11
Gibt es nur über VDSL und nicht über LTE erreichbare IPv4 Adressen?
Hallo liebe IT Gemeinschaft,
in Zeiten wo viele Leute lieber tot als offline sind, habe ich mir ein neues Projekt geschaffen, nämlich den automatischen Switch auf LTE, sollte der VDSL Anschluss ausfallen.
Meine Ausgangslage:
Mein normaler VDSL Anschluss läuft über einen Speedport W724V und einer nachgeschalteten pfSense Firewall, da mir diese deutlich mehr Funktionen bietet und ich mich zudem schwer tue diese als "Router" verkauften Geräte als Firewall zu bezeichnen. Jetzt habe ich bei der Vertragsverlängerung meines LTE-Vertrags vom Tablet für schmales Geld eine Speedbox LTE III erhalten. Ich bin also sowohl beim Festnetz als auch beim Mobilfunk ganz in der Hand des rosa Riesen.
Meine Idee:
Da ich ohnehin schon eine USV habe, die meinen Speedport, meine Netzwerkhardware, meinen ownCloud-Server (der eigentliche Grund für die USV) und meinen normalen Rechner absichert, bin ich schon ausfallsicherer als normal. Und da ich dafür eh meistens schon recht schräg angeguckt werde, dachte ich mir, dann kannst du das auch komplett auf die Spitze treiben, schließlich kann die pfSense mehrere WANs mit Failover.
Bisherige Schritte:
Bisher habe ich den Rechner mit der pfSense mit einer weiteren Netzwerkkarte ausgestattet, um die Speedbox anzuschließen, und habe entsprechende Konfigurationen vorgenommen. Der Failover auf die Speedbox und damit LTE funktionert auch tatsächlich, sobald die beispielsweise das Netzwerkkabel aus dem Speedport ziehe.
Problem:
Mein Problem ist nun, dass der Speedport nach wie vor erreichbar und damit aus Sicht der pfSense nicht tot ist, sollte das VDSL Signal ausfallen. Damit funktioniert natürlich auch der automatische Failover nicht.
Mein Lösungsansatz:
Die pfSense bietet die Möglichkeit bei den einzelnen WAN Gateways IPv4 Adressen zu hinterlegen, anhand derer dann anstelle der IP des Gateways beurteilt wird, ob ein Gateway down ist oder nicht. Dummerweise unterscheidet die pfSense dabei nicht, über welches der Gateways diese Adresse erreicht wurde. Wenn ich z.B. für den Speedport die 8.8.8.8 als Monitor IP angebe und diesen anschließend abschalte, erreicht die pfSense die 8.8.8.8 weiter über die Speedbox und meint damit, dass der Speedport noch aktiv wäre. Ich müsste somit also eine IP angeben, die nur antwortet, wenn die Pakete übers VDSL rausgehen. Ich würde nur ungern irgendwelche IPs grundsätzlich auf einem der Gateways sperren und damit den Ping hart über eine der "Firewalls" blockieren, schließlich weiß man ja nie, wofür man die noch braucht.
Frage:
Gibt es IPv4 Adressen, die per Ping nur über VDSL zu erreichen sind, aber über LTE keine Antwort geben (und auch 24/7 verfügbar ist)?
Grüße
Timo
in Zeiten wo viele Leute lieber tot als offline sind, habe ich mir ein neues Projekt geschaffen, nämlich den automatischen Switch auf LTE, sollte der VDSL Anschluss ausfallen.
Meine Ausgangslage:
Mein normaler VDSL Anschluss läuft über einen Speedport W724V und einer nachgeschalteten pfSense Firewall, da mir diese deutlich mehr Funktionen bietet und ich mich zudem schwer tue diese als "Router" verkauften Geräte als Firewall zu bezeichnen. Jetzt habe ich bei der Vertragsverlängerung meines LTE-Vertrags vom Tablet für schmales Geld eine Speedbox LTE III erhalten. Ich bin also sowohl beim Festnetz als auch beim Mobilfunk ganz in der Hand des rosa Riesen.
