R & S UF-260 Hochverfügbarkeit

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
XJ8
Beiträge: 49
Registriert: 19 Okt 2019, 18:17

R & S UF-260 Hochverfügbarkeit

Beitrag von XJ8 »

Hallo Community,

derzeit beschäftige ich mich mit dem Thema UF-260 und Hochverfügbarkeit.
Hat hier jemand vielleicht dazu schon Erfahrungen sammeln können und mag darüber berichten ?

Das was Lancom dazu bekannt gibt ist eher spärlich - wie bei dieser Produktserie üblich.

Insbesondere würden mich die Voraussetzungen interessieren die erfüllt sein müssen um Hochverfügbarkeit sinnvoll einsetzen zu können.
Damit meine ich nicht die Voraussetzungen über die Lancom schreibt, sondern eher die Voraussetzungen über die nicht geschrieben wird.

Danke für Euren Input und ein schönes WE wenn es denn soweit ist.

Beste Grüße aus NDS
Benutzeravatar
nibbleminx
Beiträge: 12
Registriert: 03 Sep 2024, 18:19

Re: R & S UF-260 Hochverfügbarkeit

Beitrag von nibbleminx »

Es gibt da keine "besonderen" Voraussetzungen.
Die Firewalls werden mit einem dedizierten interface, direkt und ohne Switch miteinander verbunden.

Fällt eine aus, detektiert die andere das dann, und sorgt per gratuitous ARP dafür, dass das Netz weiß auf welchen neuen MAC-Adressen sich die IPs jetzt zu finden sind. Die zweite läuft quasi immer parallel mit der selben config der primären Firewall und übernimmt im Fehlerfall fast Nahtlos innerhalb von ein paar wenigen Sekunden.

Im Idealfall hängt dei zweite UF aber auf einem unabhängigen Switch und an einer anderen Stromversorgung. Ein HA Schwenk kann nämlich auch dann ausgeführt werden, wenn am Switch ein einzelner Port stirbt und die primäre Firewall einen von X Links verliert.
:arrow: Better safe than sorry. Erst das Backup, danach alles Andere
XJ8
Beiträge: 49
Registriert: 19 Okt 2019, 18:17

Re: R & S UF-260 Hochverfügbarkeit

Beitrag von XJ8 »

Mein Betrag, in dem ich das Thema angefragt hatte, ist ja schon etwas abgestaubt.

Zwischenzeitlich habe ich damit ein wenig "Forschung" betrieben, um es vorweg zu sagen: das Verhalten der UF-260 war enttäuschend.
Zwar habe ich es hinbekommen, dass die beiden FW sich über den direkten Link erkannt und synchronisiert haben, ein einmaliges failover hat ebenfalls "funktioniert".
Nach dem Failover haben sich die beiden Units allerdings nicht wieder gefunden wenn man das "defekte" Gerät wieder neu gestartet hat.
Auch der Versuch, ein SW Update nach dem "Kochbuch" von Lancom durchzuführen war eine Katastrophe. Sowas brauche ich nicht, vor allem nicht wenn die Geräte ein paar hundert KM entfernt stehen.
Ich betreibe für einen Kunden mehrere Cisco Firewall Failover Paare, die laufen total stabil, lassen sich easy updaten und beliebig vom active in den standby Mode switchen. So etwas in der Art hätte ich vom führenden deutschen Hersteller auch erwartet.

Mag ja auch sein, dass das Problem in der lausigen Doku des Herstellers liegt. Wenn ich lese, dass Lancom - oder R&S ihre Firewalls auch in größeren Umgebungen sehen, dann bin ich schon etwas am staunen. Da gibt es schon diverse Funktionen die ich vermisse.

