<\/p>\n
Dieser Artikel f\u00fchrt Sie durch die Best Practices Einrichtung eines WatchGuard Firebox Active \/ Passive Clusters. Der f\u00fcr die Umsetzung ben\u00f6tigte Zeitaufwand liegt i.d.R. zwischen 30 und 60 Minuten.<\/p>\n
- \n
- Einf\u00fchrung<\/a><\/li>\n
- Cluster-Konfiguration<\/a><\/li>\n
- Fazit<\/a><\/li>\n
- H\u00e4ufige Fehler und L\u00f6sungen<\/a><\/li>\n<\/ol>\n
<\/p>\n
1. Einf\u00fchrung<\/h3>\n
1.1 Konzeptzeichnung<\/h4>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster-konzept.png\")
<\/p>\n1.2 Warum Clustering?<\/h4>\n
- \n
- Hochverf\u00fcgbarkeit (High Availability – HA):<\/strong> Im Falle eines Ausfalls der prim\u00e4ren Firebox \u00fcbernimmt die sekund\u00e4re Firebox nahtlos alle Funktionen.<\/li>\n
- Updates:<\/strong> Firmware-Updates k\u00f6nnen im laufenden Betrieb installiert werden und werden zuerst auf dem passiven Member getestet. Sollte es zu Fehlern kommen wird das Update abgebrochen und der aktive Member l\u00e4uft mit der zuletzt funktionierenden Firmware weiter.<\/li>\n
- Wartung:<\/strong> Neustarts sowie \u00c4nderungen an der Verkabelung k\u00f6nnen im laufenden Betrieb durchgef\u00fchrt werden.<\/li>\n
- Compliance:<\/strong> Richtlinien wie bspw. NIS2 setzen eine Ausfallsicherheit der Firewall voraus (https:\/\/www.boc.de\/watchguard-info-portal\/nis2-richtlinie-mit-quick-check<\/a>).<\/li>\n
- Einfache Lizenzierung:<\/strong> Bei einem WatchGuard Active \/ Passive Cluster ben\u00f6tigt nur eine Box eine Subscription Service Lizenz (z.B. “Basic Security Suite” oder “Total Security Suite”). F\u00fcr die zweite Cluster-Box ist der regul\u00e4re “Standard Support” ausreichend. Im Fehlerfall \u00fcbernimmt die HA Box die h\u00f6herwertige Lizenz im Cluster und kann somit alle Dienste bereitstellen.<\/li>\n
- Rabatte:<\/strong> Zudem gibt es f\u00fcr alle Firebox M-Modelle sowie ausgew\u00e4hlte T-Modelle eine HIGH AVAILABILITY PROMOTION<\/a> in welcher die zweite Box f\u00fcr die Verwendung im Cluster nochmal deutlich verg\u00fcnstigt ist.<\/li>\n<\/ul>\n
1.3 Voraussetzungen<\/h4>\n
- \n
- Zwei identische WatchGuard Firebox Modelle der M- und T-Serien >=T20 \/ T25 \/ T125 (100% gleichwertiges Modell, identische Module und Firmware-Version).
\nHinweis: Firmware-Updates sind nur auf Fireboxen mit g\u00fcltiger Lizenz m\u00f6glich.<\/strong><\/li>\n- Alle\u00a0<\/u>Netzwerkverbindungen m\u00fcssen exakt identisch an beide Cluster-Member verbunden werden.<\/li>\n
- Mindestens 1 freier Port je Firebox f\u00fcr die direkte Verbindung zwischen den Cluster-Membern.
