Vraag

woensdag 10 augustus 2016 22:01

Acties:
  • 0 Henk 'm!
  • peterbr
  • Registratie: September 2006
  • Laatst online: 21-01-2017

peterbr

Topicstarter
Hallo Allemaal,

We zitten met een probleem waar ik het hele internet voor het afgezocht maar nog geen antwoord heb kunnen vinden.
Het probleem is. We hebben 2 Cisco ASA 5512-x apparaten die geconfigureerd staan in een Failover (Active Standby).
De configuratie werkt goed en bij een failover merk je niets. alleen nu is het probleem dat de outside interfaces zitten aangesloten op twee routers
Cisco A gaat naar Router A en Cisco B gaat naar Router B.
Als 1 Router of ASA uitvalt werkt de Failover perfect. Alleen het laatste jaar is het twee keer voor gekomen dat een router een probleem had met het doorgeven van het internet alleen op de ASA's was geen failover omdat de poort van de router nog steeds online was.
nadat we de poort op de router een shutdown hadden gegeven was er een failover en werkte het internet weer
Lang verhaal maar nu is mijn vraag. is het mogelijk om een soort ping uit te voeren op de ASA (zoals op een back-up IPS verbinding) waarbij als er geen ping is een failover plaats vind.

Alvast bedankt voor het mee denken

Peter

Beste antwoord (via peterbr op 13-08-2016 01:12)

donderdag 11 augustus 2016 07:46

  • dujour
  • Registratie: Maart 2002
  • Laatst online: 11-09 13:04

dujour

Ik zou eens kijken naar "interface monitoring".
Dit op de uplink interface instellen.

http://www.cisco.com/c/en...a_overview.html#wp1079010

Alle reacties

donderdag 11 augustus 2016 07:46

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • dujour
  • Registratie: Maart 2002
  • Laatst online: 11-09 13:04

dujour

Ik zou eens kijken naar "interface monitoring".
Dit op de uplink interface instellen.

http://www.cisco.com/c/en...a_overview.html#wp1079010

donderdag 11 augustus 2016 09:20

Acties:
  • +1 Henk 'm!
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 14-09 09:27

_-= Erikje =-_

tracking is wat je wilt

donderdag 11 augustus 2016 09:21

Acties:
  • 0 Henk 'm!
  • winux
  • Registratie: April 2003
  • Laatst online: 02-09 08:18

winux

Tracking van een public IP-adres bijv. 8.8.8.8 verhelpt dit.
Op routers is dit IP SLA maar weet niet zeker of dit ook op ASA hetzelfde is.

donderdag 11 augustus 2016 10:30

Acties:
  • 0 Henk 'm!
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 10-09 10:42

Barreljan

...Zoom-Zoom...

Ik zou dan wel tracking doen naar de gateway, ipv een host op Internet.

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

donderdag 11 augustus 2016 11:20

Acties:
  • 0 Henk 'm!
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 14-09 09:27

_-= Erikje =-_

tracking naar het ip dat 1 hop verder ligt dan je eigen router/modem. Op die manier check je of je router/modem nog verbinding heeft. Het is altijd lastig om een (ver weg) gelegen hop te kiezen, je kan immers ook problemen aan de andere kant hebben.

donderdag 11 augustus 2016 12:19

Acties:
  • 0 Henk 'm!
  • winux
  • Registratie: April 2003
  • Laatst online: 02-09 08:18

winux

_-= Erikje =-_ schreef op donderdag 11 augustus 2016 @ 11:20:
tracking naar het ip dat 1 hop verder ligt dan je eigen router/modem. Op die manier check je of je router/modem nog verbinding heeft. Het is altijd lastig om een (ver weg) gelegen hop te kiezen, je kan immers ook problemen aan de andere kant hebben.
Opzich helemaal mee eens. Alleen omdat TS aangaf dat de port online blijft, vraag ik met af of de gateway dan wel down gaat (ik begrijp dat deze 2 technisch los staan van elkaar), of dat het probleem zich daarachter bevind bij de ISP.

Vandaar ook 8.8.8.8 aangezien deze (voor zover ik niet weet) niet tot nauwelijks problemen geeft.

