Ich war neulich bei einem Kunden, um eine (relativ) einfache Failover-Lösung zu konfigurieren. In der Hauptniederlassung steht eine Juniper NetScreen-50 Firewall (HA-Konfiguration) angeschlossen an eine Standleitung, in den diversen Niederlassungen NetScreen-5GT Firewalls mit günstigem DSL. Das alles mit einem hübschen Site-to-Site VPN, ein paar Zertifikate zur Authentisierung, alles soweit ganz ok.
Jetzt kam die Geschäftsleitung auf die Idee, wenn das VPN ausfällt, z.B. weil eine DSL-Leitung ausfällt, dann muss es eine Wählbackupleitung geben. Also wurde für jede Niederlassung ein kleiner Cisco 800 angeschafft, der sich bei Ausfall des VPN-Tunnels in die Zentrale einwählen soll. Natürlich auch verschlüsselt. In der Zentrale steht dafür ein etwas größerer Cisco Router. Wie konfiguriert man das nun am einfachsten? Austausch der NetScreen-Geräte war natürlich nicht erwünscht 🙂
Ich hab ein wenig rumexperimentiert, z.B. mit OSPF über die Cisco und Juniper, aber bei Routing im VPN will Cisco einen GRE-Tunnel, den Juniper wieder nicht so gerne hat, die Konfiguration wird richtig fies komplex und das hat sich alles nicht so recht als zufriedenstellend herausgestellt.
Am Ende bin ich auf eine ganz primitive Lösung verfallen: Die NetScreen Firewalls bekommen eine statische Route mit hohen Kosten zum jeweiligen Cisco Router, über den VPN-Tunnel sprechen die Firewalls OSPF und wenn der Tunnel steht bekommt man eine Route mit niedriger Metrik. Das klappt erstaunlich gut, man muss auf den Juniper Firewalls lediglich Route-based VPN einrichten, mit Policy-based VPN geht das leider nicht. OSPF sprechen so nur die NetScreen, nur im VPN und ohne GRE. Die Cisco-Geräte bekommen davon gar nichts mit.
Sehr hilfreich war in diesem Zusammenhang die Juniper Dokumentation. Es gibt da eine Reihe von Anleitungen unter dem Begriff ScreenOS Concepts & Examples. Da sind diverse Konfigurationsvarianten anschaulich sowohl mit GUI als auch CLI beschrieben. Zwar leider nur zwischen Juniper-Geräten aber besser als nichts.
Schade, dass es vergleichbares von Check Point nicht gibt. Da fehlt mir das immer wieder. Könnte fast eine Marktlücke für ein Buch werden. Fall jemand ein solches Buch schreiben will, bitte melden. Ich steuere ein Kapitel zu „Check Point VPN-1 SecureClient zertifikatsbasierte Authentisierung mittels Active Directory und Microsoft Zertifikatsdiensten“ bei. Also LDAP-User mit AD-Zertifikaten authentisieren. Die kurze Anleitung mit ein paar Screenshots hat 68 Seiten 🙂