Die Firewall-Redundanz kann aktuell nur aktiviert werden, wenn keine VPN-Verbindun­gen auf dem Gerät konfiguriert sind.

Die Firewall-Redundanz steht nicht auf den Geräten der FL MGUARD 2000-Serie zur Verfügung.

Eine ausführliche Darstellung zum Thema Redundanz finden Sie in Kapitel 13, „Redun­danz“.

Um die Redundanzfunktion zu nutzen, muss auf beiden Geräten die gleiche Firmware in­stalliert sein.

Bei aktivierter Redundanzfunktion kann VLAN im Stealth-Modus nicht verwendet werden.

Aktiviere Redundanz

Deaktiviert (Standard): Die Firewall-Redundanz ist ausge­schaltet.

Aktiviert: Die Firewall-Redundanz ist aktiviert.

Allgemein

Redundanzstatus

Zeigt den aktuellen Status an.

Umschaltzeit im Feh­lerfall

Zeit, die im Fehlerfall maximal verstreichen darf, bevor auf das andere mGuard-Gerät gewechselt wird.

Wartezeit vor Umschaltung

0 ... 10  000 Millisekunden, Standard: 0

Zeitdauer, in der ein Fehler vom Redundanz-System ignoriert wird.

Ein Fehler wird von der Konnektivitäts- und der Verfügbar­keitsprüfung ignoriert, bis er länger als die hier eingestellte Zeit andauert.

Priorität dieses Gerä­tes

hoch/niedrig

Definiert die Priorität, die mit den Anwesenheitsnachrichten (CARP) verbunden ist.

Setzen Sie bei dem mGuard-Gerät, das aktiv sein soll, die Pri­orität hoch. Das Gerät in Bereitschaft bekommt die Priorität niedrig.

Beide Geräte eines Redundanzpaares dürfen entweder eine unterschiedliche Priorität oder die Priorität hoch haben.

Passphrase für Ver­fügbarkeitstest

Bei einem mGuard-Gerät, das Teil eines Redundanzpaares ist, wird kontinuierlich geprüft, ob ein aktiver mGuard vorhan­den ist und ob dieser aktiv bleiben soll. Dafür wird eine Vari­ante des CARP (Common Address Redundancy Protocol) verwendet.

CARP nutzt die SHA-1 HMAC-Verschlüsselung in Verbindung mit einem Passwort. Dieses Passwort muss für beide mGuards gleich eingestellt sein. Er wird niemals im Klartext über­tragen, sondern zur Verschlüsselung genutzt.

Gehen Sie so vor, um das Passwort zu ändern:

Stellen Sie das neue Passwort an beiden mGuard-Geräten ein. Die Reihenfolge ist egal, aber das Passwort muss bei beiden gleich sein. Wenn Sie versehentlich ein abweichen­des Passwort eingetragen haben, folgen Sie den Anweisungen unter „Vorgehensweise bei einem falschem Passwort“ auf Seite 302.

Sobald ein Redundanzpaar ein neues Passwort erhalten hat, handelt es selbst aus, wann es unterbrechungsfrei zum neuen Passwort wechseln kann.

Wenn ein Gerät während des Passwort-Wechsels ausfällt, gibt es diese Fälle:

–Die Passwort-Erneuerung wurde an allen mGuard-Geräten gestartet und dann unter­brochen, z. B. durch einen Netzwerk-Fehler. Dieser Fall wird automatisch behoben.

–Die Passwort-Erneuerung wurde an allen mGuard-Geräten gestartet. Aber dann fällt ein Gerät aus und muss ausgetauscht werden.

–Die Passwort-Erneuerung wurde gestartet, aber nicht an allen Geräten, weil diese ausgefallen sind. Sobald ein fehlerhaftes Gerät wieder online ist, muss die Passwort-Erneuerung gestartet werden. Bei einem ausgetauschten Gerät muss dieses zu­nächst mit dem alten Passwort konfiguriert werden, bevor es angeschlossen wird.

Vorgehensweise bei einem falschem Passwort

Wenn Sie das alte Passwort noch kennen, gehen Sie so vor:

•Rekonfigurieren Sie das Gerät, bei dem das falsche Passwort eingetragen wurde, noch einmal mit dem alten Passwort.

•Warten Sie bis das Gerät anzeigt, dass das alte Passwort benutzt wird.

•Tragen Sie dann das richtige Passwort ein.

Wenn Sie das alte Passwort nicht mehr kennen, gehen Sie so vor:

•Prüfen Sie, ob Sie das alte Passwort beim anderen Gerät auslesen können.

•Wenn das andere Gerät ausgeschaltet ist oder fehlt, dann können Sie bei dem akti­ven Gerät, das sie versehentlich das falsche Passwort eingestellt haben, einfach das korrekte neue Passwort eintragen. Sorgen Sie dafür, dass das andere Gerät das glei­che Passwort erhält, bevor er wieder in Betrieb geht.

•Wenn das andere Gerät das neue Passwort bereits verwendet, dann müssen Sie si­cherstellen, dass das Gerät mit dem falschen Passwort nicht aktiv ist oder wird, z. B. durch das Herausziehen des Kabels an der LAN- oder WAN-Schnittstelle.

