Multi WAN mit einem LAN

Ohne zusätzlich in einen Dual WAN Balancing Router ala z.B. Draytek 2960 https://www.draytek.de/vigor2960-serie.html zu investieren indem du das alles ganz einfach mit Bordmitteln löst sieht das dann so aus.


Mit dem Gateway der Endgeräte bestimmst du dann welche Internet Verbindung diese nutzen.
Nachteil:

• Kein Automatisches Failover wenn der Link ausfällt
• Keine automatische Verteilung der Lasten nach Anwendung oder Auslastung der Links

Vorteil:

• Keine zusätzlichen Kosten oder Hardware. Ist in 10 Minuten mit Bordmitteln erledigt.

Solch ein simples Banaldesign um das zu lösen sollte man auch als Laie kennen.

Könntest du kurz erklären, warum
alles über die Zywall laufen soll? Denn sonst wäre die Lösung von @aqui ideal gerade weil:
Ansonsten brauchst du wirklich einen anderen Router...

Guten Morgen Jörg,

da ich mich mit den Zywalls etwas genauer auskenne, kann ich Dir vermutlich besser weiterhelfen, als die anderen.
Selbstverständlich kannst Du alles wie gewünscht über die Zywall laufen lassen, statt einen Teil des Traffics daran vorbei zu leiten.
Bevor wir tiefer einsteigen, benötige ich jedoch noch einige ergänzende Informationen vorab:

1) Handelt es sich um eine USG20 oder um eine USG20-VPN? Bitte nenne den aktuell eingesetzten Firmwarestand.

2) Hast Du administrativen Zugriff auf den 4G-Router? Arbeitet dieser im Bridge- oder im Routing-Modus? Kann man auf diesem (zumindest im Routingmodus) statische (Rück-)Routen setzen?

3) Bitte beschreibe den zusätzlichen Internetzugang genauer (Anbieter, Produkt, Zugangstechnologie).

Trau Dich ruhig es zuzugeben, wenn Du einzelne Fragen nicht beantworten kannst. Dann klären wir das gemeinsam.

Gruß
Steffen

Das kommt jetzt auf dein Setup an... Sperrst du derzeit mit der Zywall irgendwelchen ausgehenden Datenverkehr? Deine 4G-Verbindung hängt sehr wahrscheinlich sowieso hinter einem CGN, so dass ich mir da keine Gedanken machen würde.
Da wäre dann die Frage, welche Schutzfunktionen deine Zywall übernimmt.
Für den Hausgebrauch tut es da auch der Huawei.

Du kannst einen zusätzlichen Router nehmen, oder du nimmst einen, der dein komplettes Szenario abbildet... The Choice is yours...
Eine opnSense oder pfSense kann auch mit einem LTE-Stick umgehen, ein openWRT auch... Damit wäre aber die Zywall dann auch "über" und du hättest alles in einer Box...

Im Endeffekt hängt es davon ab, was du genau erreichen willst und was deine Anforderungen sind.

Da er mit der Zywall aber bereits geeignete Hardware hat, die das komplette Szenario abbilden kann, fragt man sich halt, warum Ihr ihm unbedingt etwas anderes aufschwatzen wollt...

Das liegt einfach nur daran, dass ich von Zywalls überhaupt keine Ahnung habe, aber zumindest ein mögliches Lösungsszenario aufzeigen wollte...
Wenn die Zywall das alles kann, dann ist es ja gut...

Seine Anforderungen kann auch auch jeder Baumarkt Router also ist er mit der Zywall ja bestens bedient wie Kollege @sk schon sagt.
Ja !

Ist das etwas da Firmware Release Datum aus 2014 ?? Das ist ja uralt und antik ! Eigentlich ein NoGo bei einer Firewall. Aber egal...
Sieht so aus als ob die Huawei Gurke keine statischen Routen kann:
https://www.lte-anbieter.info/pdf/B525s.pdf
Allerdings ist da eine Dt. Telekom Firmware drauf und diese sind bekanntlich sehr mickrig was das Featureset anbetrifft. Möglich das die original Huawei Firmware dieses Feature hat wie z.B. hier im Punkt 2.1:
https://forum.huawei.com/enterprise/en/example-for-configuring-ipv4-stat ...
Wie üblich ist aber die Doku bei Huawei und Firmware Support schlecht bis gar nicht vorhanden. Huawei ist da berühmt berüchtigt.

