14
VPN über LTE Failover
Hallo zusammen,
ich bräuchte euren Rat. Ich habe in meiner Testumgebung einen Lancom 1800va-4g Router, dahinter kommt eine Sophos XGS 116. Meine primäre Leitung ist Kabel von Vodafone und mein Failover über eine 4G SIM.
Über die Vodafone habe ich eine statische IP Adresse über die ich mich per VPN mit meinem Netzwerk verbinden kann. Das VPN wird über die Sophos bereitgestellt. Jetzt würde ich gern, wenn meine primäre Leitung ausfällt und auf die 4G springt, mich trotzdem per VPN mit meinem Netzwerk verbinden können ohne das ich ein zweites VPN o.ä. erstellen muss.
Über die LTE Leitung bekomme ich ja keine statische IP-Adresse, da würde mir DynDNS einfallen und dann evtl. über routing zur primären WAN Schnittstelle.
Gibt es dazu schon einen Beitrag?
Ist dies überhaupt so möglich?
Und wenn ja, wie kann ich dies realisieren?
Über eure Hilfe würde ich mich sehr freuen.
Danke euch im Voraus.
Viele Grüße und einen schönen Sonntag Abend noch.
ich bräuchte euren Rat. Ich habe in meiner Testumgebung einen Lancom 1800va-4g Router, dahinter kommt eine Sophos XGS 116. Meine primäre Leitung ist Kabel von Vodafone und mein Failover über eine 4G SIM.
Über die Vodafone habe ich eine statische IP Adresse über die ich mich per VPN mit meinem Netzwerk verbinden kann. Das VPN wird über die Sophos bereitgestellt. Jetzt würde ich gern, wenn meine primäre Leitung ausfällt und auf die 4G springt, mich trotzdem per VPN mit meinem Netzwerk verbinden können ohne das ich ein zweites VPN o.ä. erstellen muss.
Über die LTE Leitung bekomme ich ja keine statische IP-Adresse, da würde mir DynDNS einfallen und dann evtl. über routing zur primären WAN Schnittstelle.
Gibt es dazu schon einen Beitrag?
Ist dies überhaupt so möglich?
Und wenn ja, wie kann ich dies realisieren?
Über eure Hilfe würde ich mich sehr freuen.
Danke euch im Voraus.
Viele Grüße und einen schönen Sonntag Abend noch.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668140
Url: https://administrator.de/contentid/668140
Ausgedruckt am: 26.09.2024 um 23:09 Uhr
14 Kommentare
Neuester Kommentar
Moin,
Bekommst du über die LTE Karte überhaupt eine öffentliche IPv4? Wenn dein Provider da CGNAT einsetzt kannst du es eh vergessen.
Falls du eine öffentliche IPv4 bekommst, müsstest du deinen DynDNS Namen bei Ausfall der Vodafone Leitung mit der LTE IP versehen. Ob die Sophos das kann, kann ich dir aber nicht sagen.
Gruß,
Avoton
Bekommst du über die LTE Karte überhaupt eine öffentliche IPv4? Wenn dein Provider da CGNAT einsetzt kannst du es eh vergessen.
Falls du eine öffentliche IPv4 bekommst, müsstest du deinen DynDNS Namen bei Ausfall der Vodafone Leitung mit der LTE IP versehen. Ob die Sophos das kann, kann ich dir aber nicht sagen.
Gruß,
Avoton
1
Hey Avoton,
danke für deine Antwort.
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Deshalb meine Idee DynDNS in der Sophos zu hinterlegen, dafür bräuchte ich aber eine dynamische IP-Adresse vom Provider um DynDNS überhaupt nutzen zu können.
Da die VPN Verbindung über die Sophos bereitgestellt wird, wird es auch mit DynDNS funktionieren.
Dann hätte ich aber zwei verschiedene VPN Konfigurationen über die Sophos, was bedeutet, dass wenn die primäre Verbindung ausfällt das primäre VPN Profil ja nicht mehr funktioniert, da der Host dort hinterlegt ist in Form der öffentlichen IP-Adresse nicht erreichbar ist.