Basiert Ihr Beitrag denn auf eigenen Erfahrungen mit der Lancom Failover Thematik oder eher auf theoretischen Überlegungen?
Benutzeravatar
nibbleminx
Beiträge: 12
Registriert: 03 Sep 2024, 18:19

Re: R & S UF-260 Hochverfügbarkeit

Beitrag von nibbleminx »

XJ8 hat geschrieben: 03 Sep 2024, 22:04 Nach dem Failover haben sich die beiden Units allerdings nicht wieder gefunden wenn man das "defekte" Gerät wieder neu gestartet hat.
Das ist durchaus so gewollt. Es wird davon ausgegangen, dass bei einem HA-Schwenk ein tatsächlicher Defekt bzw. eine Störung vorliegt und das nicht mal zum "Spaß" gewechselt wurde. Von der ursprünglich sekundäre Firewall, die zur primären geworden ist, wird dann auch erstmal nicht mehr zurück gewechselt. Warum auch? es gab ja einen Grund für den Rollenwechsel! Damit soll verhindert werden, dass z.B. bei nem Defekten Switch, ein Flapping stattfindet, bei dem die Firewalls dann ständig ihre Rollen hin und her schalten. Im einfachsten Falle startet man die derzeit aktive Firewall einfach neu. Die andere Standby-Firewall übnernimmt dann automatisch wieder. Wenn ich die "defekte" 10 mal neu starte will ich ja gerade nicht, dass die beiden ständig hin und her wechseln! Hardware-Defekte können bekanntlich auch so aussehen, dass das Gerät alle 5 minuten neustartet.

-Updates im HA sind in der Vergangenheit teilweise problematisch gewesen, das stimmt. Die Probleme sollten aber mittlerweile behoben sein, jedenfalls steht das im Changelog und ich habe mit aktuellen LCOS-FX versionen auch keine bösen Überraschungen mehr erlebt.

Funktionen vermisse ich persönlich eigentlich auch nicht. Mir würde jetzt jedenfalls nix wirklcih signifikantes einfallen, was sie nicht können. Export/Import funktionen könnten über die Standard-UI etwas besser sein, aber wenn man wirklich viele gleiche installationen hat, bei denen sich das lohnen könnte. Kann und sollte man Filterlisten etc. auch lieber über die LMC ausrollen. In den meisten Fällen brauche die Installationen dann aber ja doch gewachsene, angepasste und individuelle konfigurationen. Wenn ich 300 gleiche Standorte von Peter Lustigs Bauwagen in betrieb nehme, mache ich das natürlch nicht mehr alles einzeln über die Weboberfläche.

-Mein Beitrag ergibt sich aus eigenen Erfahrungen.
:arrow: Better safe than sorry. Erst das Backup, danach alles Andere
XJ8
Beiträge: 49
Registriert: 19 Okt 2019, 18:17

Re: R & S UF-260 Hochverfügbarkeit

Beitrag von XJ8 »

OK, dass die ex-primäre Firewall nicht preemptive wieder die primäre FW wird ist richtig und sinnvoll.
In den von mir getesteten Scenarien haben aber die "neue" primäre FW und die wieder hergestellte "ex defekte" FW sich nicht
wieder zu einer "HA Unit" geformt sondern als zwei unabhängige Geräte dargestellt.

Funktionen die ich vermisse sind das manuelle hin und her switchen des Gerätestatus von aktiv und standby.
Die IMHO nicht vorhandene Möglichkeit den Status des Failovers im CLI zu monitoren.
Insgesamt ist der CLI Support unterirdisch bzw nur durch ausprobieren nutzbar.
Was mir auch fehlt ist die Option, ein VPN zwischen zwei Standorten mit identischen IP-Ranges zu erstellen - was gelegentlich
in Migrationsprojekten sehr hilfreich ist. (bei Cisco nennt sich das twice-nat)

Die fehlende Möglichkeit mit einer UF-xxx eine Anbindung an die AWS Cloud zu realisieren ist sehr fragwürdig.
(Das hat auch der Support leider so bestätigt).
Die eher rudimentäre BGP Unterstützung sowie die völlige Abwesenheit des OSPF Routing ist in manchen Umgebungen auch hinderlich.

Mag durchaus sein, dass einiges mehr mit den UF-xxx geht, aber dazu reicht die "Dokumentation" wohl eher nicht aus.
Aber, wohl auch auf Grund der eher schmalen Installationsbasis im Feld, fehlen den UF-xx Produkten unabhängige
Supportforen, außer diesem Forum ist mir kein weiteres bekannt.

Daher kommen die Boxen für mich nur in den Filialen eines VPN Netzes in Frage.

