Genau aus diesem Grund verkaufen wir es einfach nicht mehr. Als Partner so wie es jetzt softwaretechnisch umgesetzt ist, ohne dass der Kunde ein /29 Netz WAN-seitig hat, nicht ansatzweise zu betreuen und Fehleranfälliger als eine Single UTM wegen fehlendem Update Management und nicht automatischem Config Abgleich.

Ein Active/Active Cluster wäre zielführender als das Konstrukt aktuell.

Hallo Herr Jockheck,

als MSP ist es kaum praktikabel, für jedes Update eines HA-Clusters zum Kunden vor Ort fahren zu müssen – das würde im Grunde auch Kunden mit nur einer einzelnen UTM treffen. Ihre Aussage klingt so, als wären Remote-Updates für UTMs grundsätzlich problematisch.

Bei einer Cluster-Konfiguration melden sich die UTMs an den Routern (FritzBox) stets mit der externen virtuellen IP. Auf diese IP wird der Exposed Host gesetzt. Im Fehlerfall wird zwar auf den zweiten Router umgeschaltet, der Cluster nutzt dort jedoch ebenfalls wieder die virtuelle externe IP. Ergebnis: Ich kann nicht gezielt das gewünschte Gerät erreichen, sondern lande immer beim aktuellen Master.

Als Workaround bleibt nur, per VPN zuzugreifen und intern über die Interface-IP zu arbeiten (inkl. HideNAT auf der ersten UTM), um die Slave-UTM überhaupt gezielt ansprechen zu können.

Viele Grüße

Christian Stark

Hallo,

für ein Remote-Update müssen beide Geräte getrennt von einander von extern erreichbar sein (zwei externe IPs).

Es ist jedoch bei HA-Clustern das lokale Updaten empfohlen, um kein Risiko einzugehen.

Viele Grüße,
Michel Jockheck