Dann müsste ich das sekundäre Profil laden, da da das DynDNS als Host hinterlegt ist.
Aber das möchte ich ja nicht.
Weitere Fragen die sich mir stellen, wie sieht es dann mit der Telefonie über den SIP-Trunk aus, wenn die Failover Verbindung übernimmt. Funktioniert die denn dann überhaupt?
Ich denke das es einen anderen eleganteren Weg gibt. Aber welchen? 🤔😅
danke für deine Antwort.
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Deshalb meine Idee DynDNS in der Sophos zu hinterlegen, dafür bräuchte ich aber eine dynamische IP-Adresse vom Provider um DynDNS überhaupt nutzen zu können.
Da die VPN Verbindung über die Sophos bereitgestellt wird, wird es auch mit DynDNS funktionieren.
Dann hätte ich aber zwei verschiedene VPN Konfigurationen über die Sophos, was bedeutet, dass wenn die primäre Verbindung ausfällt das primäre VPN Profil ja nicht mehr funktioniert, da der Host dort hinterlegt ist in Form der öffentlichen IP-Adresse nicht erreichbar ist.
Dann müsste ich das sekundäre Profil laden, da da das DynDNS als Host hinterlegt ist.
Aber das möchte ich ja nicht.
Weitere Fragen die sich mir stellen, wie sieht es dann mit der Telefonie über den SIP-Trunk aus, wenn die Failover Verbindung übernimmt. Funktioniert die denn dann überhaupt?
Ich denke das es einen anderen eleganteren Weg gibt. Aber welchen? 🤔😅
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Natürlich gibt es die. Öffentlich ist nicht gleich statisch.
Du kannst auch deine feste IP an die DynDNS Adresse binden und nur bei Ausfall der Primärleitung die der LTE Karte rausgeben. Dann brauchst du nur ein Profil in deinem VPN Client.
Gruß,
Avoton
1
Moin,
im besten Fall fährst du zwei Tunnel nach extern. Bspw. per Wireguard.
Dann noch OSPF drauf und du hast ein starkes automatisches failover Konstrukt.
Vermutlich etwas overkill, aber das funktioniert nahezu nahtlos.
Als Ziel deiner Tunnel sollte ein Server mit statischer IP laufen. Vielleicht ein VPS.
Gruß
Spirit
im besten Fall fährst du zwei Tunnel nach extern. Bspw. per Wireguard.
Dann noch OSPF drauf und du hast ein starkes automatisches failover Konstrukt.
Vermutlich etwas overkill, aber das funktioniert nahezu nahtlos.
Als Ziel deiner Tunnel sollte ein Server mit statischer IP laufen. Vielleicht ein VPS.
Gruß
Spirit
1
Zitat von @ThisIsChris:
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
Gibt's evtl. IPv6?
1
Moin,
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
1
Mit einfachen Consumer Verträgen ist ein Zugriff von extern auf Mobilfunknetze egal ob IPv4 oder IPv6 in der Regel nicht möglich weil die Mobilprovider dies unterbinden. Das ist je nach Provider bei Business Verträgen ggf. anders. Gleiches gilt für IPv4 Adressen da Mobilnetze nativ IPv6 adressiert sind und IPv4 fast immer CGNAT ist bei Consumer APN.
Die sichere Lösung funktioniert üblicherweise mit einem Jumphost (z.B. vServer) auf den ein VPN Device via Mobilfunk von sich aus initiiert einen VPN Tunnel aufbaut und der dann als VPN Server für die Clients dient.
Die sichere Lösung funktioniert üblicherweise mit einem Jumphost (z.B. vServer) auf den ein VPN Device via Mobilfunk von sich aus initiiert einen VPN Tunnel aufbaut und der dann als VPN Server für die Clients dient.
2
Moin,
So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.
Liebe Grüße
Erik
Zitat von @mbehrens:
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
Zitat von @ThisIsChris:
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.
Liebe Grüße
Erik
1Zitat von @erikro:
Moin,
So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.
