. Daher würde ich das ganze, zumindest testweise, erstmal mit einem Standort probieren.
Hierfür benötige ich somit noch die Info wie ich das "best practice like" einstelle...
PS: Das Setup der DCs ist genauso wie du beschrieben hast.
ja -zwei Leitungen reichen nicht immer 
letzte Woche haben bei uns Bauarbeiter unserer 2 x CU SDSL, 1 x DSL und unseren PMX'er mit einer Baggerschauffel sauber "getrennt" .
Und das deine Leitung am Hauptstandort reicht habe ich mir gedacht, im Regelfall sind die Außenstellen meistens nur über ADSL oder ggf. über eine 2 Mbit SDSL Leitung verbunden (je nach Größe versteht sich) und da könnte dann der Flaschenhals sein.
letzte Woche haben bei uns Bauarbeiter unserer 2 x CU SDSL, 1 x DSL und unseren PMX'er mit einer Baggerschauffel sauber "getrennt" .Und das deine Leitung am Hauptstandort reicht habe ich mir gedacht, im Regelfall sind die Außenstellen meistens nur über ADSL oder ggf. über eine 2 Mbit SDSL Leitung verbunden (je nach Größe versteht sich) und da könnte dann der Flaschenhals sein.
Sorry, aber irgendwie würde mich die Lösung auf interessieren, den HTTP(S) Traffic über den Hauptstandort routen zu lassen
