thisischris
Goto Top

VPN über LTE Failover

Hallo zusammen,

ich bräuchte euren Rat. Ich habe in meiner Testumgebung einen Lancom 1800va-4g Router, dahinter kommt eine Sophos XGS 116. Meine primäre Leitung ist Kabel von Vodafone und mein Failover über eine 4G SIM.

Über die Vodafone habe ich eine statische IP Adresse über die ich mich per VPN mit meinem Netzwerk verbinden kann. Das VPN wird über die Sophos bereitgestellt. Jetzt würde ich gern, wenn meine primäre Leitung ausfällt und auf die 4G springt, mich trotzdem per VPN mit meinem Netzwerk verbinden können ohne das ich ein zweites VPN o.ä. erstellen muss.

Über die LTE Leitung bekomme ich ja keine statische IP-Adresse, da würde mir DynDNS einfallen und dann evtl. über routing zur primären WAN Schnittstelle.

Gibt es dazu schon einen Beitrag?
Ist dies überhaupt so möglich?
Und wenn ja, wie kann ich dies realisieren?

Über eure Hilfe würde ich mich sehr freuen.

Danke euch im Voraus.

Viele Grüße und einen schönen Sonntag Abend noch.

Content-ID: 668140

Url: https://administrator.de/contentid/668140

Printed on: December 14, 2024 at 00:12 o'clock

Avoton
Avoton Sep 15, 2024 at 16:34:12 (UTC)
Goto Top
Moin,

Bekommst du über die LTE Karte überhaupt eine öffentliche IPv4? Wenn dein Provider da CGNAT einsetzt kannst du es eh vergessen.

Falls du eine öffentliche IPv4 bekommst, müsstest du deinen DynDNS Namen bei Ausfall der Vodafone Leitung mit der LTE IP versehen. Ob die Sophos das kann, kann ich dir aber nicht sagen.

Gruß,
Avoton
ThisIsChris
ThisIsChris Sep 15, 2024 at 17:03:18 (UTC)
Goto Top
Hey Avoton,
danke für deine Antwort.

Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.

Deshalb meine Idee DynDNS in der Sophos zu hinterlegen, dafür bräuchte ich aber eine dynamische IP-Adresse vom Provider um DynDNS überhaupt nutzen zu können.

Da die VPN Verbindung über die Sophos bereitgestellt wird, wird es auch mit DynDNS funktionieren.

Dann hätte ich aber zwei verschiedene VPN Konfigurationen über die Sophos, was bedeutet, dass wenn die primäre Verbindung ausfällt das primäre VPN Profil ja nicht mehr funktioniert, da der Host dort hinterlegt ist in Form der öffentlichen IP-Adresse nicht erreichbar ist.

Dann müsste ich das sekundäre Profil laden, da da das DynDNS als Host hinterlegt ist.

Aber das möchte ich ja nicht.
Weitere Fragen die sich mir stellen, wie sieht es dann mit der Telefonie über den SIP-Trunk aus, wenn die Failover Verbindung übernimmt. Funktioniert die denn dann überhaupt?

Ich denke das es einen anderen eleganteren Weg gibt. Aber welchen? 🤔😅
Avoton
Avoton Sep 15, 2024 at 18:02:33 (UTC)
Goto Top
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.

Natürlich gibt es die. Öffentlich ist nicht gleich statisch.

Du kannst auch deine feste IP an die DynDNS Adresse binden und nur bei Ausfall der Primärleitung die der LTE Karte rausgeben. Dann brauchst du nur ein Profil in deinem VPN Client.

Gruß,
Avoton
Spirit-of-Eli
Solution Spirit-of-Eli Sep 15, 2024 at 18:47:21 (UTC)
Goto Top
Moin,

im besten Fall fährst du zwei Tunnel nach extern. Bspw. per Wireguard.
Dann noch OSPF drauf und du hast ein starkes automatisches failover Konstrukt.

Vermutlich etwas overkill, aber das funktioniert nahezu nahtlos.

Als Ziel deiner Tunnel sollte ein Server mit statischer IP laufen. Vielleicht ein VPS.

Gruß
Spirit
mbehrens
mbehrens Sep 15, 2024 at 19:03:48 (UTC)
Goto Top
Zitat von @ThisIsChris:

Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.

Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.