Liebe Grüße
Erik
Moin,
Zitat von @mbehrens:
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
Zitat von @ThisIsChris:
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.
Liebe Grüße
Erik
Jo, das gibt es auch so bei der Telekom.
1
Moin,
Für Quick and Dirty mit Sicherheit die einfachste Lösung, und da Du ja offensichtlich die Sophos exponierst, darüber auch einfach abzufackeln.
Ist halt immer die Frage, wie aufwendig es sein darf, wie viele Personen es nutzen und in welchem Umfeld.
Gruß
DivideByZero
Zitat von @its-gab:
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
Für Quick and Dirty mit Sicherheit die einfachste Lösung, und da Du ja offensichtlich die Sophos exponierst, darüber auch einfach abzufackeln.
Zitat von @ThisIsChris:
Dann müsste ich das sekundäre Profil laden, da da das DynDNS als Host hinterlegt ist.
Das ist aber natürlich auch eine Option, beim OpenVPN Client z.B. für Android ist das genau ein Klick!Dann müsste ich das sekundäre Profil laden, da da das DynDNS als Host hinterlegt ist.
Weitere Fragen die sich mir stellen, wie sieht es dann mit der Telefonie über den SIP-Trunk aus, wenn die Failover Verbindung übernimmt. Funktioniert die denn dann überhaupt?
Kommt natürlich auf deine Konfiguration und die eingesetzte Software an. Wenn das sauber konfiguriert ist, natürlich.Ich denke das es einen anderen eleganteren Weg gibt. Aber welchen? 🤔😅
Elegant = Konfiguration in der Variante von @Spirit-of-Eli mit Jumphost vorgelagert (VPS).Ist halt immer die Frage, wie aufwendig es sein darf, wie viele Personen es nutzen und in welchem Umfeld.
Gruß
DivideByZero
2
Servus zusammen,
ein großes Danke an alle! Ihr habt mir echt geholfen.
@Spirit-of-Eli mit Deiner Lösung muss ich mich erstmal auseinandersetzen und einlesen, was ja nicht schadet. Das klingt echt interessant.
Aber auch an alle anderen, vielen Dank für euren Input.
Für den Übergang werde ich mich wahrscheinlich mit einer Karte von einem der verschiedenen Anbieter und DynDNS behelfen.
Für die Zukunft werde ich versuchen eine „elegantere“ Lösung umzusetzen.
Viele Grüße und einen schönen Abend
Chris
ein großes Danke an alle! Ihr habt mir echt geholfen.
@Spirit-of-Eli mit Deiner Lösung muss ich mich erstmal auseinandersetzen und einlesen, was ja nicht schadet. Das klingt echt interessant.
Aber auch an alle anderen, vielen Dank für euren Input.
Für den Übergang werde ich mich wahrscheinlich mit einer Karte von einem der verschiedenen Anbieter und DynDNS behelfen.
Für die Zukunft werde ich versuchen eine „elegantere“ Lösung umzusetzen.
Viele Grüße und einen schönen Abend
Chris
Ein Tipp noch. Nutze am VPS zwei public IPs. Dann kannst du am Boden per statischer Route steuern, über welchen WAN Anschluss welcher Tunnel aufgebaut werden soll.
Das hatte ich hier schon irgend wo mal diskutiert.
Bezüglich OSPF gibts hier auch Guids. Hier geht natürlich auch jedes andere Routing Protokoll. Aber OSPF ist relativ leicht per prio zu konfigurieren.
Das hatte ich hier schon irgend wo mal diskutiert.
Bezüglich OSPF gibts hier auch Guids. Hier geht natürlich auch jedes andere Routing Protokoll. Aber OSPF ist relativ leicht per prio zu konfigurieren.
1und DynDNS behelfen.
Nur nochmal zur Erinnerung: DynDNS funktioniert NICHT in Mobilnetzen die mit CG-NAT arbeiten und wo Provider den Zugang von außen blocken! Beides ist üblicher Standard bei Consumer Verträgen.1
Dafür dann einen Businessvertrag wie hier erwähnt wurde. Also so habe ich das Verstanden.