\nHinweis: Hier nur Built-In Interfaces nutzen, keine Module <\/strong>(>> About FireCluster with Modular Interfaces<\/a>).<\/li>\n- Konfigurations-PC mit aktueller Version des WatchGuard System Manager (WSM)\u00a0(Download unter: software.watchguard.com<\/a>).<\/li>\n
- Wenn Sie bislang noch kein Cluster eingesetzt haben, ben\u00f6tigen wir im Vorfeld 2 weitere IP-Adressen im Trusted\/Management Netzwerk. Jeder Cluster-Member bekommt dort eine individuelle IP. Die aktuell auf Ihrer Firebox vergebene Adresse wird dann virtuell zugeteilt und bei einem Clusterschwenk auf den jeweiligen Member umgezogen.<\/li>\n<\/ul>\n
2. Cluster-Konfiguration<\/h3>\n
2.1 Vorbereitung der Firebox-Ger\u00e4te<\/h4>\n
- \n
- Basiskonfiguration: Konfigurieren Sie die prim\u00e4re Firebox mit Ihrer gew\u00fcnschten Netzwerkkonfiguration (Interfaces, VLANs, grundlegende Policies, etc.). Diese Konfiguration wird sp\u00e4ter auf die sekund\u00e4re Firebox synchronisiert.<\/li>\n
- Setzen Sie ggfs. die sekund\u00e4re Firebox auf die Werkseinstellungen zur\u00fcck. Die Vorgehensweise finden Sie im jeweiligen Hardware Guide (in unserem Shop auf der jeweiligen Modell-Seite unter “Technische Dokumente”, Beispiel M295: www.boc.de\/m295<\/a>).<\/li>\n
- Cluster-Interfaces festlegen:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster1.png\")
<\/p>\n- \n
- Interfaces ausw\u00e4hlen: F\u00fcr eine bestm\u00f6gliche Ausfallsicherheit empfehlen wir die Verwendung von 2x Cluster-Interfaces, es funktioniert aber nat\u00fcrlich auch mit einem.<\/li>\n
- Hinweis: Bei T185 \/ M295 \/ M395 muss Port 4-7 verwendet werden, andernfalls kann es zu Fehlen kommen. techsearch.watchguard.com<\/a><\/strong><\/li>\n
- Um die Cluster-Interfaces jederzeit eindeutig identifizieren zu k\u00f6nnen vergeben wir hier entsprechend neue Namen: Cluster-1 und Cluster-2. Hinweis: funktioniert nur bei aktivierten Interfaces!<\/strong>\n
- \n
- Interface tempor\u00e4r auf Type “custom” setzen, Name vergeben und mit “ok” best\u00e4tigen.<\/li>\n
- Netzwerk-Interface erneut konfigurieren, Type auf “disabled” setzen und\u00a0 mit “ok” best\u00e4tigen.<\/li>\n
- Die Schritte f\u00fcr das 2. Interface wiederholen.<\/li>\n<\/ul>\n<\/li>\n
- Hinweis: Die Interfaces m\u00fcssen anschlie\u00dfend deaktiviert werden, um diese sp\u00e4ter als Cluster-Interfaces ausw\u00e4hlen zu k\u00f6nnen.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n
2.2 Netzwerkverkabelung und IPs f\u00fcr den Cluster<\/h4>\n
- \n
- Netzwerkkonfiguration festlegen:<\/strong>\u00a0Stellen Sie sicher, dass die Management-IP-Adressen und Netzwerkmasken der Interfaces korrekt sind und keine Konflikte vorliegen.\n
- \n
- Cluster-Interface<\/strong>
\nWatchGuard empfiehlt hierf\u00fcr Link-Local-Adressen mit einer 30er Subnetzmaske zu verwenden.