Gibt's evtl. IPv6?
its-gab
its-gab Sep 15, 2024 at 19:43:00 (UTC)
Goto Top
Moin,
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
aqui
aqui Sep 15, 2024, updated at Sep 16, 2024 at 11:22:31 (UTC)
Goto Top
Mit einfachen Consumer Verträgen ist ein Zugriff von extern auf Mobilfunknetze egal ob IPv4 oder IPv6 in der Regel nicht möglich weil die Mobilprovider dies unterbinden. Das ist je nach Provider bei Business Verträgen ggf. anders. Gleiches gilt für IPv4 Adressen da Mobilnetze nativ IPv6 adressiert sind und IPv4 fast immer CGNAT ist bei Consumer APN.
Die sichere Lösung funktioniert üblicherweise mit einem Jumphost (z.B. vServer) auf den ein VPN Device via Mobilfunk von sich aus initiiert einen VPN Tunnel aufbaut und der dann als VPN Server für die Clients dient.
erikro
erikro Sep 16, 2024 at 12:30:31 (UTC)
Goto Top
Moin,

Zitat von @mbehrens:

Zitat von @ThisIsChris:

Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.

Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.

So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.

Liebe Grüße

Erik
Spirit-of-Eli
Spirit-of-Eli Sep 16, 2024 at 13:21:53 (UTC)
Goto Top
Zitat von @erikro:

Moin,

Zitat von @mbehrens:

Zitat von @ThisIsChris:

Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.

Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.

So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.

Liebe Grüße

Erik

Jo, das gibt es auch so bei der Telekom.
DivideByZero
DivideByZero Sep 16, 2024 at 15:27:51 (UTC)
Goto Top
Moin,

Zitat von @its-gab:
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.

Für Quick and Dirty mit Sicherheit die einfachste Lösung, und da Du ja offensichtlich die Sophos exponierst, darüber auch einfach abzufackeln.

Zitat von @ThisIsChris:
Dann müsste ich das sekundäre Profil laden, da da das DynDNS als Host hinterlegt ist.
Das ist aber natürlich auch eine Option, beim OpenVPN Client z.B. für Android ist das genau ein Klick!

Weitere Fragen die sich mir stellen, wie sieht es dann mit der Telefonie über den SIP-Trunk aus, wenn die Failover Verbindung übernimmt. Funktioniert die denn dann überhaupt?
Kommt natürlich auf deine Konfiguration und die eingesetzte Software an. Wenn das sauber konfiguriert ist, natürlich.

Ich denke das es einen anderen eleganteren Weg gibt. Aber welchen? 🤔😅
Elegant = Konfiguration in der Variante von @Spirit-of-Eli mit Jumphost vorgelagert (VPS).

Ist halt immer die Frage, wie aufwendig es sein darf, wie viele Personen es nutzen und in welchem Umfeld.

Gruß

DivideByZero
ThisIsChris
ThisIsChris Sep 17, 2024 at 19:06:54 (UTC)
Goto Top
Servus zusammen,

ein großes Danke an alle! Ihr habt mir echt geholfen.

@Spirit-of-Eli mit Deiner Lösung muss ich mich erstmal auseinandersetzen und einlesen, was ja nicht schadet. Das klingt echt interessant.

Aber auch an alle anderen, vielen Dank für euren Input.

Für den Übergang werde ich mich wahrscheinlich mit einer Karte von einem der verschiedenen Anbieter und DynDNS behelfen.

Für die Zukunft werde ich versuchen eine „elegantere“ Lösung umzusetzen.

Viele Grüße und einen schönen Abend
Chris
Spirit-of-Eli
Spirit-of-Eli Sep 17, 2024 at 21:15:11 (UTC)
Goto Top
Ein Tipp noch. Nutze am VPS zwei public IPs. Dann kannst du am Boden per statischer Route steuern, über welchen WAN Anschluss welcher Tunnel aufgebaut werden soll.
Das hatte ich hier schon irgend wo mal diskutiert.

Bezüglich OSPF gibts hier auch Guids. Hier geht natürlich auch jedes andere Routing Protokoll. Aber OSPF ist relativ leicht per prio zu konfigurieren.
aqui
aqui Sep 18, 2024 at 07:14:50 (UTC)
Goto Top
und DynDNS behelfen.
Nur nochmal zur Erinnerung: DynDNS funktioniert NICHT in Mobilnetzen die mit CG-NAT arbeiten und wo Provider den Zugang von außen blocken! Beides ist üblicher Standard bei Consumer Verträgen.
ThisIsChris
ThisIsChris Sep 18, 2024 at 09:21:03 (UTC)
Goto Top
Dafür dann einen Businessvertrag wie hier erwähnt wurde. Also so habe ich das Verstanden.