VPN über LTE Failover
Hallo zusammen,
ich bräuchte euren Rat. Ich habe in meiner Testumgebung einen Lancom 1800va-4g Router, dahinter kommt eine Sophos XGS 116. Meine primäre Leitung ist Kabel von Vodafone und mein Failover über eine 4G SIM.
Über die Vodafone habe ich eine statische IP Adresse über die ich mich per VPN mit meinem Netzwerk verbinden kann. Das VPN wird über die Sophos bereitgestellt. Jetzt würde ich gern, wenn meine primäre Leitung ausfällt und auf die 4G springt, mich trotzdem per VPN mit meinem Netzwerk verbinden können ohne das ich ein zweites VPN o.ä. erstellen muss.
Über die LTE Leitung bekomme ich ja keine statische IP-Adresse, da würde mir DynDNS einfallen und dann evtl. über routing zur primären WAN Schnittstelle.
Gibt es dazu schon einen Beitrag?
Ist dies überhaupt so möglich?
Und wenn ja, wie kann ich dies realisieren?
Über eure Hilfe würde ich mich sehr freuen.
Danke euch im Voraus.
Viele Grüße und einen schönen Sonntag Abend noch.
ich bräuchte euren Rat. Ich habe in meiner Testumgebung einen Lancom 1800va-4g Router, dahinter kommt eine Sophos XGS 116. Meine primäre Leitung ist Kabel von Vodafone und mein Failover über eine 4G SIM.
Über die Vodafone habe ich eine statische IP Adresse über die ich mich per VPN mit meinem Netzwerk verbinden kann. Das VPN wird über die Sophos bereitgestellt. Jetzt würde ich gern, wenn meine primäre Leitung ausfällt und auf die 4G springt, mich trotzdem per VPN mit meinem Netzwerk verbinden können ohne das ich ein zweites VPN o.ä. erstellen muss.
Über die LTE Leitung bekomme ich ja keine statische IP-Adresse, da würde mir DynDNS einfallen und dann evtl. über routing zur primären WAN Schnittstelle.
Gibt es dazu schon einen Beitrag?
Ist dies überhaupt so möglich?
Und wenn ja, wie kann ich dies realisieren?
Über eure Hilfe würde ich mich sehr freuen.
Danke euch im Voraus.
Viele Grüße und einen schönen Sonntag Abend noch.
Please also mark the comments that contributed to the solution of the article
Content-ID: 668140
Url: https://administrator.de/contentid/668140
Printed on: December 14, 2024 at 00:12 o'clock
14 Comments
Latest comment
Moin,
Bekommst du über die LTE Karte überhaupt eine öffentliche IPv4? Wenn dein Provider da CGNAT einsetzt kannst du es eh vergessen.
Falls du eine öffentliche IPv4 bekommst, müsstest du deinen DynDNS Namen bei Ausfall der Vodafone Leitung mit der LTE IP versehen. Ob die Sophos das kann, kann ich dir aber nicht sagen.
Gruß,
Avoton
Bekommst du über die LTE Karte überhaupt eine öffentliche IPv4? Wenn dein Provider da CGNAT einsetzt kannst du es eh vergessen.
Falls du eine öffentliche IPv4 bekommst, müsstest du deinen DynDNS Namen bei Ausfall der Vodafone Leitung mit der LTE IP versehen. Ob die Sophos das kann, kann ich dir aber nicht sagen.
Gruß,
Avoton
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Natürlich gibt es die. Öffentlich ist nicht gleich statisch.
Du kannst auch deine feste IP an die DynDNS Adresse binden und nur bei Ausfall der Primärleitung die der LTE Karte rausgeben. Dann brauchst du nur ein Profil in deinem VPN Client.
Gruß,
Avoton
Moin,
im besten Fall fährst du zwei Tunnel nach extern. Bspw. per Wireguard.
Dann noch OSPF drauf und du hast ein starkes automatisches failover Konstrukt.
Vermutlich etwas overkill, aber das funktioniert nahezu nahtlos.
Als Ziel deiner Tunnel sollte ein Server mit statischer IP laufen. Vielleicht ein VPS.
Gruß
Spirit
im besten Fall fährst du zwei Tunnel nach extern. Bspw. per Wireguard.
Dann noch OSPF drauf und du hast ein starkes automatisches failover Konstrukt.
Vermutlich etwas overkill, aber das funktioniert nahezu nahtlos.
Als Ziel deiner Tunnel sollte ein Server mit statischer IP laufen. Vielleicht ein VPS.
Gruß
Spirit
Zitat von @ThisIsChris:
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
Gibt's evtl. IPv6?