Das war zwar offenkundig, aber es ehrt Dich sehr, dass Du Manns genug bist, das zuzugeben.



Wenns so trivial und selbstverständlich ist, warum dann nicht gleich diese Empfehlung?

Es stört mich zuweilen sehr, dass hier recht häufig voreilige Empfehlungen abgegeben werden, ohne das Problem des Fragestellenden genauer durchdacht und die Gegebenheiten analysiert zu haben. Es mag ja sein, dass dies in den meisten Fällen dem Ansinnen geschuldet ist, schnell und unkompliziert Hilfestellung zu leisten. Leider führt dies aber häufig zu einem schlechten Beratungsergebnis. Nicht selten werden hier voreilig Produkte empfohlen, die am objektiven Bedarf des Fragenden vorbei gehen (beispielsweise Brocade-Switches für Privatanwender) oder mit deren Einrichtung und Administration der Fragende erkennbar überfordert sein wird (z.B. Mikrotiks für Fragende, die mit ihren Fritzboxen schon nicht zurecht kommen).

Macht Euch bitte mal bewusst, dass Ihr mit Euren Antworten auch ein gehöriges Stück weit Verantwortung für die Folgen Eurer Empfehlungen übernehmt. Neben einem eventuellen finanziellen Schaden beim Hilfesuchenden meine ich damit nicht zuletzt auch die Folgen für die Sicherheit der Daten und Systeme sowohl des Hilfesuchenden als auch Drittbetroffener. Ich möchte lieber nicht wissen, wie viele ungenügend abgesicherte Mikrotiks allein aufgrund hiesiger Empfehlungen im Netz stehen und z.B. für DDOS-Angriffe missbraucht werden. Damit wir uns nicht falsch verstehen: Ich bin selbst begeisterter MT-Nutzer, war bis zur bewusst unterlassenen Rezertifizierung mal MTCNA und laufe sogar gelegentlich in mit MT-Logos bedruckten T-Shirts rum - dennoch gebe ich kleinen Kindern keine geladene Waffe in die Hand!

Nicht zuletzt schadet es im Übrigen auch der eigenen Reputation hier im Forum, wenn man häufig unreflektiert voreilige Empfehlungen abgibt. Hier muss ich leider Aqui als besonderes Negativbeispiel benennen. Er antwortet häufig und meist auch durchaus kompetent und treffend, nicht selten aber leider auch völlig am Thema oder den Anforderungen des Hilfesuchenden vorbei. In Kombination mit teils herablassenden Formulierungen lässt dies dann leider häufig den bitteren Beigeschmack aufkommen, dass es ihm gelegentlich mehr um die eigene Selbstdarstellung als um echte Hilfestellung geht...

Niemand kann alles wissen und schnell überliest man auch schon mal eine spezifische Fallgestaltung, die für eine adäquate Lösung aber dringend zu beachten wäre. Wenn man als Antwortender aber nicht immer den Eindruck der eigenen Unfehlbarkeit erwecken, sondern in seinen Antworten offen die eigenen Annahmen und Wissenseinschränkungen vorausnennen würde, könnte nicht nur der Hilfesuchende besser einschätzen, auf welche Empfehlungen er sich im Zweifel verlassen kann, sondern wäre auch selbst wesentlich weniger angreifbar.

Bevor ich vor 20 Jahren mein Hobby zum Beruf machte und in die IT einstieg, hatte ich erfolgreich ein im Schwerpunkt juristisch geprägtes Studium absolviert. Und wenn ich dabei - von Schachtelsätzen abgesehen - eines gelernt habe, dann dass sich ein Jurist ohne Not nur soweit aus dem Fenster lehnt, wie er unbedingt muss. Lest mal die Leitsätze und Begründungen eines höchstinstanzlichen Urteils und achtet dabei vorallem auf das, was an Fallgestaltungen und Bedingungen dabei explizit ausgeklammert wird, dann versteht Ihr, was ich meine.