Bei einem Fernzugriff können Sie für die Konnektivitätsprüfung ein Ziel eintragen, das nicht reagieren wird. Bevor Sie einen solchen Fehler provozieren, prüfen Sie, dass bei keinem der Geräte ein Fehler bei der Redundanz vorliegt. Ein Gerät muss aktiv und der andere in Bereitschaft sein. Gegebenenfalls müssen Sie angezeigte Fehler beheben und dann erst die Methode verwenden. Dann führen Sie die folgen­den Schritte aus:

–Ersetzen Sie das falsche Passwort durch ein anderes.

–Geben Sie dieses Passwort auch beim aktiven Gerät ein.

–Nehmen Sie das nicht aktive Gerät wieder in Betrieb. Stecken Sie zum Beispiel das Ethernet-Kabel wieder ein oder stellen Sie die alten Einstellungen für die Konnektivitätsprüfung wieder her.

Externe virtuelle Interfaces

Externe virtuelle Router-ID

1, 2, 3, ... 255 (Standard: 51)

Nur im Netzwerk-Modus Router

Diese ID wird vom Redundanzpaar bei jeder Anwesenheits­nachricht (CARP) über das externe Interface mitgesendet und dient der Identifizierung des Redundanzpaares.

Diese ID muss für beide Geräte gleich sein. Sie ist notwendig, um das Redundanzpaar von anderen Redundanzpaaren zu unterscheiden, die über ihr externes Interface mit demselben Ethernet-Segment verbunden sind.

Beachten Sie dabei, dass CARP dasselbe Protokoll und den­selben Port wie VRRP (Virtuell Router Redundancy Protokoll) nutzt. Die hier eingestellte ID muss sich unterscheiden von den IDs der Geräte, die VRRP oder CARP nutzen und sich im selben Ethernet-Segment befinden.

Externe virtuelle IP-Adressen (IP)

Default: 10.0.0.100

Nur im Netzwerk-Modus „Router“

IP-Adressen, die von beiden mGuard-Geräten als virtuelle IP-Adresse des externen Interfaces geteilt wird. Diese IP-Ad­ressen müssen für beide Geräte gleich sein.

Diese Adressen werden als Gateway für explizite statische Routen von Geräten genutzt, die sich im selben Ethernet-Seg­ment wie das externe Netzwerk-Interface des mGuards befin­den.

Das aktive Gerät kann auf dieser IP-Adresse ICMP-Anfragen erhalten. Er reagiert auf diese ICMP-Anfragen wie es im Menü unter „Netzwerksicherheit >> Paketfilter >> Erweitert“ einge­stellt ist.

Für die virtuelle IP-Adressen werden keine Netzwerkmasken oder VLAN IDs eingerichtet, da diese Attribute von der realen externen IP-Adresse bestimmt werden. Zu jeder virtuellen IP-Adresse muss eine reale IP-Adresse konfiguriert sein, in deren IP-Netz die virtuelle Adresse passt. Das Gerät überträgt die Netzwerkmaske und die VLAN-Einstellung von der realen externen IP-Adresse auf die entsprechende virtuelle IP-Ad­resse.

Die übernommenen VLAN-Einstellungen bestimmen, ob Standard-MTU-Einstellungen oder VLAN-MTU-Einstellungen für die virtuelle IP-Adresse genutzt werden.

Interne virtuelle Interfaces

Interne virtuelle Router-ID

1, 2, 3, ... 255 (Standard: 52)

Nur im Netzwerk-Modus Router

Diese ID wird vom Redundanzpaar bei jeder Anwesenheits­nachricht (CARP) über das externe und interne Interface mit­gesendet und dient der Identifizierung des Redundanzpaares.

Diese ID muss für beide Geräte gleich eingestellt sein. Sie ist notwendig, um das Redundanzpaares von anderen Ethernet-Teilnehmern zu unterscheiden, die über ihr externes/internes Interface mit demselben Ethernet-Segment verbunden sind.

Beachten Sie dabei, dass CARP dasselbe Protokoll und den­selben Port wie VRRR (Virtuell Router Redundancy Protokoll) nutzt. Die hier eingestellte ID muss sich unterscheiden von den IDs der Geräte, die VRRR oder CARP nutzen und sich im selben Ethernet-Segment befinden.

Interne virtuelle IP-Adressen (IP)

Wie unter „Externe virtuelle IP-Adressen (IP)“ beschrieben, aber mit zwei Ausnahmen

Unter Interne virtuelle IP-Adresse (IP) werden IP-Adressen definiert für Geräte, die zum internen Ethernet-Segment gehö­ren. Diese Geräte müssen die IP-Adresse als ihr Standard-Gateway nutzen. Sie können diese Adresse als DNS- oder NTP-Server nutzen, wenn der mGuard als Server für die Pro­tokolle konfiguriert ist.

Zu jeder virtuellen IP-Adresse muss eine reale IP-Adresse konfiguriert sein, in deren IP-Netz die virtuelle Adresse passt.