\nZur einfachen Identifizierung empfehlen wir den vorletzten Block nach dem Interface zu definieren:
\nInterface 7 = 169.254.7<\/strong>.1
\nBeispiel:
\nCluster-1: Interface 7 \/ Member 1 169.254.7.1\/30 | Member 2 169.254.7.2\/30
\nCluster-2: Interface 6 \/ Member 1 169.254.6.1\/30 | Member 2 169.254.6.2\/30<\/li>\n- Management-Interface<\/strong>\n
- \n
- \n
- \n
- Natives- oder VLAN-Interface ausw\u00e4hlen (VLAN am besten untagged, um im Bedarfsfall die Fehlersuche zu erleichtern). In unserem Beispiel nutzen wir das (Native) Interface 2 “Management”:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster2.png\")
<\/li>\n - Management-IPs:\u00a0Member 1<\/strong>\u00a0172.16.10.11\/24 |\u00a0Member 2<\/strong>\u00a0172.16.10.12\/24<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n
- Cluster-ID<\/strong>\n
- \n
- Vergeben Sie eine Cluster-ID. Der Standard-Wert von 50 muss ggf. angepasst werden wenn Sie weitere FireCluster oder andere Router-Cluster verwenden, welche VRRP nutzen.<\/li>\n
- Mehr Informationen hierzu finden Sie weiter unten, in der Sektion >> H\u00e4ufige Fehler und L\u00f6sungen<\/a>.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Die Cluster-Interfaces (Cluster-1, Cluster-2) mit einem Patchkabel (>= Cat.5e) direkt miteinander verbinden. Hinweis: Tendenziell ist eine Verbindung auch \u00fcber ein dediziertes VLAN und Switche m\u00f6glich, die Latenzen sollten aber m\u00f6glichst niedrig bleiben.\u00a0<\/strong><\/p>\n
Tipp:<\/strong> Auch w\u00e4hrend der Konfiguration oder im Testaufbau immer das Management-Interface verbinden, da die Cluster-Member dieses auch f\u00fcr die Kommunikation untereinander ben\u00f6tigen.<\/p>\n
Alle weiteren internen und externen Interfaces m\u00fcssen von beiden Firewalls aus mit einem bzw. mehreren Switches verkabelt werden. Es empfiehlt sich hier, auch die Switche, wenn m\u00f6glich, redundant auszulegen und zu verkabeln.<\/p>\n
Beispielsweise, Firebox1 ist mit Coreswitch1 verkabelt \/ Firebox2 ist mit Coreswitch2 verkabelt:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster3.png\")
<\/p>\n2.3 Konfiguration des Clusters im WatchGuard System Manager (WSM)<\/h4>\n
Wir empfehlen, die FireCluster Konfiguration manuell, ohne<\/strong>\u00a0den\u00a0Setup Wizard<\/strong>\u00a0durchzuf\u00fchren, da die manuelle Konfiguration sofort alle ben\u00f6tigten Optionen anzeigt, \u00fcbersichtlicher ist und man direkt mit der Einstellungsmaske vertraut ist, sollten mal \u00c4nderungen an der Konfiguration erforderlich sein.<\/p>\n
<\/span>Ohne Setup-Wizard (empfohlen)<\/div>\n2.3.1 Konfiguration des Clusters im WatchGuard System Manager (WSM) manuell<\/h5>\n
- \n
- Verbinden Sie sich mit der prim\u00e4ren Firebox:<\/strong>\u00a0\u00d6ffnen Sie den WSM und stellen Sie eine Verbindung zur prim\u00e4ren Firebox her.<\/li>\n
- \u00d6ffnen des Policy Managers der prim\u00e4ren Firebox<\/strong><\/li>\n
- FireCluster Configuration ohne Setup Wizard<\/strong>\n
- \n
- Navigieren Sie zu \"FireCluster\" > \"Configuration\":
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster4.png\")
\nEs \u00f6ffnet sich die Konfigurationsseite:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster5.png\")
<\/p>\n- \n
- Enable FireCluster<\/li>\n
- Active\/Passive Cluster ausw\u00e4hlen<\/li>\n
- Vergeben Sie die vorher definierte Cluster-ID<\/li>\n
