Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pfsense WAN Failover LTE and dynamic DNS

Mitglied: sleeplessnight

sleeplessnight (Level 1) - Jetzt verbinden

24.11.2017 um 01:42 Uhr, 1656 Aufrufe, 9 Kommentare

Hallo,

eine Frage an euch spezis:

Ich hab mir ein WAN Failover zusammengebastelt. Das ganze funktioniert soweit auch ganz gut, bis auf ein paar DNS Server Probleme.

Was allerdings irgendwie gar nicht klappt, ist der nette Dynamic DNS Dienst. Der Updatet zwar ganz brav die IP sobald das Main WAN ausfällt, allerdings findet der irgendeine IP Adresse, die wohl irgendwo im NAT Nirvana des LTE-Providers steckt.

Das LTE Modem sagt mir die üblichen LTE Adressen: 10.xx.xx.xxx Der DynDNS Dienst löst jedoch nach 80.xx.xx.xx auf.
Das Spiel geht auch anders herum. Löse ich die FQDN von extern per trace auf (also aus einem ganz anderen Netz (LTE des Handys)), ist der letzte Point wohl auch die "übergabe" an den LTE-WAN Provider. Jedenfalls stimmt auch die von dem Trace IP nicht mit der IP des DynDNS Dienstes der pfsense überein.

Riecht das nach einem Bug oder sitzt der Bug 40cm hinter dem Bildschirm?

Ich frag mich sowieso, wie der Dienst auf die IP kommt. Das LTE Gateway der pfsense hat ja eh per DHCP vom Modem eine private Adresse bekommen. Das Modem setzt den quak ja auf die öffentliche IP um....
Mitglied: StefanKittel
24.11.2017 um 06:56 Uhr
Moin,

klingt für mich weniger nach einem Fehler als nach einer nicht öffentlichen IP die Du per LTE bekommst.
Das ist bei vielen Anbietern üblich da es zu wenige IPv4 Adressen gibt. Diese IP muss auch nicht stabil sein und im Sekundentakt wechseln.

probier mal http://ip.skittel.de aus.

Aber so eine IP bringt Dir eh nichts, da Du davon keine Weiterleitungen machen kannst.
Ist ja nicht nur Deine IP.

Stefan
Bitte warten ..
Mitglied: aqui
24.11.2017, aktualisiert um 10:59 Uhr
die wohl irgendwo im NAT Nirvana
Sowas ist natürlich Unsinn und gibt es nicht.
Die 10er IP deutet darauf hin das der LTE Provider im LTE Mobilfunk Netzwerk private RFC 1918 IP Adressen nutzt und Carrier Grade NAT.
Da ist dann so oder so aus mit remotem Zugriff.
Bitte warten ..
Mitglied: sleeplessnight
24.11.2017 um 23:03 Uhr
Zitat von aqui:
Da ist dann so oder so aus mit remotem Zugriff.
Jup, das dachte ich mir schon.

Was natürlich mal richtig förderlich für einer Wartung ist.

Dann folgendes Szenario, was vielleicht abhilft:
Superman's Faust names VPN.

Ist's möglich, der pfsense folgendes Szenario beizubringen: "bei einem Failover über das LTE baue eine VPN Verbindung auf"?
Bitte warten ..
Mitglied: aqui
25.11.2017 um 12:48 Uhr
Jup, das dachte ich mir schon.
Eine winzige Chance gibt es noch. Wenn dieses Gerät ein SSL basiertes VPN Nutzt wie z.B. OpenVPN und von sich aus die VPN Session irgendwohin aufbaut und den VPN Tunnel etabliert, dann kann man auch VPNs realisieren, denn so "bohrt" sich dieses Endgerät ja dann einen Tunnel durch CGN.
Andersrum wird es nicht gehen durch das CGN.
Diese Chance hast du also. Wenn sich also alle diese Geräte an einem RFC 1918 LTE aktiv irgendwo per VPN anmelden auf einem zentralen VPN Server, SIE also die Sessioninitiieren, dann geht es.
der pfsense folgendes Szenario beizubringen: "bei einem Failover über das LTE baue eine VPN Verbindung auf"?
Yepp, genau DAS ist der richtige Ansatz und das klappt natürlich fehlerlos. Die pfSense wird dann als OpenVPN Client konfiguriert und initiiert dann von sich aus das VPN im Failoverfall.
Das klappt fehlerlos auch über CGN.
Bitte warten ..
Mitglied: sleeplessnight
26.11.2017 um 23:32 Uhr
Zitat von aqui:

Yepp, genau DAS ist der richtige Ansatz und das klappt natürlich fehlerlos. Die pfSense wird dann als OpenVPN Client konfiguriert und initiiert dann von sich aus das VPN im Failoverfall.