In einem etwas größeren VPN Netz mag ich mir den Aufwand in der GUI nicht mal vorstellen, wenn man am
zentralen Standort fünfzig oder mehr Filialen darstellen muss.
Dr.Einstein
Beiträge: 3065
Registriert: 12 Jan 2010, 14:10

Re: R & S UF-260 Hochverfügbarkeit

Beitrag von Dr.Einstein »

nibbleminx hat geschrieben: 04 Sep 2024, 21:29 Wenn ich 300 gleiche Standorte von Peter Lustigs Bauwagen in betrieb nehme, mache ich das natürlch nicht mehr alles einzeln über die Weboberfläche.
Derjenige, der 300 UFs verwalten muss, tut mir einfach nur Leid.
sixty
Beiträge: 83
Registriert: 21 Sep 2010, 22:54

Re: R & S UF-260 Hochverfügbarkeit

Beitrag von sixty »

Die Sophos UTM (ex. Astaro ASG) bietet all das (beim twice-nat bin ich mir nicht sicher) und noch mehr.
Zusammen mit dem UTM Manager lassen sich auch 300 Firewalls zentral verwalten und templatebasiert ausrollen.
Leider wurde dieses edle Pferd von den Briten und später Kanadiern zu Schande geritten und erhält am 30.6.2026 den Gnadenschuß.
XJ8
Beiträge: 49
Registriert: 19 Okt 2019, 18:17

Re: R & S UF-260 Hochverfügbarkeit

Beitrag von XJ8 »

Dr.Einstein hat geschrieben: 05 Sep 2024, 19:41
Derjenige, der 300 UFs verwalten muss, tut mir einfach nur Leid.
:mrgreen: :mrgreen: :mrgreen: :L) :L) :L)
Benutzeravatar
nibbleminx
Beiträge: 12
Registriert: 03 Sep 2024, 18:19

Re: R & S UF-260 Hochverfügbarkeit

Beitrag von nibbleminx »

Funktionen die ich vermisse sind das manuelle hin und her switchen des Gerätestatus von aktiv und standby.
Eine einfach aus machen. Der Schwenk passiert dann automatisch.
Die IMHO nicht vorhandene Möglichkeit den Status des Failovers im CLI zu monitoren.
Geht per SNNP. Ist so auch im Handbuch erklärt: https://www.lancom-systems.de/fileadmin ... ual_DE.pdf unter 3.4.1.6.3 Monitoring
Insgesamt ist der CLI Support unterirdisch bzw nur durch ausprobieren nutzbar.
Alles was du auf er CLI machen könntest würde dafür sogen, dass du den Support verlierst. Außerdem wäre von Änderungen, nichts im Backup enthalten usw... Die CLI ist grundsätzlich nicht als Administrationsschnittstelle vorgesehen und damit nicht mit LCOS vergleichbar. Alles was an config zu erledigen ist, geht über die GUI und Monitoring per GUI und SNMP und Syslog.
Was mir auch fehlt ist die Option, ein VPN zwischen zwei Standorten mit identischen IP-Ranges zu erstellen - was gelegentlich
in Migrationsprojekten sehr hilfreich ist. (bei Cisco nennt sich das twice-nat)
gibts hier: https://knowledgebase.lancom-systems.de ... d=88212306
Die fehlende Möglichkeit mit einer UF-xxx eine Anbindung an die AWS Cloud zu realisieren ist sehr fragwürdig.
Welche Art der Anbindung und wofür?
Die eher rudimentäre BGP Unterstützung sowie die völlige Abwesenheit des OSPF Routing ist in manchen Umgebungen auch hinderlich.
Die Firewall ist ja auch eine Firewall mit Routing-Funktionalität und kein Router mit Firewalling-Funktionalität. Ich hätte auch gerne einen Toaster, der Wasser kochen kann. Das wird in der Praxis aber eher schwierig.
Derjenige, der 300 UFs verwalten muss, tut mir einfach nur Leid.
Über die LMC ist das grundsätzlich sehr einfach möglich, sogar mit zero Touch. Wo ist das Problem?
:arrow: Better safe than sorry. Erst das Backup, danach alles Andere
Antworten