3
Watchguard X750e HA Cluster
Hallo Leute,
ich erstelle grade ein Konzept für ein Redundantes Mail- und Dateisystem.
Dabei fällt mir immer auf, dass die Server schön redundant sind aber die Switches und vorallem die Firewall nur ein mal in meiner Struktur vorhanden sind.
Ich habe momentan ein X750e und Frage mich wie ein Updade (eine 2te X750e) strukturell aussehen könnte.
By the way ich habe auf der jetztigen Watchguard 2 mal WAN mit Failover, vielleicht tut das was zur sache.
Kommt die passive WG mit der selben internen und externen IP hochgefahren wenn die aktive nicht mehr läuft ?
Wie schaffe ich es, dass vom Router ein Kabel jeweils in beide Firewall gehen ?
Vor allen wie soll das mit den IP's gehen. ??
Am liebsten wäre es mir nicht neue IP für das Passive gerät bereitstellen zu müssen.
Bitte um Aufklärung.
Danke und Gruß,
uLmi
ich erstelle grade ein Konzept für ein Redundantes Mail- und Dateisystem.
Dabei fällt mir immer auf, dass die Server schön redundant sind aber die Switches und vorallem die Firewall nur ein mal in meiner Struktur vorhanden sind.
Ich habe momentan ein X750e und Frage mich wie ein Updade (eine 2te X750e) strukturell aussehen könnte.
By the way ich habe auf der jetztigen Watchguard 2 mal WAN mit Failover, vielleicht tut das was zur sache.
Kommt die passive WG mit der selben internen und externen IP hochgefahren wenn die aktive nicht mehr läuft ?
Wie schaffe ich es, dass vom Router ein Kabel jeweils in beide Firewall gehen ?
Vor allen wie soll das mit den IP's gehen. ??
Am liebsten wäre es mir nicht neue IP für das Passive gerät bereitstellen zu müssen.
Bitte um Aufklärung.
Danke und Gruß,
uLmi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146716
Url: https://administrator.de/contentid/146716
Printed on: April 25, 2024 at 02:04 o'clock
3 Comments
Latest comment
Hallo uLmi,
Nicht wirklich.
Welche Version setzt du ein, Fireware oder XTM?
Bei der Fireware und XTM Active/Passive-Variante schon. die Secondary ist quasi eine identische Firewall auf der auch alle Pakete landen, die abera absolut nichts damit macht. Sie existiert für die anderen Teilnehmer nicht.
Fällt dann die Primary Firewall aus, übernimmt die Secondary allen Traffic, auch die MAC-Adressen der ersten.
Auch VPN-Tunnel werden dann wieder hergestellt, da die IPs, MACs alles gleich bleibt.
Switch
Du gehst vom Router und allen anderen Interfacen in einen Switch und dann in BEIDE Firewalls.
Siehe oben, beide haben die gleichen IPs, nur ist die Secondary still.
Dann würde das Ganze auch nicht funktionieren
Bei weiteren Fragen einfach melden.
Ach ja, mit dem HA verlierst du einen Port, denn brauchen die beiden Firewalls um miteinander zu reden.
VG
deepsys
Ich habe momentan ein X750e und Frage mich wie ein Updade (eine 2te X750e) strukturell aussehen könnte.
By the way ich habe auf der jetztigen Watchguard 2 mal WAN mit Failover, vielleicht tut das was zur sache.
By the way ich habe auf der jetztigen Watchguard 2 mal WAN mit Failover, vielleicht tut das was zur sache.
Nicht wirklich.
Welche Version setzt du ein, Fireware oder XTM?
Kommt die passive WG mit der selben internen und externen IP hochgefahren wenn die aktive nicht mehr läuft ?
Bei der Fireware und XTM Active/Passive-Variante schon. die Secondary ist quasi eine identische Firewall auf der auch alle Pakete landen, die abera absolut nichts damit macht. Sie existiert für die anderen Teilnehmer nicht.
Fällt dann die Primary Firewall aus, übernimmt die Secondary allen Traffic, auch die MAC-Adressen der ersten.
Auch VPN-Tunnel werden dann wieder hergestellt, da die IPs, MACs alles gleich bleibt.
Wie schaffe ich es, dass vom Router ein Kabel jeweils in beide Firewall gehen ?
Switch
Du gehst vom Router und allen anderen Interfacen in einen Switch und dann in BEIDE Firewalls.
Vor allen wie soll das mit den IP's gehen. ??
Siehe oben, beide haben die gleichen IPs, nur ist die Secondary still.
Am liebsten wäre es mir nicht neue IP für das Passive gerät bereitstellen zu müssen.
Dann würde das Ganze auch nicht funktionieren
Bei weiteren Fragen einfach melden.
Ach ja, mit dem HA verlierst du einen Port, denn brauchen die beiden Firewalls um miteinander zu reden.
VG
deepsys
Also-vorher:
RouberA > FB1 (Port1)
RouterB > FB1 (Port4)
Nachher:
RouterA > Switch1 > FB1 (P1) und FB2 (P1)
RouterB > Switch2 > FB1 (P4) und FB2 (P4)
FB1 (P7) < > FB2 (P7) Heartbeat
oder ?
wie das mit den MAC Adressen technish gehen soll verstehe ich nicht weil beide Firewalls unterschiedlich physikalie MACs auf den Interfaces haben sollte.
Naja und müsste ich meine FB1 Config auf der FB 2 Laden und dann auf beiden seiten HA einrichten oder verbinde ich erst beide und starte dann den HA "Wizard"
Ich benutze übrigens XTM 11.2.1 oder so
Gruß,
Ulmi
RouberA > FB1 (Port1)
RouterB > FB1 (Port4)
Nachher:
RouterA > Switch1 > FB1 (P1) und FB2 (P1)
RouterB > Switch2 > FB1 (P4) und FB2 (P4)
FB1 (P7) < > FB2 (P7) Heartbeat
oder ?
wie das mit den MAC Adressen technish gehen soll verstehe ich nicht weil beide Firewalls unterschiedlich physikalie MACs auf den Interfaces haben sollte.
Naja und müsste ich meine FB1 Config auf der FB 2 Laden und dann auf beiden seiten HA einrichten oder verbinde ich erst beide und starte dann den HA "Wizard"
Ich benutze übrigens XTM 11.2.1 oder so
Gruß,
Ulmi
RouterA > Switch1 > FB1 (P1) und FB2 (P1)
RouterB > Switch2 > FB1 (P4) und FB2 (P4)
FB1 (P7) < > FB2 (P7) Heartbeat
oder ?
RouterB > Switch2 > FB1 (P4) und FB2 (P4)
FB1 (P7) < > FB2 (P7) Heartbeat
oder ?
Ja, korrekt.
wie das mit den MAC Adressen technish gehen soll verstehe ich nicht weil beide Firewalls unterschiedlich physikalie MACs auf den
Interfaces haben sollte.
Interfaces haben sollte.
Nach dem HA haben beide die gleiche Mac, ansonsten müssten alle lokalen Clients ihren ARP-Eintrag ändern.
Glaub mir, das klappt schon
Naja und müsste ich meine FB1 Config auf der FB 2 Laden und dann auf beiden seiten HA einrichten oder verbinde ich erst beide
und starte dann den HA "Wizard"
und starte dann den HA "Wizard"
Nein, guck mal in die XTM Doku. Weiß nicht wie das bei XTM ist ...
Ich benutze übrigens XTM 11.2.1 oder so
Dann würde ich vorher auf die XMT 11.3 updaten ...