Ja, und wie geht es, das der Tunnel nur beim Fallback auf LTE aufgebaut wird?
"immer da" Tunnel versteh ich, aber einen, der halt nur dann aufgebaut wird, nicht.
Bitte warten ..
Mitglied: aqui
27.11.2017 um 10:01 Uhr
Das musst du manuell scripten mit einem der Script Tools in den Packages.
Bitte warten ..
Mitglied: sleeplessnight
04.12.2017 um 21:42 Uhr
Gibt's da irgendwie weitere Infos zu?
Bitte warten ..
Mitglied: sleeplessnight
11.12.2017 um 00:13 Uhr
Keine Idee, wie?
Bitte warten ..
Mitglied: aqui
11.12.2017 um 10:54 Uhr
Du musst mit einem Script die Verfügbarkeit testen mit Ping und dann nach einem Timeout ein Failover anstossen. Entweder mit einem einfachen Shellscript, oder der internen Ablaufsteuerung. Dazu müsste man etwas tiefer einsteigen. Fertige Lösungen gibt es da m.W. nicht.
Die Problematik ist ja das du es nicht vom Link Status des Interfaces abhängig machen kannst was die Sache dann sehr vereinfachen würde. Man muss also aktiv mit Pings etc. die Verfügparbeite prüfen und müsste dann die Starstup Scripte für die OVPN Verbindung abhängig davon triggern. Generell nicht schwer aber es ist eben Handarbeit auf der Shell.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Empfehlung für Mulit-Wan LTE-Router
Frage von george44LAN, WAN, Wireless4 Kommentare

Liebe Community, ich suche einen (neuen) Multi-WAN LTE-Router für regelmässige außer-Haus-Einsätze einer vier bis zehn Arbeitsplätze umfassenden EDV-Arbeitseinheit. Ausgangsszenario: ...

DSL, VDSL
Ersatz Wan an einem RB3011 per LTE
Frage von lightmanDSL, VDSL5 Kommentare

Liebe Forum Gemeinde Ich möchte auf meinem bestehende RB3011 uias ein ersatz Wan per USB LTE Stick anbringen habe ...

Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

LAN, WAN, Wireless

Dual WAN Router mit Funktinternet und LTE-Router

Frage von dodo-rLAN, WAN, Wireless5 Kommentare

Hallo zusammen! Ich habe Zuhause unter anderem mehrere Geräte die eine dauerhafte Internetverbindung benötigen (TV, PC, NAS, Server, Alarmanlage). ...

Neue Wissensbeiträge
Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 9 StundenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 10 StundenMicrosoft1 Kommentar

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 2 TagenHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 2 TagenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Heiß diskutierte Inhalte
Server-Hardware
Lieferzeiten bei einem Server - kann das sein?
gelöst Frage von samet22Server-Hardware31 Kommentare

Hallo, ich hätte an diejenigen eine Frage welche innerhalb der letzten 6-12 Monate einen Server bestellt haben. Ich habe ...

Verschlüsselung & Zertifikate
SSL Zertifikat gekauft funktioniert aber nicht
Frage von TeKiLLa1895Verschlüsselung & Zertifikate19 Kommentare

Hi, Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen. Jetzt passt aber der ...

Router & Routing
Suche Router der von einem Ethernet ein WLAN erzeugt
gelöst Frage von cdkurtRouter & Routing17 Kommentare

Hallo, ich bin auf der Suche nach einem Wlan Router/ Access Point der sich in einem Heim / Hotel ...

Utilities
Motherboard mit zwei Ethernet Adapter.?
Frage von Sibelius001Utilities17 Kommentare

Hallo, ist bestimmt eine "Dummy" Frage, die hier bestimmt schon x-mal diskutiert wurde (Dafür bitte ich mal vorab um ...