- W\u00e4hlen Sie die zuvor festgelegten Schnittstellen f\u00fcr das Primary und Backup Cluster-Interface, sowie das Management-Interface aus.<\/li>\n
- Link Monitoring ausw\u00e4hlen und ggf. Testnetzwerke exkludieren.<\/li>\n<\/ol>\n<\/li>\n<\/ul>\n<\/li>\n
- F\u00fcgen Sie nun den prim\u00e4ren Cluster-Member hinzu, indem Sie hierf\u00fcr Member > Add > Feature Key > Import > Paste ausw\u00e4hlen:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster6.png\")
<\/li>\n - Anschlie\u00dfend zu Configuration wechseln, einen Namen f\u00fcr den prim\u00e4ren Cluster-Member vergeben z.B. M270-1 und die vorher definierten IPs des prim\u00e4ren Members f\u00fcr die jeweiligen Interfaces vergeben:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster7.png\")
<\/li>\n - F\u00fcgen Sie nun einen 2. Member hinzu und wiederholen Sie die beiden letzten Schritte mit dem Feature Key und den IPs von Member-2<\/li>\n
- Speichern und Bereitstellen:\n
- \n
- Speichern Sie die Konfigurationsdatei auf die prim\u00e4re Firebox.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<\/div><\/div>\n<\/span>Mit Setup-Wizard<\/div>\n
2.3.2 Konfiguration des Clusters im WatchGuard System Manager (WSM) mit Setup-Wizard<\/h5>\n
- \n
- Verbinden Sie sich mit der prim\u00e4ren Firebox:\u00a0\u00d6ffnen Sie den WSM und stellen Sie eine Verbindung zur prim\u00e4ren Firebox her.<\/li>\n
- \u00d6ffnen des Policy Managers der prim\u00e4ren Firebox<\/li>\n
- FireCluster Setup Wizard\n
- \n
- Navigieren Sie zu \"FireCluster\" > \"Setup\"<\/li>\n
- Es \u00f6ffnet sich der Setup-Wizard:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster8.png\")
<\/li>\n - Fahren Sie mit der Konfiguration eines \"Active-Passive Cluster\" fort.<\/li>\n
- Vergeben Sie die vorher definierte Cluster-ID:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster9.png\")
<\/li>\n - Interface-Konfiguration:<\/strong>\n
- \n
- W\u00e4hlen Sie die zuvor festgelegten Schnittstellen f\u00fcr das Primary und Backup Cluster-Interface aus.<\/li>\n
- W\u00e4hlen Sie das Netzwerk f\u00fcr die Management-IPs aus:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster10.png\")
<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n - Hinterlegen Sie den Feature Key der Prim\u00e4ren Box:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster11.png\")
<\/li>\n - Legen Sie einen Namen f\u00fcr den ersten Member Fest<\/li>\n
- Festlegen der zuvor definierten IPs (Punkt 2, falls nicht vorhanden, auslassen):
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster12.png\")
\n<\/strong><\/li>\n- F\u00fcgen Sie nun einen 2. Member hinzu und wiederholen Sie die Drei letzten Schritte 4-6 nur mit dem Feature Key und den IPs von Member 2:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster13.png\")
<\/li>\n- Setup-Wizard abschlie\u00dfen und die FireCluster-Konfiguration \u00f6ffnen.<\/li>\n
- Linkmonitoring pr\u00fcfen und ggf. Testnetzwerke exkludieren:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster14.png\")
<\/li>\n- Speichern und Bereitstellen:\n
- \n
- Speichern Sie die Konfigurationsdatei auf die prim\u00e4re Firebox.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n
<\/div><\/div><\/span><\/p>\n
2.4 Member 2 Discovern<\/h4>\n
Wichtig:<\/strong> Denken Sie daran, dass die Funktion “Discover Member” nur mit Built-in Interfaces m\u00f6glich ist.<\/span><\/p>\n