Maar in de regel ben ik het helemaal met je eens Erik.

donderdag 11 augustus 2016 13:28

Acties:
  • 0 Henk 'm!
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Failover van de ASA's en failover van de connectie naar internet zijn natuurlijk twee verschillende dingen.

Check even de best practices in:
http://www.cisco.com/c/en...ver.html#ID-2107-00000076

Static Route Tracking op de ASA:
http://www.cisco.com/c/en...tic.html#ID-2105-00000029

Als de DNS servers van Google ( 8.8.8.8 ) of van OpenDNS Cisco ( 208.67.222.222 ) uitvallen, zijn er wel grotere problemen dan een ASA die er uit ligt. ( Nuclear meltdown, komeet inslag, zombies :P )

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

donderdag 11 augustus 2016 16:51

Acties:
  • 0 Henk 'm!
  • peterbr
  • Registratie: September 2006
  • Laatst online: 21-01-2017

peterbr

Topicstarter
Allemaal bedankt voor de reacties. Alleen het Tracking mechanisme werkt volgens mijn alleen voor een dual IP verbinding (Back-up line) ik weet dat je dan naar b.v. 8.8.8.8 kan "pingen" en als dat niet werkt gaat de ASA over op de Back-up IPS verbinding. Maar bij deze opstelling is er 1 ISP met twee routers met hetzelfde "gateway" adres. Dus bij een tracking moet deze niet overschakelen naar een twee ISP maar naar een twee ASA en volgens mijn kan dat niet.

donderdag 11 augustus 2016 17:01

Acties:
  • 0 Henk 'm!
  • peterbr
  • Registratie: September 2006
  • Laatst online: 21-01-2017

peterbr

Topicstarter
dujour schreef op donderdag 11 augustus 2016 @ 07:46:
Ik zou eens kijken naar "interface monitoring".
Dit op de uplink interface instellen.

http://www.cisco.com/c/en...a_overview.html#wp1079010
Even dit zitten door te nemen en dit is een zeer interessante optie om uit te zoek.

Als ik het zo lees is het mogelijk om te testen of er wel verkeer overheen gaat. waar ik naar opzoek ben.

Interface is up dus geen standaard failover maar er gaat geen verkeer meer over heen dan moet er ook een failover plaats vinden.

donderdag 11 augustus 2016 18:55

Acties:
  • 0 Henk 'm!
  • _Hades_
  • Registratie: Juli 2000
  • Laatst online: 20:47

_Hades_

Of anders je config anders maken, door de 2 internet routers intern een ander IP adres te geven, en deze met beide ASA's te connecteren. Dan heb je op de active ASA al tracking en hoef je alleen failover te doen van je ASA's als er 1 klapt :).

donderdag 11 augustus 2016 22:10

Acties:
  • 0 Henk 'm!
  • Fabian
  • Registratie: April 2000
  • Laatst online: 15:34

Fabian

Wanneer wij een dergelijke setup maken dan hangt er altijd een switch (of twee switches als je meer redundantie wil) tussen de WAN routers en de ASA failover setup. Zo kun je ISP failover doen middels tracking en ASA failover middels de standaard failover config.

In een ideale wereld heb je dan ook van beide ISP's een subnetje zodat je de fallback ASA een standby kunt geven voor beide ISP's, maar dit is geen vereiste.

donderdag 11 augustus 2016 23:54

Acties:
  • 0 Henk 'm!
  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

ik heb dit ooit bij een klant gehad ..monitor op de eerste beste hop NA de router .. of dns van de provider .. in iedergeval niet op google of andere meuk ..het is namelijk ook voorgekomen dat een failover getriggerd word en ga dan maar eens zoeken naar ..

En geloof me je wilt dat als iemand maar kijkt naar de ASA ze de waarschuwing moeten lezen dat je monitored voor failover van internet op x.y.z .. want over 3 jaar vergeet je het en dan valt internet uit en zoek je je een ongeluk !

Overgens je kan ook via routes de internet belasting verdelen over beide ASA's ,, doe verkeer x via ASA A en de rest via ASA B ofzo ..
wil je dat niet monitor via een monitoring tool die via een sms gateway je informeert over de zooi ..
sms een manuel locatie en als "test" sms dit elke maand naar jou en je manager ofzo .. (want je bent op vakantie en ...) sms forward lekker :)

Tja vanalles

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq