5
PfSense - DSL-Ausfallabsicherung mittels USB-LTE-Modem
Hallo Admin's,
ich betreibe seit einiger Zeit (auch Dank des Forums) erfolgreich eine pfSense in meinem Heimnetzwerk.
Momentan ist noch eine Fritzbox 7590 vorgeschaltet, die der pfSense als Router den DSL-Internetzugang (und die Telefonie) bereitstellt.
Solch eine Routerkaskade funktioniert zwar - ist aber sicher nicht die allerbeste Lösung.
Ein reines DSL Modem (z.B. Draytek Vigor 165) würde vor der Firewall sicher die besse Lösung sein.
Mittlerweile habe ich auch die DynDNS-Einrichtung für den VPN-Zugang der pfSense schon von der FritzBox auf die pfSense umgestellt.
Die Telefonie der Fritzbox würde auch funktionieren, wenn die FritzBox hinter der pfSense Firewall als IP-Client angeschlossen wäre.
Dafür bräuchte es nur entsprechende Regeln für die Portfreigabe. Die DECT-Geräte an der FritzBox funktionieren unabhängig davon.
Einzig die funktionierende Fallback-Lösung mittels USB-LTE-Stick an der Fritzbox habe ich noch nicht an der pfSense komplett umgesetzt.
Ich habe bereits einen LTE-Modem-Stick (Huawei E3372) in der pFSense installiert und dafür ein Interface eingerichtet.
Wie aber kann ich die Fallback-Funktion konfigurieren, damit bei Ausfall der DSL-Funktion der LTE-Stick übernimmt?
Kennt jemand eine verständliche Doku für die gesamte USB-LTE-Konfiguration einschließlich der DSL-Ausfalllösung?
Ich habe trotz Suche bisher nichts gefunden.
Gruß Jörg
ich betreibe seit einiger Zeit (auch Dank des Forums) erfolgreich eine pfSense in meinem Heimnetzwerk.
Momentan ist noch eine Fritzbox 7590 vorgeschaltet, die der pfSense als Router den DSL-Internetzugang (und die Telefonie) bereitstellt.
Solch eine Routerkaskade funktioniert zwar - ist aber sicher nicht die allerbeste Lösung.
Ein reines DSL Modem (z.B. Draytek Vigor 165) würde vor der Firewall sicher die besse Lösung sein.
Mittlerweile habe ich auch die DynDNS-Einrichtung für den VPN-Zugang der pfSense schon von der FritzBox auf die pfSense umgestellt.
Die Telefonie der Fritzbox würde auch funktionieren, wenn die FritzBox hinter der pfSense Firewall als IP-Client angeschlossen wäre.
Dafür bräuchte es nur entsprechende Regeln für die Portfreigabe. Die DECT-Geräte an der FritzBox funktionieren unabhängig davon.
Einzig die funktionierende Fallback-Lösung mittels USB-LTE-Stick an der Fritzbox habe ich noch nicht an der pfSense komplett umgesetzt.
Ich habe bereits einen LTE-Modem-Stick (Huawei E3372) in der pFSense installiert und dafür ein Interface eingerichtet.
Wie aber kann ich die Fallback-Funktion konfigurieren, damit bei Ausfall der DSL-Funktion der LTE-Stick übernimmt?
Kennt jemand eine verständliche Doku für die gesamte USB-LTE-Konfiguration einschließlich der DSL-Ausfalllösung?
Ich habe trotz Suche bisher nichts gefunden.
Gruß Jörg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 618393
Url: https://administrator.de/contentid/618393
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @Nominis:
Die Telefonie der Fritzbox würde auch funktionieren, wenn die FritzBox hinter der pfSense Firewall als IP-Client angeschlossen wäre.
Würde? Und wie ist dein Begriff von IP-Client hier zu nehmen? Noch eine Fritte?Die Telefonie der Fritzbox würde auch funktionieren, wenn die FritzBox hinter der pfSense Firewall als IP-Client angeschlossen wäre.
Gruß,
Peter
Um die FritzBox im LAN hinter der Firewall komme ich erst einmal nicht umhin, um die Geräte der AVM-Familie (Fon, Steckdosen und Schalter inkl. Telefonanlagenfunktion) weiter nutzen zu können.
Bislang ist die Fritte vor der Firewall.
Bei der Frage geht es aber hauptsächlich um die Einrichtung eines USB-LTE-Modems an der pfSense.
Bislang ist die Fritte vor der Firewall.
Bei der Frage geht es aber hauptsächlich um die Einrichtung eines USB-LTE-Modems an der pfSense.
