Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pfsense WAN Failover LTE and dynamic DNS

Mitglied: sleeplessnight

sleeplessnight (Level 1) - Jetzt verbinden

24.11.2017 um 01:42 Uhr, 1439 Aufrufe, 9 Kommentare

Hallo,

eine Frage an euch spezis:

Ich hab mir ein WAN Failover zusammengebastelt. Das ganze funktioniert soweit auch ganz gut, bis auf ein paar DNS Server Probleme.

Was allerdings irgendwie gar nicht klappt, ist der nette Dynamic DNS Dienst. Der Updatet zwar ganz brav die IP sobald das Main WAN ausfällt, allerdings findet der irgendeine IP Adresse, die wohl irgendwo im NAT Nirvana des LTE-Providers steckt.

Das LTE Modem sagt mir die üblichen LTE Adressen: 10.xx.xx.xxx Der DynDNS Dienst löst jedoch nach 80.xx.xx.xx auf.
Das Spiel geht auch anders herum. Löse ich die FQDN von extern per trace auf (also aus einem ganz anderen Netz (LTE des Handys)), ist der letzte Point wohl auch die "übergabe" an den LTE-WAN Provider. Jedenfalls stimmt auch die von dem Trace IP nicht mit der IP des DynDNS Dienstes der pfsense überein.

Riecht das nach einem Bug oder sitzt der Bug 40cm hinter dem Bildschirm?

Ich frag mich sowieso, wie der Dienst auf die IP kommt. Das LTE Gateway der pfsense hat ja eh per DHCP vom Modem eine private Adresse bekommen. Das Modem setzt den quak ja auf die öffentliche IP um....
Mitglied: StefanKittel
24.11.2017 um 06:56 Uhr
Moin,

klingt für mich weniger nach einem Fehler als nach einer nicht öffentlichen IP die Du per LTE bekommst.
Das ist bei vielen Anbietern üblich da es zu wenige IPv4 Adressen gibt. Diese IP muss auch nicht stabil sein und im Sekundentakt wechseln.

probier mal http://ip.skittel.de aus.

Aber so eine IP bringt Dir eh nichts, da Du davon keine Weiterleitungen machen kannst.
Ist ja nicht nur Deine IP.

Stefan
Bitte warten ..
Mitglied: aqui
24.11.2017, aktualisiert um 10:59 Uhr
die wohl irgendwo im NAT Nirvana
Sowas ist natürlich Unsinn und gibt es nicht.
Die 10er IP deutet darauf hin das der LTE Provider im LTE Mobilfunk Netzwerk private RFC 1918 IP Adressen nutzt und Carrier Grade NAT.
Da ist dann so oder so aus mit remotem Zugriff.
Bitte warten ..
Mitglied: sleeplessnight
24.11.2017 um 23:03 Uhr
Zitat von aqui:
Da ist dann so oder so aus mit remotem Zugriff.
Jup, das dachte ich mir schon.

Was natürlich mal richtig förderlich für einer Wartung ist.

Dann folgendes Szenario, was vielleicht abhilft:
Superman's Faust names VPN.

Ist's möglich, der pfsense folgendes Szenario beizubringen: "bei einem Failover über das LTE baue eine VPN Verbindung auf"?
Bitte warten ..
Mitglied: aqui
25.11.2017 um 12:48 Uhr
Jup, das dachte ich mir schon.
Eine winzige Chance gibt es noch. Wenn dieses Gerät ein SSL basiertes VPN Nutzt wie z.B. OpenVPN und von sich aus die VPN Session irgendwohin aufbaut und den VPN Tunnel etabliert, dann kann man auch VPNs realisieren, denn so "bohrt" sich dieses Endgerät ja dann einen Tunnel durch CGN.
Andersrum wird es nicht gehen durch das CGN.
Diese Chance hast du also. Wenn sich also alle diese Geräte an einem RFC 1918 LTE aktiv irgendwo per VPN anmelden auf einem zentralen VPN Server, SIE also die Sessioninitiieren, dann geht es.
der pfsense folgendes Szenario beizubringen: "bei einem Failover über das LTE baue eine VPN Verbindung auf"?
Yepp, genau DAS ist der richtige Ansatz und das klappt natürlich fehlerlos. Die pfSense wird dann als OpenVPN Client konfiguriert und initiiert dann von sich aus das VPN im Failoverfall.
Das klappt fehlerlos auch über CGN.
Bitte warten ..
Mitglied: sleeplessnight
26.11.2017 um 23:32 Uhr
Zitat von aqui:

Yepp, genau DAS ist der richtige Ansatz und das klappt natürlich fehlerlos. Die pfSense wird dann als OpenVPN Client konfiguriert und initiiert dann von sich aus das VPN im Failoverfall.

