Failover zum Ärgern: Cisco ASA HA und Anyconnect

Für wen ein Ausfall zentraler Komponenten keine Option ist, betreibt solche Systeme üblicherweise in irgendeiner Art High-Availability mit Failover.

Dass der Betrieb eines solchen HA-Systems mitunter nicht trivial ist, weiß jeder, der schon mal ein solches System betrieben hat. Probleme wie Split-Brain Situationen wo beide Systeme denken sie müssten aktiv sein, können spaßig sein.

Aus diesem Grund ist es gerade wichtig, dass die Administration möglichst einfach ist. Auf meiner Arbeit bin ich für ein Cisco ASA Active/Standby HA System verantwortlich.
Eigentlich weiß ich ja, dass Cisco nur die Konfiguration synchronisiert. Gerade beim Aufspielen von neuen Software-Versionen merkt man, dass der Flashspeicher nur lokal ist und nicht repliziert wird. Nicht schlimm - man hat sich im Rahmen des Upgrades dran gewöhnt jede Box einzeln zu versorgen.

Dummerweise verwende ich seit einigen Wochen ein neues Feature: Anyconnect VPN. Dies ist ein schöner VPN-Client, der die üblichen Probleme von IPsec (und damit verbunden: IKE) löst. Neben der neueren IKE-Version gibt es auch die Möglichkeit den Traffic über den https Port zu schicken - dadurch kommt das Anyconnect VPN durch viele Firewalls durch.

Nun zum eigentlichen Problem: im Gegensatz zu vielen weiteren Features legt dieses Feature die Konfiguration als Dateien im Flash-Speicher ab. Die GUI zum Verwalten der ASA legt diese Dateien natürlich nur auf der aktiven Box ab. Das ganze funktioniert dann eine Weile gut - bis es aus irgendeinem Grund zu einem Failover kommt. Sofort werden keine Anyconnect-Verbindungen mehr von der neuen aktiven ASA akzeptiert und die Benutzer beschweren sich.

Unangenehm - und vor allem vermeidbar. Eigentlich ist es nicht so aufwändig Dateien im Megabyte-Bereich synchron zu halten. Gerade wenn solche Auswirkungen entscheiden, frage ich mich was den Hersteller hindert solch ein nützliches Feature einzubauen