Verbinden Sie nun die beiden Fireboxen \u00fcber das konfigurierte Cluster-Interface und f\u00fchren Sie die Funktion \u201cDiscover Member\u201d durch:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster15.png\")
<\/p>\n2.5 \u00dcberpr\u00fcfung und Validierung des Clusters<\/h4>\n
Nach Abschluss der Cluster-Konfiguration unbedingt die Funktionalit\u00e4t \u00fcberpr\u00fcfen (und bestenfalls auch dokumentieren):<\/p>\n
- \n
- Status im FSM:<\/strong>\u00a0Im FSM (Firebox System Manager) k\u00f6nnen Sie unter “FireCluster” den aktuellen Status beider Mitglieder sehen.\n
- \n
- \u00dcberpr\u00fcfen Sie, ob beide Mitglieder als “master” und “backup master” erkannt werden:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster16.png\")
<\/li>\n<\/ul>\n<\/li>\n - Failover-Test:<\/strong>\n
- \n
- Ziehen Sie das Stromkabel der prim\u00e4ren Firebox (master).<\/li>\n
- Beobachten Sie im WSM, wie die sekund\u00e4re Firebox den “master”-Status \u00fcbernimmt.<\/li>\n
- \u00dcberpr\u00fcfen Sie, ob der Netzwerkverkehr weiterhin flie\u00dft.<\/li>\n
- Fahren Sie die urspr\u00fcngliche prim\u00e4re Firebox wieder hoch und \u00fcberpr\u00fcfen Sie, ob sie als “backup master” korrekt in den Cluster zur\u00fcckkehrt. Ein R\u00fcckschwenk ist nicht notwendig, dem Cluster ist es grunds\u00e4tzlich egal welcher Member aktiv ist.<\/li>\n<\/ul>\n<\/li>\n
- \u00dcberpr\u00fcfung des Cluster Health<\/strong>\u00a0im Status Report:\n
- \n
- \u00d6ffnen Sie hierzu den Status Report im Firebox System Manager und suchen Sie mit Strg+F nach “Cluster Health”\n
- \n
- Es sollte \u00fcberall ein Wert von 100 angezeigt werden:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/09\/howto-active-passive-cluster17.png\")
<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\nHinweis: Im Status-Report sehen Sie nun immer die Informationen beider Cluster-Member untereinander aufgelistet.\u00a0<\/strong><\/p>\n
3. Fazit<\/h3>\n
Die Einrichtung nach unserem Best Practice gew\u00e4hrleistet eine robustes, hochverf\u00fcgbares WatchGuard Firebox Cluster. Sie k\u00f6nnen problemlos auch bestehende Singlebox-Installationen jederzeit um einen zweiten Cluster-Member erweitern.<\/p>\n
Zudem unterst\u00fctzt WatchGuard durch ein attraktives Lizenzierungsmodell f\u00fcr Aktive \/ Passive Cluster mit deutlich rabattierten Preisen f\u00fcr den zweiten Cluster-Member.<\/p>\n
____________________________________________________________________________<\/h4>\n
<\/h4>\n
4. H\u00e4ufige Fehler und L\u00f6sungen:<\/h3>\n
- \n
- Bei T185 \/ M295 \/ M395 muss Port 4-7 als Cluster-Interface verwendet werden<\/strong>\n
- \n
- Bei Verwendung von Port 0-3 oder 12-13 kann es zu Fehlen im Clusterbetrieb oder bei der Installation von Updates kommen.<\/li>\n
- Wenn ein Member rebootet kann es vorkommen, dass dieser nicht mehr erreichbar ist und manuell neu gestartet werden muss. techsearch.watchguard.com<\/a><\/li>\n<\/ul>\n<\/li>\n
- Fehler in der Verkabelung<\/strong>\n
- \n
- An einem Member sind mehr Kabel eingesteckt als an dem Anderen. Dies kann zu mehreren Problemen f\u00fchren und u. a. verhindern, dass ein Failover ordnungsgem\u00e4\u00df durchgef\u00fchrt wird.<\/li>\n
- Ein Kabel ist zwar auf beiden Membern gesteckt, das zugeh\u00f6rige Netz (oft eine zus\u00e4tzliche Internetverbindung) liegt aber nicht an, es ist kein Netzwerktraffic zu sehen. Dies kann ebenfalls verhindern, dass\u00a0ein Failover ordnungsgem\u00e4\u00df durchgef\u00fchrt wird.
\nTipp:<\/u> Besitzt bspw. Ihr Modem nur einen Uplink-Port empfehlen wir die Nutzung eines Switches (ggfs. mit VLAN) um beide Member verbinden zu k\u00f6nnen.<\/li>\n<\/ul>\n<\/li>\n- Module<\/strong>\n
- \n
- Sie haben einen Member mit einem Modul ausgestattet und den anderen jedoch nicht. Es m\u00fcssen immer<\/u> beide Cluster-Member mit der identischen Menge von Modulen und Transceivern ausgestattet werden.<\/li>\n<\/ul>\n<\/li>\n
- Built-In Interfaces (Discover)<\/strong>\n
- \n
- Es wurde ein Modul-Interface f\u00fcr das HA-Cluster Interface konfiguriert. Hier\u00fcber funktioniert die Funktion “Discover Member” nicht. Aus diesem Grund sollten immer\u00a0<\/u>die Built-In RJ45 Ports als Cluster-Interface genutzt werden.<\/li>\n<\/ul>\n<\/li>\n
- VRRP ID<\/strong>\n
- \n
- Wenn Sie mehrere FireCluster oder Cluster von Drittanbietern mit derselben VRRP-ID oder \u00dcberschneidungen der Bereiche haben, befinden sich verschiedene Ger\u00e4te mit der selben MAC-Adresse im Netzwerk, was zu erheblichen Problemen f\u00fchrt.\n
- \n
- Die VRRP-ID bestimmt das letzte Oktett der MAC-Adresse jedes Interfaces.\n
- \n
- Mit einer VRRP-ID von 1 ein w\u00fcrde die MAC-Adresse f\u00fcr eth0 wie folgt aussehen: 00:00:5E:00:01\n
- \n
- jedes weitere Interface bekommt eine fortlaufende ID, somit ist die MAC-Adresse f\u00fcr eth1 00:00:5E:00:02\u00a0und die f\u00fcr\u00a0eth7\u00a000:00:5E:00:08<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n
- VRRP-ID von 50 mit z.B. 8 Interfaces blockiert somit ID 50-57. Jedes Interface hat seine eigene ID und addiert sich zur Cluster-ID.<\/li>\n
- Die Cluster-ID bzw. VRRP-ID muss immer einzigartig im gesamten Netzwerk sein. Hierbei muss die Interface-Anzahl mit fortlaufenden IDs ber\u00fccksichtigt werden (Module nicht vergessen
![\"(Zwinkern)\"](\"https:\/\/confluence.ssl-data.de\/s\/-4572n4\/9111\/1h7j1tb\/_\/images\/icons\/emoticons\/wink.svg\")
).<\/li>\n - Pr\u00fcfen Sie dazu am besten die ARP-Tabelle auf Ihren Switchen und suchen Sie dort nach VRRP MAC-Adressen.<\/li>\n<\/ul>\n<\/li>\n
- Sehen Sie hierzu auch: www.watchguard.com\/help<\/a><\/li>\n<\/ul>\n<\/li>\n
- Probleme mit Managed-Switchen (DAI)\u00a0<\/strong>\n
- \n
- \n
- \n
- boc.de\/watchguard-cluster-in-verbindung-mit-dynamic-arp-inspection-dai<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
In einer zunehmend digitalisierten Welt ist Hochverf\u00fcgbarkeit kein Luxus mehr, sondern eine gesch\u00e4ftskritische Notwendigkeit. Schon wenige Stunden Ausfall k\u00f6nnen erhebliche Kosten verursachen \u2013 ganz zu schweigen von den Folgen, wenn Unternehmen ein bis zwei Tage komplett vom Internet oder den internen Netzwerken abgeschnitten sind. Um sich vor solchen Szenarien zu sch\u00fctzen, stehen verschiedene Optionen zur Verf\u00fcgung: Zum einen k\u00f6nnen Sie durch die Einrichtung eines zweiten … Weiterlesen HOWTO: Best-Practice-Konfiguration eines WatchGuard Firebox Clusters Active \/ Passive<\/span>