Meine Idee:
Da ich ohnehin schon eine USV habe, die meinen Speedport, meine Netzwerkhardware, meinen ownCloud-Server (der eigentliche Grund für die USV) und meinen normalen Rechner absichert, bin ich schon ausfallsicherer als normal. Und da ich dafür eh meistens schon recht schräg angeguckt werde, dachte ich mir, dann kannst du das auch komplett auf die Spitze treiben, schließlich kann die pfSense mehrere WANs mit Failover.
Bisherige Schritte:
Bisher habe ich den Rechner mit der pfSense mit einer weiteren Netzwerkkarte ausgestattet, um die Speedbox anzuschließen, und habe entsprechende Konfigurationen vorgenommen. Der Failover auf die Speedbox und damit LTE funktionert auch tatsächlich, sobald die beispielsweise das Netzwerkkabel aus dem Speedport ziehe.
Problem:
Mein Problem ist nun, dass der Speedport nach wie vor erreichbar und damit aus Sicht der pfSense nicht tot ist, sollte das VDSL Signal ausfallen. Damit funktioniert natürlich auch der automatische Failover nicht.
Mein Lösungsansatz:
Die pfSense bietet die Möglichkeit bei den einzelnen WAN Gateways IPv4 Adressen zu hinterlegen, anhand derer dann anstelle der IP des Gateways beurteilt wird, ob ein Gateway down ist oder nicht. Dummerweise unterscheidet die pfSense dabei nicht, über welches der Gateways diese Adresse erreicht wurde. Wenn ich z.B. für den Speedport die 8.8.8.8 als Monitor IP angebe und diesen anschließend abschalte, erreicht die pfSense die 8.8.8.8 weiter über die Speedbox und meint damit, dass der Speedport noch aktiv wäre. Ich müsste somit also eine IP angeben, die nur antwortet, wenn die Pakete übers VDSL rausgehen. Ich würde nur ungern irgendwelche IPs grundsätzlich auf einem der Gateways sperren und damit den Ping hart über eine der "Firewalls" blockieren, schließlich weiß man ja nie, wofür man die noch braucht.
Frage:
Gibt es IPv4 Adressen, die per Ping nur über VDSL zu erreichen sind, aber über LTE keine Antwort geben (und auch 24/7 verfügbar ist)?
Grüße
Timo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265629
Url: https://administrator.de/contentid/265629
Printed on: April 28, 2024 at 13:04 o'clock
11 Comments
Latest comment
Moin,
warum stellst du den Speedport nicht auf Modembetrieb um?
VG,
Thomas
warum stellst du den Speedport nicht auf Modembetrieb um?
VG,
Thomas
Hi,
danke für die Antwort. Diese Idee hatte ich auch schon, schließlich soll das Teil ja auch nicht mehr machen, aber die Telekom hatte die Funktion ab irgendeiner Firmwareversion entfernt.
Grüße
Timo
danke für die Antwort. Diese Idee hatte ich auch schon, schließlich soll das Teil ja auch nicht mehr machen, aber die Telekom hatte die Funktion ab irgendeiner Firmwareversion entfernt.
Grüße
Timo
Hallo,
wenn der LTE Vertrag keine Drosselung hat und kein GBit Limit hat
könnte man einfach an der pfSense den Dual WAN Betrieb nutzen!!!
Das hat folgende Vorteile für Dich, man hat immer alles über beide
Anschlüsse und ist somit schon einmal flexibler bzw. hat keinen
Flaschenhals im WAN Bereich und zum Zweiten hat man auch gleich
ein "Failover" mit integriert! Fällt eine Leitung aus läuft alles nur noch
über den verbleibenden Anschluss weiter, fertig!
Gruß
Dobby
wenn der LTE Vertrag keine Drosselung hat und kein GBit Limit hat
könnte man einfach an der pfSense den Dual WAN Betrieb nutzen!!!
