Failover Archive - BOC IT-Security GmbH

Tag Archives: Failover

HOWTO: Mikrotik LTE Extender inkl. Serial Access für die Firebox

8. Januar 2026 Johannes Wolfsteiner Comment

Es existiert bereits ein Blog-Beitrag zur LTE-Anbindung von Firewalls über einen Mikrotik-Router, welcher ein LTE-Passthrough mit sich bringt (externe IP terminiert direkt auf der nachgelagerten WatchGuard Firewall): https://www.boc.de/watchguard-info-portal/2021/08/lte-failover-fuer-jede-watchguard-inkl-cluster-und-lte-passthrough

In einigen Kundenszenarien sind an Außenstellen keine Mitarbeiter tätig. Besonders bei Solar- oder Windparks sehen wir solche Herausforderungen häufig. Unsere Idee war es den Serial-Port des LTE-Routers mit der Firebox zu verbinden und somit einen Notfall-Access bereitzustellen. Dieser Aufbau ist eher als Proof of Concept zu sehen. Seit ich mit WatchGuard arbeite war kein Serial-Access auf die Firebox nötig. Ein „Doppelter Boden“ kann aber auch für andere Szenarien hilfreich sein (z. B. Restore nach RMA-Tausch, PPPoE Credentials müssen ungeplant aktualisiert werden, …). Natürlich kann der Serial-Port auch für die Konfiguration nachgelagerter Switche oder andere Komponenten verwendet werden.

HOWTO: Redundantes AuthPoint Radius (Microsoft Netzwerkrichtlinienserver) Setup mit der WatchGuard Firebox

14. Februar 2024 Selcuk Yener Comment

Problemstellung

Da Microsoft für IKEv2 oder L2TP MS-CHAPv2 voraussetzt, müssen die Radius Anfragen von dem AuthPoint Gateway an einen Microsoft NPS weitergeleitet werden. Leider Kann in AuthPoint kein NPS Failover konfiguriert werden. Für SSLVPN oder IPSEC wird kein NPS benötigt!

Lösungsvorschlag

Die Firebox bietet die Möglichkeit mit einem Loopback Interface und einer SNAT Load Balancing Action, die Radius Anfragen auf mehrere Server zu verteilen.
Um die Erreichbarkeit der Server zu prüfen, sendet die Firebox alle 10 Sekunden ein ICMP Paket an die Server. Wenn einer der Radius Server nicht mehr auf die ICMP Pakete antwortet werden die Anfragen an den verbliebenen Server gesendet, bis der Server wieder auf die ICMP Pakete antwortet.
Dieses Setup bietet leider keine Redundanz, wenn der Radius Dienst nicht mehr ordnungsgemäß funktioniert.

Weiterlesen »

LTE-Failover für jede WatchGuard inkl. Cluster und LTE-Passthrough

11. August 2021 Johannes Wolfsteiner 1 Comment

UPDATE 03.12.2025:
Seit der Firebox Firmware 12.8 können „External“ VLANs auch mit anderen VLANs („Trusted“, „Optional“, „Custom“) auf einem physikalischen Interface gemischt werden. Sollte Ihre Firewall diese Anforderungen erfüllen, sollten folgende abweichende Settings vorgenommen werden:

Mikrotik:
– Kein DHCP-Server für VLAN 9 konfigurieren
– Rückroute zur WatchGuard (für Konfiguration und Internet-Access)
WatchGuard Firebox:
– Interface VLAN 9 „LTE-Config“ -> Statt „External“ als „Custom” konfigurieren und als IP-Adresse 192.168.88.2 (.1 hat der Mikrotik) verwenden
– Winbox Mgmt-Policy anlegen:
FROM: Any-Trusted (oder Mgmt-Netz)
TO: 192.168.88.1 (IP des Mikrotik Routers)
DST-PORT: 8291 TCP (Winbox)
– OPTIONAL: Falls der Mikrotik selbst in Richtung Internet kommunizieren soll (z. B. für Firmware-Upgrades, NTP, DNS, DDNS via Mikrotik), müssen noch weitere Policies definiert werden. Folgendes Regelwerk hat sich bei mir seit Jahren bewährt:

Mobilfunk eignet sich spätestens seit LTE nicht nur als „Notlösung“ in schwach ausgebauten Regionen, sondern auch als performanter Failover ohne auf Kabelinfrastruktur angewiesen zu sein (Kupfer/Glas/Koax nutzt häufig die gleiche Gebäudeeinführung und dient daher nur bedingt als Ausfallsicherheit).

