Vernetzung von mehreren Fortigate-HA-Clustern
Für unsere Rechenzentren und die Verwaltung nutze ich als Firewalls sehr gerne Fortigates.
In der Verwaltung stand bisher eine einzelne Fortigate 40F, die über eine Internetverbindung mit einem Standort und über eine Layer 2-Direktverbindung mit einem anderen Standort verbunden war. Über alle Standorte wird OSPF genutzt und funktioniert seit langer Zeit sehr gut.
Da ein einzelnes Gerät ein Single Point of Failure darstellt, gab es in der Verwaltung noch einen LANCOM-Router, der zu einem der Standorte eine weitere VPN-Verbindung aufgebaut hat.
Diese Konstruktion benötigt aber, um den Single Point of Failure zu vermeiden, noch einen redundanten Router, mit dem die Clients sprechen. In einem einfacheren Konstrukt oder mit anderer Hardware könnte man auch ein First Hop Redundancy Protocol (VRRP z.B.) nutzen. In meinem Fall hab ich einen Stack aus zwei Routing Switches genutzt.
Diese Konstruktion aus Hardware von drei Herstellern mit unterschiedlichen Aufgaben hat funktioniert, leider teilweise nicht immer problemlos. Daher ist die Entscheidung gefallen, dass ganze Netz der Verwaltung zu vereinfachen und einen Fortigate-HA-Cluster in der Verwaltung aufzubauen.
Bei der FGT 40F handelt es sich um ein Gerät unter 2GB RAM, welches letztens durch ein Firmwareupdate das Proxyfeature verloren hat und zum 1. August wäre eine Serviceverlängerung nötig gewesen. Aus dem Grund wurde etwas umgeschichtet und ich konnte zwei 80F freimachen.
Im einen Rechenzentrum steht in Active-Active-Cluster aus zwei FGT 90G und hierhin besteht die Layer 2-Direktverbindung, also beide Fortigate-Cluster sehen sich direkt. Bei der Inbetriebnahme hatte ich aber das Problem, dass die IPSec-Verbindung zwischen beiden Standorten zwar nach langer Zeit aufgebaut wurde, aber die Datenrate war so gering, dass selbst ICMP Echo-Requests nur sehr sporadisch durchgingen.
Die IPSec-Verbindung über die Internetverbindung zum anderen Standort lief sofort und problemlos.
Bei der Analyse zeigte sich, dass ICMP Echo-Requests direkt auf der Verbindung, also ohne IPSec-Tunnel, nur in eine Richtung funktionierte und die funktionierende Richtung änderte sich alle paar Minuten oder wenn man die Verbindung unterbrochen hat. Ein Neustart des vorgelagerten Switches und des Providerübergaberouters brachte keine Besserung. Ein Blick in die MAC-Tabelle des vorgelagerten Switches zeigte, dass die MAC-Adresse des Verwaltungsclusters auf dem Port lag, der in Richtung Rechenzentrum zeigte. Dies war der ausschlaggebende Punkt.
Beide Cluster hatten die selbe MAC-Adresse. Durch den Clusterbetrieb werden generische MAC-Adressen genutzt, wie man es von First Hop Redundacy Protokollen auch schon kennt.
Bei der Einrichtung des Clusters gibt man eine Cluster-ID an, diese wird für die Berechnung der generischen MAC-Adresse genutzt. Ich hatte hier beide Cluster mit der ID 0 angelegt. Den Cluster in der Verwaltung hab ich auf die ID 9 geändert und mein Problem war sofort weg.
Also wenn Ihr mehrere Fortigate-Cluster über eine Layer 2-transparente Verbindung vernetzen wollt, achtet drauf, dass die Cluster-IDs unterschiedlich sind, wie es bei den anderen FHRP auch nötig ist.
Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Stefan Pilz am :