Gruß
Steffen

Das ist alles wahr und sachlich richtig was du sagst, allerdings verdrängst du vollends das sich Fragende, die mit ihren Fritzboxen schon nicht zurecht kommen ja ganz bewusst in ein Administrator Forum damit wagen. Administratoren und solche die mindestens solche Zertifizierungs Level haben wie du, gehen in der Regel mit den von dir genannten Produkten um oder eben mindestens SoHo Produkten.
Wenn also diese Fragenden das ganz bewusst in Kauf nehmen, dann bekommen sie auch eine etwas im Niveau andere Antwort als in Foren wie gutefrage.net. Gerade Juristen haben eine sehr ähnliche Argumentationskette.
Interessant ist das diese Art Fragenden dann meist ausfallend werden wenn man sie darauf hinweist oder bittet sich doch besser adäquate Hilfe zu holen.
Fairerweise sollte man auch diesen Aspekt wenigstens nicht ganz außer Acht lassen. Eine so geartete Filterung ist also auch etwas Eigenschutz, denn du siehst wohin andere Foren abdriften. Aber egal, da gibt es sicher unterschiedliche Sichtweisen. Was den Rest anbetrifft werde ich an mir arbeiten...

hab ich befürchtet.
Funktional hindert das unser Vorhaben nicht, aber ich muss versuchen, mich an die Möglichkeiten und Grenzen dieser alten Firmware zurückzuerinnern, ohne dass ich noch Zugriff auf ein solches Gerät hätte.



Die USG20 (ohne Zusatz "-VPN") wurde m.E.n. im Jahre 2010 eingeführt. Als so ziemlich das letzte Modell ihrer Entwicklungsgeneration stellte es das unterste Ende des Portfolios dar und zielte eher auf den Consumer-Bereich. Dementsprechend ist sie natürlich seit längerem End of Life.
Das letzte frei downloadbare Firmwarerelease ist vom November 2016. Siehe ftp://ftp.zyxel.com/ZyWALL_USG_20/firmware/ZyWALL%20USG%2020_3.30(BDQ.9)C0.zip. Über den Support kann man erfahrungsgemäß noch einige spätere unveröffentlichte Sicherheitspatches erhalten, aber es bleibt dabei: Allein aus Sicherheitsgründen sollten man die Box eigentlich langsam mal ersetzten. Selbst das direkte Nachfolgemodell steht bereits am Ende des Lifecycles. Vorallem aber war die USG20 selbst beim Erscheinen für damalige Verhältnisse nicht übermäßig performant. Auch das spräche daher dafür, sich Gedanken über eine Ablösung zu machen.
Aber wie gesagt: es hindert uns funktional nicht an der Umsetzung des avisierten Szenarios. Und je nach Einsatzart und Anforderungen kann es auch sicherheits- und performencemäßig durchaus vertretbar sein, das Teilchen noch einige Zeit zu nutzen.



Google lieferte mir folgenden Screenshot: https://setuprouter.com/router/huawei/b525s-23a/wireless-bridge-86843-la ...
Sieht Deine Weboberfläche so aus und ist da der Haken drin?
Ich geh mal stark davon aus, dass sich der Huawai im Routing-Modus befindet. Da ich gerade sehe, dass er auch ein WLAN-Interface hat: Wird er auch als Accesspoint genutzt? Falls ja, müssten wir das berücksichtigen...



Da die konkrete Ausgestaltung des zusätzlichen Internetzugangs durchaus Einfluss darauf haben kann, welche Form der Implementierung möglich und/oder welche mit dem wenigsten (Änderungs-)Aufwand verbunden ist, ist es natürlich nicht gerade optimal, diesen noch nicht zur Verfügung zu haben.