Die Reaktion auf ICMP-Anfragen bei internen virtuellen IP-Ad­ressen ist unabhängig von den Einstellungen unter „Netz­werksicherheit >> Paketfilter >> Erweitert“.

Externes Interface

Art der Prüfung

Legt fest, ob und wie bei dem externen Interface eine Konnek­tivitätsprüfung durchgeführt wird.

Bei Nur Prüfung des Ethernet-Links wird nur der Verbin­dungsstatus der Ethernet-Verbindung geprüft.

Wenn Mindestens ein Ziel muss antworten ausgewählt ist, dann ist es egal, ob der ICMP-Echo-Request von dem primä­ren oder sekundären Ziel beantwortet wird.

Die Anfrage wird nur an das sekundäre Ziel geschickt, wenn das primäre nicht zufriedenstellend geantwortet hat. Auf diese Weise können Konfigurationen unterstützt werden, bei denen die Geräte nur bei Bedarf mit ICMP-Echo-Requests ausge­stattet sind.

Bei Alle Ziele einer Menge müssen antworten müssen beide Ziele antworten. Wenn kein sekundäres Ziel angegeben ist, muss nur das primäre antworten.

Ergebnis der Konnek­tivitätsprüfung des externen Interface

Zeigt an, ob die Konnektivitätsprüfung erfolgreich war (grüner Haken).

Status der Konnektivi­tätsprüfung des exter­nen Interface

Zeigt den Status der Konnektivitätsprüfung an.

Primäre externe Ziele (für ICMP Echo-Anfragen)

(Nicht bei Auswahl Nur Prüfung des Ethernet-Links.)

IP

Unsortierte Liste von IP-Adressen, die als Ziele für die ICMP-Echo-Requests genutzt werden. Wir empfehlen, die IP-Adres­sen von Routern zu verwenden, insbesondere die IP-Adres­sen von Standard-Gateways oder die reale IP-Adresse des anderen mGuards.

Default: 10.0.0.30, 10.0.0.31 (für neue Adressen)

Jeder Satz von Zielen für den Zustandsabgleich kann maxi­mal zehn Ziele beinhalten.

Sekundäre externe Ziele (für ICMP Echo-Anfragen)

(Nicht bei Auswahl Nur Prüfung des Ethernet-Links.)

IP

(Siehe oben)

Wir nur genutzt, wenn die Prüfung der primären Ziele fehlge­schlagen ist.

Ein Ausfall eines sekundären Ziels wird im normalen Betrieb nicht entdeckt.

Default: 10.0.0.30, für neue Adressen 10.0.0.31

Jeder Satz von Zielen für den Zustandsabgleich kann maxi­mal zehn Ziele beinhalten.

Internes Interface

Art der Prüfung

Legt fest, ob und wie bei dem internen Interface eine Konnek­tivitätsprüfung durchgeführt wird.

Bei Nur Prüfung des Ethernet-Links wird nur der Verbin­dungsstatus der Ethernet-Verbindung geprüft.

Wenn Mindestens ein Ziel muss antworten ausgewählt ist, dann ist es egal, ob der ICMP-Echo-Request von dem primä­ren oder sekundären Ziel beantwortet wird.

Die Anfrage wird nur an das sekundäre Ziel geschickt, wenn das primäre nicht zufriedenstellend geantwortet hat. Auf diese Weise können Konfigurationen unterstützt werden, bei denen die Geräte nur bei Bedarf mit ICMP-Echo-Requests ausge­stattet sind.

Bei Alle Ziele einer Menge müssen antworten müssen beide Ziele antworten. Wenn kein sekundäres Ziel angegeben ist, muss nur das primäre antworten.

Ergebnis der Konnek­tivitätsprüfung des internen Interface

Zeigt an, ob die Konnektivitätsprüfung erfolgreich war (grüner Haken).

Status der Konnektivi­tätsprüfung des inter­nen Interface

Zeigt den Status der Konnektivitätsprüfung an.

Primäre interne Ziele (für ICMP Echo-Anfragen)

(Nicht bei Auswahl Nur Prüfung des Ethernet-Links.)

(Siehe oben)

Voreingestellt: 192.168.1.30, für neue Adressen 192.168.1.31

Sekundäre interne Ziele (für ICMP Echo-Anfragen)

(Nicht bei Auswahl Nur Prüfung des Ethernet-Links.)

(Siehe oben)

Voreingestellt: 192.168.1.30, für neue Adressen 192.168.1.31

Settings

Aktiviere Ring-/Netz­kopplung/Dual Homing

Bei Aktivierung wird im Stealth-Modus der Status der Ether­netverbindung von einem Port auf den anderen übertragen, wodurch sich Unterbrechungen im Netzwerk leicht zurückver­folgen lassen.

Redundanzport

Intern / Extern

Intern: Wenn die Verbindung am LAN-Port wegfällt/kommt, wird auch der WAN-Port ausgeschaltet/eingeschaltet.

Extern: Wenn die Verbindung am WAN-Port wegfällt/kommt, wird auch der LAN-Port ausgeschaltet/eingeschaltet.