Ja, und wie geht es, das der Tunnel nur beim Fallback auf LTE aufgebaut wird?
"immer da" Tunnel versteh ich, aber einen, der halt nur dann aufgebaut wird, nicht.
Bitte warten ..
Mitglied: aqui
27.11.2017 um 10:01 Uhr
Das musst du manuell scripten mit einem der Script Tools in den Packages.
Bitte warten ..
Mitglied: sleeplessnight
04.12.2017 um 21:42 Uhr
Gibt's da irgendwie weitere Infos zu?
Bitte warten ..
Mitglied: sleeplessnight
11.12.2017 um 00:13 Uhr
Keine Idee, wie?
Bitte warten ..
Mitglied: aqui
11.12.2017 um 10:54 Uhr
Du musst mit einem Script die Verfügbarkeit testen mit Ping und dann nach einem Timeout ein Failover anstossen. Entweder mit einem einfachen Shellscript, oder der internen Ablaufsteuerung. Dazu müsste man etwas tiefer einsteigen. Fertige Lösungen gibt es da m.W. nicht.
Die Problematik ist ja das du es nicht vom Link Status des Interfaces abhängig machen kannst was die Sache dann sehr vereinfachen würde. Man muss also aktiv mit Pings etc. die Verfügparbeite prüfen und müsste dann die Starstup Scripte für die OVPN Verbindung abhängig davon triggern. Generell nicht schwer aber es ist eben Handarbeit auf der Shell.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Empfehlung für Mulit-Wan LTE-Router
Frage von george44LAN, WAN, Wireless4 Kommentare

Liebe Community, ich suche einen (neuen) Multi-WAN LTE-Router für regelmässige außer-Haus-Einsätze einer vier bis zehn Arbeitsplätze umfassenden EDV-Arbeitseinheit. Ausgangsszenario: ...

DSL, VDSL
Ersatz Wan an einem RB3011 per LTE
Frage von lightmanDSL, VDSL5 Kommentare

Liebe Forum Gemeinde Ich möchte auf meinem bestehende RB3011 uias ein ersatz Wan per USB LTE Stick anbringen habe ...

Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

LAN, WAN, Wireless

Dual WAN Router mit Funktinternet und LTE-Router

Frage von dodo-rLAN, WAN, Wireless5 Kommentare

Hallo zusammen! Ich habe Zuhause unter anderem mehrere Geräte die eine dauerhafte Internetverbindung benötigen (TV, PC, NAS, Server, Alarmanlage). ...

Neue Wissensbeiträge
Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 1 StundeOff Topic2 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 1 TagWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 1 TagMicrosoft Office5 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Firewall
Übernahme von SOPHOS durch Thoma Bravo
Information von Dilbert-MD vor 1 TagFirewall3 Kommentare

Kam die Tage per Newsletter: Zitat: " Das Sophos Board of Directors hat gestern bekanntgegeben, dass die Private-Equity-Investment-Firma Thoma ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Was tun, wenn der Chef seine eigenen IT-Regeln nicht durchsetzt?
gelöst Frage von Bl0ckS1z3Sicherheitsgrundlagen24 Kommentare

Hallo Admins, im Zuge der DSGVO haben wir in unserem Unternehmen mit dem Datenschutzbeauftragten ein neues IT-Nutzerhandbuch erstellt. Hier ...

Windows 10
Win 10 - Seltsame popups die nerven
Frage von BigSnakeyeWindows 1022 Kommentare

Hallöchen! An einem Win 10 Notebook habe ich Probleme mit extrem nervigen Popups rechts unten in der Ecke. Dort ...

CPU, RAM, Mainboards
Kein Bild mit neuem Mainboard
Frage von Ghost108CPU, RAM, Mainboards21 Kommentare

Hallo zusammen, habe einen PC mit 4 RAM Riegeln, einer Intel CPU 1151 Socket und einem Mainboard Asus B150M-A/M.2 ...

TK-Netze & Geräte
Rufnummernportierung am Festnetz wird vom Anbieter nicht unterstützt - Was kann man da machen
Frage von StefanKittelTK-Netze & Geräte19 Kommentare

Hallo, ein Kunde von mir hat mehrere Standort. Die meisten haben DSL/Kabel und sind per Telefon bei NFON (VOIP). ...