Gemalter Industrietunnel Dagegen von Will Mu

Redundante Verbindungen für Sophos RED-Tunnels zwischen XG(S) Firewalls

Bei Sophos RED-Endgeräten kann als Gegenstelle eine primäre und sekundäre IP-Adresse resp. Hostname hinterlegt werden. Baut man jedoch einen RED-Tunnel zwischen zwei Sophos XG(S) Firewalls auf, kann auf der Client-Seite bloss eine IP-Adresse resp. ein Hostname hinterlegt werden. Redundanzen bei den WAN-Interfaces auf der Server-Seite können so nicht genutzt werden. Über einen erstaunlich einfachen Kniff sind sogar multiple Redundanzen mit Gewichtung möglich.

DNS, immer DNS

Der Kniff macht sich zu nutze, dass der RED-Tunnel den hinterlegten Hostanmen über den Firewall-Internen DNS-Service auflöst. Anstelle der tatsächlichen Gegenstelle trägt man daher einen internen Hostnamen (hier im Beispiel «hifish.red») ein.

Konfiguration des Client RED-Interfaces einer Sophos XGS-Firewall

Im DNS-Bereich erfasst man den Hostrnamen und hinterlegt dann die IP-Adresse mit der entsprechenden Gewichtung.

Konfiguration des Host-Eintrags mit Gewichtung auf einer Sophos XGS Firewall

Einschränkungen und finale Überlegungen

Obwohl sich so sehr gut Redundanzen Bilden lassen, funktioniert der Failback auf die IP-Adresse mit der tiefsten Gewichtung nicht automatisch. Der Client «klebt» also quasi an der IP mit welcher er zuletzt mit der Server-Firewall kommuniziert hat. Ein Workarond hier ist das vorübergehende Deaktivieren des RED-Interfaces auf der Client-Firewall. Beim erneuten Verbindungsaufbau wird dann die IP mit dem niedrigsten Gewicht gewählt.

Eine weitere Einschränkung ist, dass der DNS-Server in der Sophos Firewall zur Zeit nur A-Records unterstützt. Deshalb lassen sich so nur WAN-Interfaces mit fixen publix IPs verbinden. Bei Gegenstellen mit dynamischen IPs kann man sich ggf. mit DynDNS Diensten behelfen. Bei Umgebungen mir mehreren RED-Tunnels kann die Nutzung eines zentralen, öffentlichen DNS-Dienstes sogar noch einfacher zu managen sein.

Bei Tests ist mir zudem noch aufgefallen, dass nur die Haupt-IP-Adresse eines WAN-Interfaces für RED-Uplinks genutzt werden kann. Definiert man mehrere Alias IPs auf einem WAN-Interfacee (z.B. bei mehreren fixen Public IPs) lassen sich diese nicht für RED-Verbindungen nutzen.