Ich war neulich bei einem Kunden, um eine (relativ) einfache Failover-L\u00f6sung zu konfigurieren. In der Hauptniederlassung steht eine Juniper NetScreen-50 Firewall (HA-Konfiguration) angeschlossen an eine Standleitung, in den diversen Niederlassungen NetScreen-5GT Firewalls mit g\u00fcnstigem DSL. Das alles mit einem h\u00fcbschen Site-to-Site VPN, ein paar Zertifikate zur Authentisierung, alles soweit ganz ok.<\/p>\n
Jetzt kam die Gesch\u00e4ftsleitung auf die Idee, wenn das VPN ausf\u00e4llt, z.B. weil eine DSL-Leitung ausf\u00e4llt, dann muss es eine W\u00e4hlbackupleitung geben. Also wurde f\u00fcr jede Niederlassung ein kleiner Cisco 800 angeschafft, der sich bei Ausfall des VPN-Tunnels in die Zentrale einw\u00e4hlen soll. Nat\u00fcrlich auch verschl\u00fcsselt. In der Zentrale steht daf\u00fcr ein etwas gr\u00f6\u00dferer Cisco Router. Wie konfiguriert man das nun am einfachsten? Austausch der NetScreen-Ger\u00e4te war nat\u00fcrlich nicht erw\u00fcnscht \ud83d\ude42<\/p>\n
Ich hab ein wenig rumexperimentiert, z.B. mit OSPF \u00fcber die Cisco und Juniper, aber bei Routing im VPN will Cisco einen GRE-Tunnel<\/a>, den Juniper wieder nicht so gerne hat, die Konfiguration wird richtig fies komplex und das hat sich alles nicht so recht als zufriedenstellend herausgestellt.<\/p>\n Am Ende bin ich auf eine ganz primitive L\u00f6sung verfallen: Die NetScreen Firewalls bekommen eine statische Route mit hohen Kosten zum jeweiligen Cisco Router, \u00fcber den VPN-Tunnel sprechen die Firewalls OSPF und wenn der Tunnel steht bekommt man eine Route mit niedriger Metrik. Das klappt erstaunlich gut, man muss auf den Juniper Firewalls lediglich Route-based VPN einrichten, mit Policy-based VPN geht das leider nicht. OSPF sprechen so nur die NetScreen, nur im VPN und ohne GRE. Die Cisco-Ger\u00e4te bekommen davon gar nichts mit.<\/p>\n