Ich beginne daher mal mit einigen grundlegenden Erläuterungen zur Funktionsweise der Zywall sowie ein paar allgemeinen Grundüberlegungen:

Mit Firmware 2.20 wurde der interne Packetflow der ZLD-basierten Zywalls gegenüber den Vorversionen grundlegend überarbeitet und durchaus auch sinnvoll verbessert. Zuvor musste vieles explizit konfiguriert werden, was seither "wie von Geisterhand" einfach so zu funktionieren scheint, wenn man sich nicht näher damit befasst. Das Produkt ist damit wesentlich Endanwender-freundlicher geworden.
Wesentlicher Anküpfungspunkt hierfür ist eine damals neu eingeführte Typisierung von Interfaces. Es gibt drei Typen: external, internal und general Interfaces. In Abhängigkeit davon, wie ein Interface typisiert ist, kann man unterschiedliche Dinge mit diesem anfangen und die Box verhält sich je nach Interfacetyp bezogen auf dessen passierenden Traffic u.U. ein wenig anders.
Ein paar (nicht abschließende) Beispiele:

Interfaces vom Typ "external" können
- PPP-Interfaces binden (relevant z.B. für DSL-Anschlüsse)
- ihre IP-Konfiguration (nebst DNS-Settings und Standardgateway) per DHCP erhalten
- im Falle einer statischen IP-Konfiguration mit interfacebezogenen Einstellungen für DNS-Server und Standardgateway versehen werden
- Mitglied eines WAN-Trunks sein (und sind sogar automatisch Mitglied im sog. Default-WAN-Trunk). Ein Trunk ist ein Zusammenschluss von Interfaces, auf die ein Lastverteilungs- und/oder Failoveralgorithmus angewendet werden kann.

Interfaces vom Typ "internal" können (u.a.) Vorgenanntes nicht, dafür aber Dinge, die typischer Weise auf einem LAN-Interface benötigt werden (z.B. Base-Interface für einen DHCP-Server sein). Interfaces vom Typ "general" können sämtliche genannten Funktionalitäten abbilden.

Was macht ein Router mit Traffic, der nicht an ihn selbst gerichtet ist? Richtig, er schaut in seine Routingtabelle, ob er einen "Next-Hop" für dieses Ziel kennt, an den er den Traffic weiterleiten kann. Wenn er hierfür keine spezifische Route findet, dann nimmt er halt als letzten Ausweg das Default-Gateway. Hiervon kann es auf der Zywall mehrere geben - wie oben dargestellt für jedes external (oder general) Interface ein eigenes. Welches Defaultgateway dann zum Zuge kommt, darüber entscheidet der auf dem Trunk eingestellte Loadbalancing- und Failovermechanismus. Per Default wird die nächste Session über das Interface rausgeroutet, welches aktuell am wenigsten ausgelastet ist.
Selbstverständlich übersetzt die Zywall dann noch - sofern man den Default-Mechanismus nicht deaktiviert - die Absender-IP-Adresse in den ausgehenden Paketen auf die des abgehenden Interfaces und führt im Hintergrund eine Session-Table die sicherstellt, dass Pakete einer bestehenden Session immer über das gleiche Interface rausgehen.

Wer das Vorgenannte verstanden hat, kennt das (übersteuerbare) "out of the Box"-Routing- und SourceNAT-Verhalten der Zywall. Wer dann noch eins und eins zusammenzählen kann, erkennt auch recht einfach, wo für den Hersteller die Stellschrauben sind, um ein preisgünstiges Modell funktional gegenüber einem höherpreisigen, aber auf dem gleichen Betriebssystem basierenden Modell einzuschränken: Bei Modellen ab der USG3xx aufwärts kann der Admin u.a. den Interfacetyp sämtlicher Interfaces selbst bestimmen. Je günstiger die Modelle werden, desto mehr werden diese Freiheiten sowie andere relevante Settings wie die Anzahl der möglichen WAN-Trunks, Anzahl und Konfigurierbarkeit von Firewallzonen etc. beschnitten. Die USG20 war das unterste Ende des Produktportfolios und lässt es deshalb bei keinem Interface zu, den Interfacetyp festzulegen. Die LAN-Interfaces sind als Typ "internal" hardcodiert und genau ein Interface ist fest als "external" definiert, denn man möchte ja hier ein eigentlich sehr leistungsfähiges und flexibles Multi-WAN-Betriebsystem preisgünstig als Single-WAN-System verkaufen ohne sich selbst bei seinen teureren Modellen Konkurrenz zu machen...