LTE bietet zudem die Möglichkeit einen Standort temporär anzubinden, welcher sich noch im Aufbau befindet (Schalttermin des Providers steht aus, Baumaßnahmen notwendig, etc.)

Labor-Umgebung

Best Practices – Einsatzmöglichkeiten des BOVPN Virtual Interface

17. November 2020 Manuel Seidel Comment

Inhalt:

In diesem Best Practices Webinar werden Ihnen die vielfältigen Einsatzmöglichkeiten des BOVPN Virtual Interface der Firebox Appliances vorgestellt:

– SDWAN
– Lastverteilung
– Failover
– dynamisches Routing

Jetzt zum Webinar anmelden!

Best Practices – SDWAN mit WatchGuard – Nutzung von WAN-Leitungen für Web-, Cloud- und Standort-Verbindungen

29. September 2020 Manuel Seidel Comment

Inhalt:

In vielen Bereichen werden heute aus Redundanz- und Failover-Gründen mehrere WAN Verbindungen eingesetzt. In diesem Webinar wird aufgezeigt, wie man mit SD-WAN von WatchGuard diese WAN Verbindungen verwenden kann, um Failover oder andere Anforderungen umzusetzen. Nicht nur der Zugriff auf Online-Ressourcen, sondern auch die Standortvernetzung kann durch die Nutzung von SD-WAN optimal gestaltet werden.

Jetzt zum Webinar anmelden!

Best Practices – Sicher vernetzt mit SD-WAN

23. März 2020 Manuel Seidel Comment

Inhalt:

In vielen Bereichen werden heute aus Redundanz- und Failover-Gründen mehrere WAN Verbindungen eingesetzt. In diesem Webinar wird aufgezeigt, wie man mit SD-WAN von WatchGuard sinnvoll diese WAN Verbindungen verwenden kann, um Failover oder andere Anforderungen umzusetzen. Nicht nur der Zugriff auf Online-Ressourcen, sondern auch die Standortvernetzung kann durch die Nutzung von SD-WAN optimal gestaltet werden.

Jetzt zum Webinar anmelden!

Best Practices – Standortvernetzung mit SD-WAN

19. März 2020 Manuel Seidel Comment

Inhalt:

In vielen Bereichen werden heute aus Redundanz und Failover Gründen mehrere WAN Verbindungen eingesetzt. In diesem Webinar wird ihnen aufgezeigt, wie man mit SD-WAN von WatchGuard sinnvoll diese WAN Verbindungen verwenden kann, um Failover oder andere Anforderungen umzusetzen.

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Jetzt zum Webinar anmelden!

Best Practices: Standortvernetzung mit SD-WAN

12. Dezember 2019 Manuel Seidel Comment

Das Webinar ist wie folgt gegliedert:
Weiterlesen »

Best Practices – Standortvernetzung mit SD-WAN

4. November 2019 Manuel Seidel Comment

Inhalt:

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security-Lösungen von WatchGuard optimal und effektiv einsetzen können.

Webinaraufzeichnung jetzt ansehen!

WatchGuard Cluster in Verbindung mit Dynamic Arp Inspection (DAI)

8. Dezember 2018 Werner Maier Comment

WatchGuard verwendet im Cluster-Betrieb virtuelle Mac-Adressen. Bei einem Cluster-Failover wird dann ein Gratious Arp Paket gesendet, damit alle beteiligten Switches ihre ARP-Table bzw. ihre Mac-Adress-Port-Table anpassen können. Dies kann bei leistungsfähigen Switches mit aktueller Firmware möglicherweise zu Problemen führen, wenn man die Konfiguration nicht entsprechend anpasst.

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

Problemstellung

Lösungsvorschlag

Labor-Umgebung

Inhalt:

Inhalt:

Inhalt:

Inhalt:

Inhalt:

BOC IT-Security GmbH