Moin,
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
Mit einfachen Consumer Verträgen ist ein Zugriff von extern auf Mobilfunknetze egal ob IPv4 oder IPv6 in der Regel nicht möglich weil die Mobilprovider dies unterbinden. Das ist je nach Provider bei Business Verträgen ggf. anders. Gleiches gilt für IPv4 Adressen da Mobilnetze nativ IPv6 adressiert sind und IPv4 fast immer CGNAT ist bei Consumer APN.
Die sichere Lösung funktioniert üblicherweise mit einem Jumphost (z.B. vServer) auf den ein VPN Device via Mobilfunk von sich aus initiiert einen VPN Tunnel aufbaut und der dann als VPN Server für die Clients dient.
Die sichere Lösung funktioniert üblicherweise mit einem Jumphost (z.B. vServer) auf den ein VPN Device via Mobilfunk von sich aus initiiert einen VPN Tunnel aufbaut und der dann als VPN Server für die Clients dient.
Moin,
So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.
Liebe Grüße
Erik
Zitat von @mbehrens:
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
Zitat von @ThisIsChris:
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.
Liebe Grüße
Erik
Zitat von @erikro:
Moin,
So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.
Liebe Grüße
Erik
Moin,
Zitat von @mbehrens:
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
Zitat von @ThisIsChris:
Meines Wissens nach gibt es keine öffentliche IP-Adressen für LTE Karten.
Sicher gibt es die, sogar statische.
Alles eine Sache des Vertrages.
So ist es. Bei Vodaphone hatte ich so eine LTE-Karte mit fester öffentlichen IP. Gegen genug Einwurf von Münzen hätte ich, wenn ich mich recht erinnere, sogar die Möglichkeit buchen können, dass die feste IP, die am Kabelanschluss anlag, automatisch auf den LTE-Failover geschwenkt wird.
Liebe Grüße
Erik
Jo, das gibt es auch so bei der Telekom.
Moin,
Für Quick and Dirty mit Sicherheit die einfachste Lösung, und da Du ja offensichtlich die Sophos exponierst, darüber auch einfach abzufackeln.
Ist halt immer die Frage, wie aufwendig es sein darf, wie viele Personen es nutzen und in welchem Umfeld.
Gruß
DivideByZero
Zitat von @its-gab:
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
zumindest wenn du OpenVPN benutzt, kannst du einfach 2 Hostnames eintragen. Wenn dein Vodafone Anschluss down ist, dauert es ein paar Sekunden länger und dann versucht er den zweiten Hostname.
Voraussetzung ist natürlich eine öffentliche IP auf dem LTE Interface und entweder eine feste IP oder DynDNS.
Für Quick and Dirty mit Sicherheit die einfachste Lösung, und da Du ja offensichtlich die Sophos exponierst, darüber auch einfach abzufackeln.
Zitat von @ThisIsChris:
Dann müsste ich das sekundäre Profil laden, da da das DynDNS als Host hinterlegt ist.
Das ist aber natürlich auch eine Option, beim OpenVPN Client z.B. für Android ist das genau ein Klick!Dann müsste ich das sekundäre Profil laden, da da das DynDNS als Host hinterlegt ist.
Weitere Fragen die sich mir stellen, wie sieht es dann mit der Telefonie über den SIP-Trunk aus, wenn die Failover Verbindung übernimmt. Funktioniert die denn dann überhaupt?
Kommt natürlich auf deine Konfiguration und die eingesetzte Software an. Wenn das sauber konfiguriert ist, natürlich.Ich denke das es einen anderen eleganteren Weg gibt. Aber welchen? 🤔😅
Elegant = Konfiguration in der Variante von @Spirit-of-Eli mit Jumphost vorgelagert (VPS).Ist halt immer die Frage, wie aufwendig es sein darf, wie viele Personen es nutzen und in welchem Umfeld.
Gruß
DivideByZero
Ein Tipp noch. Nutze am VPS zwei public IPs. Dann kannst du am Boden per statischer Route steuern, über welchen WAN Anschluss welcher Tunnel aufgebaut werden soll.
Das hatte ich hier schon irgend wo mal diskutiert.
Bezüglich OSPF gibts hier auch Guids. Hier geht natürlich auch jedes andere Routing Protokoll. Aber OSPF ist relativ leicht per prio zu konfigurieren.
Das hatte ich hier schon irgend wo mal diskutiert.
Bezüglich OSPF gibts hier auch Guids. Hier geht natürlich auch jedes andere Routing Protokoll. Aber OSPF ist relativ leicht per prio zu konfigurieren.