- boc.de\/watchguard-cluster-in-verbindung-mit-dynamic-arp-inspection-dai<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
- Probleme mit Managed-Switchen (DAI)\u00a0<\/strong>\n
- Mit einer VRRP-ID von 1 ein w\u00fcrde die MAC-Adresse f\u00fcr eth0 wie folgt aussehen: 00:00:5E:00:01\n
- Die VRRP-ID bestimmt das letzte Oktett der MAC-Adresse jedes Interfaces.\n
- VRRP ID<\/strong>\n
- Built-In Interfaces (Discover)<\/strong>\n
- Module<\/strong>\n
- Fehler in der Verkabelung<\/strong>\n
- Bei T185 \/ M295 \/ M395 muss Port 4-7 als Cluster-Interface verwendet werden<\/strong>\n
- Es sollte \u00fcberall ein Wert von 100 angezeigt werden:
- \u00d6ffnen Sie hierzu den Status Report im Firebox System Manager und suchen Sie mit Strg+F nach “Cluster Health”\n
- \u00dcberpr\u00fcfen Sie, ob beide Mitglieder als “master” und “backup master” erkannt werden:
- Status im FSM:<\/strong>\u00a0Im FSM (Firebox System Manager) k\u00f6nnen Sie unter “FireCluster” den aktuellen Status beider Mitglieder sehen.\n
- F\u00fcgen Sie nun einen 2. Member hinzu und wiederholen Sie die Drei letzten Schritte 4-6 nur mit dem Feature Key und den IPs von Member 2:
- Speichern Sie die Konfigurationsdatei auf die prim\u00e4re Firebox.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<\/div><\/div>\n
- \u00d6ffnen des Policy Managers der prim\u00e4ren Firebox<\/strong><\/li>\n
- Verbinden Sie sich mit der prim\u00e4ren Firebox:<\/strong>\u00a0\u00d6ffnen Sie den WSM und stellen Sie eine Verbindung zur prim\u00e4ren Firebox her.<\/li>\n
- Cluster-ID<\/strong>\n
- Natives- oder VLAN-Interface ausw\u00e4hlen (VLAN am besten untagged, um im Bedarfsfall die Fehlersuche zu erleichtern). In unserem Beispiel nutzen wir das (Native) Interface 2 “Management”:
- Management-Interface<\/strong>\n
- Cluster-Interface<\/strong>
- Netzwerkkonfiguration festlegen:<\/strong>\u00a0Stellen Sie sicher, dass die Management-IP-Adressen und Netzwerkmasken der Interfaces korrekt sind und keine Konflikte vorliegen.\n
- Um die Cluster-Interfaces jederzeit eindeutig identifizieren zu k\u00f6nnen vergeben wir hier entsprechend neue Namen: Cluster-1 und Cluster-2. Hinweis: funktioniert nur bei aktivierten Interfaces!<\/strong>\n
- Cluster-Interfaces festlegen:
- Alle\u00a0<\/u>Netzwerkverbindungen m\u00fcssen exakt identisch an beide Cluster-Member verbunden werden.<\/li>\n
- Updates:<\/strong> Firmware-Updates k\u00f6nnen im laufenden Betrieb installiert werden und werden zuerst auf dem passiven Member getestet. Sollte es zu Fehlern kommen wird das Update abgebrochen und der aktive Member l\u00e4uft mit der zuletzt funktionierenden Firmware weiter.<\/li>\n
- Cluster-Konfiguration<\/a><\/li>\n