HA Setup mit transparenter DMZ möglich?

golodhrim

Hallo,
habe in der Firma die Firewall neu mit übernommen, aktualisiere die beiden Geräte gerade auf 2.5.2 und möchte danach gerne auch die HA-Configuration nutzen. Dazu ist folgendes zu sagen:
Firewall nutzt folgende Interfaces:

• LAN hier ist CARP kein Problem
• WAN sollte ebenfalls Problemlos CARP nutzen können
• SYNC hier ist ebenfalls CARP kein Problem
• DMZ stellt mir grade noch die 100 Fragezeichen, da es sich um eine transparente DMZ Zone handelt.

Ist in diesem Setup überhaupt ein HA möglich, ohne die transparente DMZ aufzuheben? Wenn ja, was muß hier beachtet werden?

Gruß
golodhrim

viragomann

@golodhrim
Transparent bedeutet wohl, dass das Interface auf WAN gebrückt ist.
Da ist dann gar nicht zu beachten. Dann hat die DMZ ja keine eigene IP und die Geräte in der DMZ nutzen direkt das WAN Gateway. So braucht die DMZ auch keine CARP IP. Die WAN-Brücke sollte weiter funktionieren.

Aber wofür strebst du ein SYNC CARP an?

golodhrim

Hallo @viragomann ,

danke für deine schnelle Antwort. Das Sync-Carp kann aus einer Doku die ich hatte, aber wenn da auf Sync kein CARP notwendig ist, so ist es ja noch besser. Danke dir auf jedenfall für deine schnelle Antwort. also wäre deine Setupstrategie dafür wie folgt:

Sync:

• Lan
• WAN

noSync

• DMZ
• SYNC

dafür dann notwendig

• LAN (3 IPs - 1 CARP, und 2 je eine ans Interface)
• WAN (3 IPs - 1 CARP, und 2 je eine ans Interface)
• DMZ (bridge ans WAN lassen und Netzwerk bei beiden FWs anschließen)
• SYNC (2 IPs, eine je Interface)

und dann einfach stupide der Dokumentation folgen, richtig?

Gruß
golodhrim

viragomann

@golodhrim
WAN-DMZ ist also tatsächlich gebridged?
Ich denke, das ist generell keine geeignete Konfiguration für HA. Damit hast du zwischen WAN und DMZ eine L2 Verbindung. CARP kann aber nur auf L3 funktionieren.
Du könntest zwar WAN eine CARP IP zuweisen, die beim Failover auch von der anderen Box genutzt werden könnte, die DMZ-Geräte kommunizieren aber direkt mit dem WAN Gateway (L2), dabei wäre ihnen egal, ob sie über den Master oder die Backup gehen. Beide hätten eine aktive L2-Verbindung. Du müsstest also deine Firewall Regeln mit Sloppy State konfigurieren, damit das funktionieren könnte.

Hast du nur ein öffentliches Subnetz? Wenn du mehrere hast und nur eines für die DMZ verwendet werden soll, solltest du anstatt der Bridge dieses nach intern routen. Dann hättest du intern ein DMZ-Gatetway mit CARP IP.

JeGr

@viragomann Kann ich mich nur anschließen. Eine DMZ mit irgendeiner Art Bridging zu basteln würde mir ziemliche Kopfschmerzen bereiten. Da wäre simples 1:1 NATting oder (noch besser wenn möglich) reines Routing um ein Vielfaches simpler.