Aber was bedeutet das nun für den konkreten Anwendungsfall in diesem Thread? Ist die USG20 aufgrund dieser Restriktionen nicht wie bislang angenommen ungeeignet für die Abbildung des gewünschten Szenarios?
Nein. Zumindest dann nicht, solange nicht weitere bislang ungenannte Anforderungen hinzukommen, wie etwa das Anbieten öffentlicher Dienste auf beiden Internetanschlüssen oder ein Loadbalancing zwischen den Anschlüssen. Dann könnte es kompliziert werden.
Bislang wurde aber lediglich kommuniziert, dass die PCs ausgehend den 4G-Anschluss und Smart-TV’s sowie Netzwerk-Receiver den neuen Anschluss nutzen sollen - also fest zugeordnet anhand ihrer Absender-IP-Adresse. Dies geht auch mit der USG20 mittels sog. Policyroutings. Sofern das eingesetzte Streamingprotokoll eindeutig definierbar ist, ginge diese Wegewahl sogar basierend auf dem "gesprochenen" Protokoll.
Man schließe also den neuen Internetanschluss an das bislang ungenutze LAN2 der Zywall an, passe die Firewalleinstellungen dieser Zone den geänderten Bedürfnissen an und leite per Policyroute den von den Smart-TV’s und Netzwerk-Receivern ausgehenden Traffic auf den Next Hop / Default Gateway des neuen Internetanschlusses. Selbstverständlich muss in der Policyroute konfiguriert werden, dass die Source-IP des ausgehenden Traffics dabei auf die IP des abgehenden Interfaces übersetzt wird, was selbstverständlich problemlos möglich ist.
Sollte der neue Internetanschluss so ausgestaltet sein, dass man seine WAN-IP zwingend per DHCP oder per PPP dynamisch zugewiesen bekommt, dann muss man halt zuvor noch die beiden Internetanschlüsse tauschen. Den neuen Internetanschluss auf das offizielle WAN-Interface und den Bestandsanschluss mit dem vorgelagerten 4G-Router auf das LAN2-Interface, da letzteres wie erläutert hardcodiert ein internal Interface ist, welches nicht DHCP- oder PPP-Client sein kann.
Sollte es darüber hinaus noch weitere Anforderungen geben, die sich so erstmal nicht abbilden lassen, dann kann man u.U. auch daran noch etwas mittels VLANs "drehen". Ein VLAN-fähiger Switch ist ja bereits vorhanden. Ein VLAN-Interface auf der USG20 ist nämlich meiner Erinnerung nach hardcodiert vom Typ "general"... Zumindest war dies früher mal so. Kann natürlich sein, dass ZyXEL dieses Schlupfloch irgendwann mal weiter eingeschränkt hat. Das müsste ich mir bei Bedarf dann mal genauer ansehen...


Gruß
Steffen

Ich finde es kein Problem das zuzugeben. Bei den Empfehlungen ist es bei mir genau wie bei vielen anderen Dienstleistern auch: Ich empfehle die Hersteller / Produkte mit denen ich Erfahrung habe und von denen ich überzeugt bin, dass sie funktionieren...

Nachdem Du ja ohnehin schon auf den Anbieter - wahrscheinlich mangels Alternativen - festgelegt bist, macht es nur noch wenig Sinn, tiefergehende technische Fragen zu stellen. Wir werden leben müssen, mit dem, was Du da halt bekommst. Selbstverständlich gehe ich davon aus, dass Du vom Anbieter alle für die Inbetriebnahme relevanten Informationen erhälst und dann sehen wir weiter.

Gruss
Steffen