pfSense: LTE-Fallbackup mit Netgear LB1111 realisieren

Vor gut einem Jahr wurde der Beitrag pfSense: Auf die Schnelle einen Fallback einrichten veröffentlicht und erfreut sich gewisser Beliebtheit (908 Zugriffe, Stand: 12.02.2017). Nun folgt die etwas professionellere Variante, bei der keine FRITZ!Box und/oder ein Smartphone zum Einsatz kommen, sondern vorab geplant, getestet und letztlich realisiert ein 4G LTE Modem vom Typ LB1111 von Netgear.

Die Vorteile bei den Geräten von Netgear liegen darin, das (zumindest beim LB1111, LT1110 nur via Netzteil) eine Stromversorgung via PoE möglich ist und somit ggf. nur ein Kabel zum Montageort gezogen werden muss. Die Anzeige der Signalstärke via LEDs direkt auf dem Gehäuse macht es zudem einfach, die optimale Possitionierung ohne Zusatzgeräte zu ermittelt und im Falle das keine Verbindung zum mobilen Internet möglich ist, zumindest was den Empfang betrifft sehen zu können ob ein Funk-Signal überhaupt anliegt. Ferner kann das Gerät als Router (Default) oder Bridge verwendet werden. Ein weiterer Pluspunkt ist die Möglichkeit, eine externe Antenne anzuschließen.

Aufmerksam geworden bin ich auf das LB1111 durch zwei Beiträge in der ct:

c’t 20/2016, S. 26 (LTE-Modem mit Fernspeisung)

c’t 02/2017, S. 44 (Schnelle Zweigstelle)

Zum eigentlichen Thema:

Beim vorliegenden Aufbau wird ein eigenes Interface (Netzwerkanschluss) für die Anbindung des LTE-Modems verwendet, die Voreinstellungen des LB1111 wird dabei nicht geändert, d.h. das Gerät läuft als Router und ist unter der IP-Adresse 192.168.5.1 erreichbar. Wenn es “nur” darum geht, im Notfall eine Internetverbindung zu haben, so reicht dies als “Schnellschuss” aus. Soll allerdings auch VoIP oder andere Dienste wie z.B. IPsec-basiertes VPN über den Fallback (eingehend) realisiert werden, so kann das Doppel-NAT (1x in der pfSense, 1x im LTE-Router) zu Problemen führen. Dann wäre auf jeden Fall der Bridge-Mode zu verwenden. Dazu entweder später in Form eines Updates oder eines eigenen Beitrags mehr. Siehe dazu das Update am Ende des Beitrags vom 19.02.2017.

Die folgenden Schritte werden im Web-Interface der pfSense durchgeführt:

Interface einrichten

  • Über „Interfaces – Assign“ eine Netzwerkkarte zuordnen.
  • Auf „Interfaces – <Interfacename>“ klicken, die Schnittstelle aktivieren und bei „IPv4 Configuration Type“ „Static IPv4“ einstellen.
  • Bei “IPv4 Address” “192.168.5.2” eintragen und “/24” auswählen.
  • Bei “IPv4 Upstream gateway” auf “+ Add a new Gateway” klicken.
  • “Gateway name” und bei “Gateway IPv4” “192.168.5.1” eintragen und “Add” klicken.
  • Die Haken bei „Block private networks“ und ggf. bei „Block bogon networks“ entfernen.

Unter „Status – Interfaces“ kann geprüft werden ob das Interface „läuft“:

Bemerkung: Im Screenshot wurde die MAC-Adresse entfernt.

Zugriff für das LTE-Modem einrichten

Damit auf das Web-Interface des LTE-Modems zugegriffen werden kann, muss die pfSense entsprechend konfiguriert sein. Dieser Schritt ist zwar optional, aber dennoch empfohlen um z.B. den Verbindungstatus, Pin-Eingabe der SIM-Karte oder das verbrauchte Datenvolumen ablesen zu können.

  • Auf “Firewall – NAT” klicken.
  • Zu “Outbound” wechseln.
  • Hybrid Outbound NAT rule generation.
    (Automatic Outbound NAT + rules below)
    ” auswählen und “Save” anklicken.
  • Unter “Mappings” auf “Add” klicken.
  • Bei “Interface” das zuvor erstellte Interface auswählen.
  • Bei “Source” und “Destination” die jeweiligen Netzwerke eintragen.

Gateway Group einrichten

Bevor es an die eigentliche Einrichtung der Gateway Group geht, muss für jedes Gateway eine “Monitor IP” eingetragen werden. Dabei handelt es sich um eine externe IP-Adresse die vom jeweiligen Gateway aus regelmässig angepingt wird. Sollte diese Adresse nicht erreichbar oder die Roundtrip-Zeit zu hoch sein, so wird auf das jeweils andere Gateway (je nach Konfiguration und Gewichtung) gewechselt.

Unter “System – Routing – Gateways” das jeweilige Gateway, z.B. “WAN_PPPOE” und “FALLBACK_STATIC”, bearbeiten und jeweils eine “Monitor IP” eintragen. Hier wurden die beiden Adressen von t-online.de verwendet:

  • Zu “Gateway Groups” wechseln.
  • Auf “+ Add” klicken.
  • Einen “Group Name” vergeben, bei “Gateway Priority” für das WAN-Gateway “Tier 1”, für das LTE-Gateway “Tier 2” und bei “Trigger Level” “Member down” auswählen.