Unabhängig davon, ob eine Kaskadierung von Routern eine best practice ist: bei ganz normaler Konfiguration fehlerfrei laufend. Das gilt unter anderem dann, wenn dem eigentlichen Router / Firewall (ohne Modemfunktion) beispielsweise ein DrayTek Vigor130 als das eigentliche Modem vorgeschaltet wird. Denn das Vigor130 ist trotz seiner Vermarktung als Modem dennoch ein (abgespeckter) Router, was unschwer zu erkennen ist, wenn im Webinterface die Konfigurationsmöglichkeiten betrachtet werden. Es spricht alles dafür, dass das beim Vigor165 nicht anders ist.
Eine Kaskade ist unter anderem dann ein richtiger und wohl auch notwendiger Weg, wenn eine DMZ eingerichtet werden soll. Alle Strukturvarianten, die auf demselben und einzigen Router mit einem "Nebenarm" in die DMZ führen, sind von den letztlich zu implementierenden Firewallregeln (außen-DMZ; außen-innen; innen-DMZ) unterm Strich logisch doch auch wieder "zwei" Router. Nur besteht dann das Risiko, dass beispielsweise die Kompromittierung des Routers über die DMZ höchstwahrscheinlich zugleich Zugang in den eigentlichen Innenbereich ebnet. Von der Komplexität der Firewallregeln für alle drei Richtungen als weitere Fehlerquelle will ich gar nicht erst reden.
Meiner Erfahrung nach ist selbst doppelte NAT kein wirkliches Problem. Eher stellt sich die Frage, ob bei bestimmter Kommunikation generell NAT ein Problem darstellt.
Soweit mir bekannt ist, erfolgt beispielsweise beim FortiOS der Modem-Fallback dann, wenn über einen einstellbaren Zeitraum die Verbindung ins Internet scheitert. Ob dabei ein Modem / Router vorgeschaltet ist, ist belanglos. Insoweit muss es, wenn es keine Einstellbarkeit in der GUI geben sollte, einen CLI-Parameter geben. Sicherlich ist der bei den anderen Fallback-Parametern vorhanden. Einfach die ausführlich Befehls-/Parameterreferenz studieren.
Eine Kaskade ist unter anderem dann ein richtiger und wohl auch notwendiger Weg, wenn eine DMZ eingerichtet werden soll. Alle Strukturvarianten, die auf demselben und einzigen Router mit einem "Nebenarm" in die DMZ führen, sind von den letztlich zu implementierenden Firewallregeln (außen-DMZ; außen-innen; innen-DMZ) unterm Strich logisch doch auch wieder "zwei" Router. Nur besteht dann das Risiko, dass beispielsweise die Kompromittierung des Routers über die DMZ höchstwahrscheinlich zugleich Zugang in den eigentlichen Innenbereich ebnet. Von der Komplexität der Firewallregeln für alle drei Richtungen als weitere Fehlerquelle will ich gar nicht erst reden.
Meiner Erfahrung nach ist selbst doppelte NAT kein wirkliches Problem. Eher stellt sich die Frage, ob bei bestimmter Kommunikation generell NAT ein Problem darstellt.
Soweit mir bekannt ist, erfolgt beispielsweise beim FortiOS der Modem-Fallback dann, wenn über einen einstellbaren Zeitraum die Verbindung ins Internet scheitert. Ob dabei ein Modem / Router vorgeschaltet ist, ist belanglos. Insoweit muss es, wenn es keine Einstellbarkeit in der GUI geben sollte, einen CLI-Parameter geben. Sicherlich ist der bei den anderen Fallback-Parametern vorhanden. Einfach die ausführlich Befehls-/Parameterreferenz studieren.
Es spricht alles dafür, dass das beim Vigor165 nicht anders ist.
Nein, im reinen NUR Modem Mode ist es ein vollwertiges (Bridging) Modem und nicht nur ein Router der PPPoE Passthrough macht.Im Zweifel kann der TO ja auch ein anderes nur Modem nutzen wie z.B.
https://www.heise.de/select/ct/2020/15/2014807584631309753
und wohl auch notwendiger Weg, wenn eine DMZ eingerichtet werden soll.
und man überflüssiges doppeltes NAT und doppeltes Firewalling als Performancefresser eliminieren will !Eine "richtige" DMZ die den Namen verdient richtet man nie über eine billige Router Kaskade ein sondern immer direkt an der Firewall.
FortiOS der Modem-Fallback dann, wenn über einen einstellbaren Zeitraum die Verbindung ins Internet scheitert.
Ist bei der pfSense nicht anders... 
https://www.heise.de/select/ct/2016/24/1479992026108405
https://docs.netgate.com/pfsense/en/latest/multiwan/index.html
https://techexpert.tips/de/pfsense-de/pfsense-mehrfach-wan-link-lastenau ...
usw.
Vielen Dank für die Links und Hinweise zum MultiWAN usw.
Dann werde ich mich mal in das Thema einarbeiten.
Das Modem muss ja auch noch beschafft werden ...
Ein Thema für lange Winterabende
Dann werde ich mich mal in das Thema einarbeiten.
Das Modem muss ja auch noch beschafft werden ...
Ein Thema für lange Winterabende
