SOPHOS UTM – IPsec over multiple WAN 2


Sia dato il seguente scenario:

IPsec_more_wan

L'obbiettivo è quello di creare un tunnell IPsec in grado di collegare le due netowrk e che segua la WAN attiva in base alle preferenze dell'amministratore di sistema. Per raggiungere lo scopo occorre affidarsi alle funzionalità legate agli availability group. Le attività da eseguire sull'UTM con WAN ridondate sono le seguenti:

  • (1) Configurazione delle interfacce con relativi gateway (Interface & Routing > Interfaces > Interfaces , Uplink Balancing)

Configurazione delle interfacce ethernet sull'UTM. Sono necessarie tre interfacce fisiche poiché il tunnel IPsec può essere configurato solo su primary address

Configurazione delle interfacce ethernet sull’UTM. Sono necessarie tre interfacce fisiche poiché il tunnel IPsec può essere configurato solo su primary address

Configurazione delle interfacce ethernet sull'UTM. Sono necessarie tre interfacce fisiche poiche' il tunnel IPsec puo' essere configurato solo su primary address

Configurazione delle interfacce ethernet sull’UTM. Sono necessarie tre interfacce fisiche poiche’ il tunnel IPsec puo’ essere configurato solo su primary address

Occorre specificare che è necessario configuare secondo le proprie esigenze l'uplink balancing. La configurazione oggetto di questo articolo vede tre link attivi senza multipath rules, in questo modo si mantiene la possibilità di utilizzare NAT sugli indirizzi relativi alle interfacce utilizzate.

  • (2) Definizione dell'interface group (Interface & Routing > Interfaces > New Interfaces "Type = Group")

Interface group

Interface group

Nell'interface group si andranno a definire le interfacce sulle quali agirà la connessione IPsec. Notare che le interfacce sono in ordine di priorità, tale ordine dovrà essere rispecchiato nell'availability group sull'UTM remoto.

  • (3) Definizione del remote gateway (Site-to-site VPN > IPsec > Remote Gateway > New Remote Gateway)

hq_rg

Dove DC01 = 192.168.50.1 e DC_NETWORK = 10.200.0.0/16

  • (4) Definizione della connessione IPsec (Site-to-site VPN > IPsec > Connections > New IPsec Connection … )

hq_conn

Dove DC01 è il remote gateway appena creato e WAN_IPSEC è l'Interface Group creato in precedenza. Automatic firewall rules è necessario se non si vuol creare a mano le regole firewall per consentire il traffico tra le reti.

 

Sull'UTM remoto occorre agire come di seguito:

  • (1) Configurazione delle interfacce con relativi gateway (Interface & Routing > Interfaces > Interfaces)

dc_int

  • (2) Configurazione dell'availability group (Definitions & Users > Network Definitions > New Network Definitions "Type = Availability Group")

dc_ag

L'availability group è alla base di questa soluzione, esso definisce l'endpoint della connessione IPsec nel caso in cui la connessione predefinita sia down. A questo livello è necessario ribadire quanto sia importante rispettare l'ordine dell'availability group rispetto all'interface group definito nell'UTM proncipale. I parametri di monitoring sono gli elementi sui quali agire per regolare la rilevazione del malfunzionamento, ovviamente il guasto rilevato sarà lato UTM centrale, nello specifico l'irragiungibilità di uno o più indirizzi IP pubblici tra quelli definiti nell'availability group e assegnati alle interfacce fisiche dell'utm centrale.

  • (3) Definizione del remote gateway (Site-to-site VPN > IPsec > Remote Gateway > New Remote Gateway)

dc_rg

Dove sede centrale = availability group appena creato e HQNET = rete remota

  • (4) Definizione della connessione IPsec (Site-to-site VPN > IPsec > Connections > New IPsec Connection … )

dc_connessione

Dove HQ1-sede centrale= remote gateway appena creato.

In questo modo la connessione riuscirà a gestire la mancanza di collegamento nel caso in cui una WAN sia non disponibile. Notare che:

  1. Nell'articolo non è stato riportato alcun cenno alla configurazione IPsec in quanto la soluzione non necessita di alcun accorgimento a tale livello.
  2. essendo l'availability group un oggetto con gestione di priorità in caso di rientro alla normalità la connessione IPsec sarà spostata sul link preferenziale. Se tale link dovesse risultare instabile si potrebbero verificare frequenti e non voluti switch tra i link. Tale situazione si mitiga alzando i tempi di controllo o escludendo l'interfaccia dall'interface group e availability group.
  3. Altre soluzioni si sono rilevate inefficaci al momento del rientro alla normalità, di fatto le rotte non seguivano il tunnel ipsec.
  4. Sebene non testata questa coonfigurazione è da ritenersi valida anche nel caso in cui la rete remota abbia più link, ovviamente in tal caso la configuarzione dei due endpoint è un ibrido che unise le due configurazioni sopra citate. In tale configurazione entrambi gli UTM avranno definiti IF group e Availability group.

 


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

2 commenti su “SOPHOS UTM – IPsec over multiple WAN

  • matteol

    Ciao Davide, ho letto il tuo articolo ed e' molto interessante, ti volevo chiedere se avevi configurato sophos utm creando vpn ipsec tra due sedi che hanno entrambe 2 wan per ridondare il collegamento.

    • Davide L'autore dell'articolo

      Ciao Matteo. Scusa la tardiva risposta. In realtà no, non ho mai provato. Ho tuttavia ancora il lab attivo e posso simulare facilmente la situazione. Vuoi creare una sola ipsec bilanciata sui collegamenti?