Firewall-Rules anpassen

Damit die Firewall-Regeln nicht nur auf das Standard-Gateway (i.d.R. das erste WAN-Gateway bzw. -Interface) zugreifen, müssen diese für die “Gateway Group” angepasst werden:

  • Auf “Firewall – Rules” klicken und zu “LAN” wechseln.
  • Nun z.B. die Regel “Default allow LAN to any rule” bearbeiten, auf “Display Advanced” klicken und bei “Gateway” die zuvor erstelle “Gateway Group” auswählen.

Um auf das Web-Interface des LTE-Modems zugreifen zu können, muss eine neue Regel angelegt werden, die vor der “Default allow LAN to any rule” liegt und bei der das Gateway nicht auf die “Routing Group” geändert wurde:

Diese Regel ist eine sogenannte “policy rule”, alternativ auch “routing rule” genannt. Sie dient dazu, Datenverkehr der bestimmten Kriterien entspricht jenseits von Routing-Tabellen einem bestimmten Gateway zukommen zu lassen. Ohne diese Regel wäre das Web-Interface des LTE-Modems nicht erreichbar, da pfSense die Pakete die für 192.168.5.1 bestimmt sind über die Routing Group aufgrund der Gewichtung (Tier x) zunächst an das WAN_PPPOE Gateway weiterleiten würde.

DNS einrichten

Stellt die pfSense die Namensauflösung im LAN, so muss DNS für den Fallback entsprechend vorbereitet sein.

  • Auf „System – General Setup“ klicken.
  • Bei „DNS Server Settings“ min. für jedes Gateway einen unterschiedlichen Server eintragen:

Sollte es zu Schwierigkeiten bei der Namensauflösung im Fallback-Fall kommen bzw. diese nicht funktionieren, kann das Festlegen der ausgehenden Schnittstellen Abhilfe schaffen:

  • Auf „Services – DNS-Resolver“ klicken.
  • Bei „Outgoing Network Interfaces“ das Interface „WAN“ und „Fallback“ auswählen, alle Anderen abwählen.

Weiteres (Optional, nur wenn notwendig)

Werden mehrere unterschiedliche Netze durch eine pfSense mit dem Internet verbunden, müssen ggf. weitere “Routing Rules” angelegt werden. Anbei ein Beispiel:

In der umgekehrten Richtung (“PRIVAT” zu “LAN”) müsste ebenso eine entsprechende Regel angelegt werden. Die Regel(n) mit der Routing Group (zuerkennen am Zahnradsymbol) sollten möglichst weit unten stehen.

Bei Telekom All-IP-Anschlüssen könnte man zudem Regeln hinzufügen, die VoIP über LTE blockieren, da dieser Anbieter keine Registrierung jenseits des xDSL-Anschlusses zulässt.

Quellen

pfSense – Accessing modem from inside firewall

pfSense – Multi-WAN

pfSense – What is policy routing

Update 19.02.2017

Wie angekündigt, anbei Infos zum Betrieb des Netgear LB1110 bzw. LB1111 im Bridge-Modus:

  • Im Web-Interface des LTE-Modems zu “Einstellungen – Erweitert” wechseln.
  • Bei “Betriebs-Modi” auf “Bridge” klicken und bestätigen. Das Gerät startet daraufhin neu.
  • Im Web-Interface der pfSense unter “Interfaces – FALLBACK” bei “IPv4 Configuration Type” “DHCP” auswählen, speichern und die Änderung anwenden.

Sobald die Konfiguration übernommen wurde kann z.B. via “Status – Interfaces” die aktuelle IP-Adresse des FALLBACK-Interfaces abgelesen werden.

Bei diesem Anbieter erhält man eine private IP-Adresse, die nicht vom öffentlichen Internet aus erreichbar ist. Dies ist z.B. für eingehende VPN-Verbindungen ungeeignet. Ob man eine öffentliche oder gar feste IP-Adresse erhält hängt vom Anbieter und dem gewählten Tarif ab.

Damit der Fallback funktioniert muss zum einen in der pfSense unter “System – Routing” für das “FALLBACK_DHCP”-Gateway eine “Monitor IP” eingetragen als auch die “Routing Group” angepasst werden. Nicht vergessen darf man ggf. NAT- oder Firewall-Regeln für das FALLBACK-Interface.

Bemerkung: Das LTE-Modem ist zwar nach wie vor unter der vorgegebennen (oder selbst konfigurierten) IP-Adresse erreichbar, da allerdings das Interface in der pfSense im Bridge-Modus die IP-Adresse des Providers erhällt, ist kein Zugriff möglich. Man müsste sich dann z.B. über ein weiteres Interface und einem kleinem Switch eine Lösung bauen.

Quelle:

NETGEAR Support – Wie kann ich auf dem LB1110/LB1111 LTE Modem den Router-Modus auf den Bridge-Modus ändern?

2 Kommentare

  1. marcel

    Hallo,

    vielen Dank für den ausführlichen Beitrag. Wie sieht es denn im Hinblick auf IPv6 aus bei deiner Lösung ? Soweit ich weiß gibt die Telekom per LTE ja IPv6 raus, jedoch müssen natürlich auch die Endgeräte es unterstützen.

    Viele Grüße, Marcel

  2. Stefan Martin

    Guten Tag,

    ich hätte gerne mehr zum Thema “Bei Telekom All-IP-Anschlüssen könnte man zudem Regeln hinzufügen, die VoIP über LTE blockieren, da dieser Anbieter keine Registrierung jenseits des xDSL-Anschlusses zulässt.” gewusst.
    Wie müssen hier die Regeln lauten?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