Das hat folgende Vorteile für Dich, man hat immer alles über beide
Anschlüsse und ist somit schon einmal flexibler bzw. hat keinen
Flaschenhals im WAN Bereich und zum Zweiten hat man auch gleich
ein "Failover" mit integriert! Fällt eine Leitung aus läuft alles nur noch
über den verbleibenden Anschluss weiter, fertig!
Gruß
Dobby
Dann nimm eine ältere Firmware wo dies noch möglich ist.
Oder besser hol dir ein Modem und werf dieses Mistding weg ;)
Als Modem kannst du zb das nehmen
DrayTek Vigor130
http://www.draytek.de/vigor130.html
Zudem kannst du in der PFsense ja Server auch Anpingen lassen über Route xy und so auch feststellen ob die noch Aktiv ist...
Oder besser hol dir ein Modem und werf dieses Mistding weg ;)
Als Modem kannst du zb das nehmen
DrayTek Vigor130
http://www.draytek.de/vigor130.html
Zudem kannst du in der PFsense ja Server auch Anpingen lassen über Route xy und so auch feststellen ob die noch Aktiv ist...
in Zeiten wo viele Leute lieber tot als offline sind, habe ich mir ein neues Projekt geschaffen, nämlich den automatischen Switch auf LTE, sollte der VDSL Anschluss ausfallen.
Schwerer Fall von Internet Sucht würde unser Kollege k.A. hier diagnostizieren...Dummerweise unterscheidet die pfSense dabei nicht, über welches der Gateways diese Adresse erreicht wurde.
Wie immer natürlich Unsinn und wieder mal die Doku nicht gelesen und richtig umgesetzt, sorry 
Ber Default pingt jedes WAN Interface sein korrespondierendes Gateway sofern du das nicht deaktiviert hast. Ist das Gateway des betreffenden WAN wech schaltet er um und vice versa.
Nützt hier nur nix da du ja eigene Router davor hast. Hier musst du also in jedem Router nachsehen WELCHE Gateway IP der vom Provider auf den jeweiligen Provider Schnittstellen negotiated hat. Die pingst du dann.
Ein Blick hier hinein zeigt dir die Lösung auf:
https://doc.pfsense.org/index.php/Multi-WAN
Optional Tweaks - Gateway Groups usw.
1
Nochmal Danke für die Antworten.
Leider habe ich keinen unbegrenzten LTE Zugang, daher ist das zusammenschalten von VDSL und LTE leider keine Option.
Ein reines Modem zu nutzen wäre dagegen eine Option. Ich hatte auch schon vor einiger Zeit mal das Angebot von einem Kollegen, dass ich sein altes haben könnte, was ich damals aber ausgeschlagen hatte, da ich damals noch keine Verwendung dafür hatte. Muss ich mal fragen, ob er das Ding noch hat und was das für eins war.
Das hat nichts mit Internetsucht zu tun, ich habe auch prinzipiell kein Problem damit offline zu sein, nur ich bin ein Spielkind, der allerlei vollkommen ausgefallenen Kram zu Hause ausprobieren muss. Ich habe hier eine IT stehen, die lässt so manch ein Büro alt aussehen. Wenn du einen ESX sehen willst, steht rechts neben mir, voll gemanagetes Netzwerk liegt zu meiner Linken, LTO Wechsler mit selbst geschriebenem Backupprogramm steht im Nebenraum und die Alarmanlage auf Raspberry Pi Basis ist gut versteckt. Das kann ich noch weiter treiben. Außerdem kann ich das Wissen, dass ich mir durch solche Selbstversuche aneigne, auch sehr gut im Job verwenden.
Wie immer ist das natürlich kein Unsinn und wieder einmal habe ich die Doku gelesen und auch richtig umgesetzt, sorry. Der Link ist genau die Anleitung, an die ich mich gehalten habe, die pfSense verhält sich halt nur noch so, wie es da beschrieben ist. Auf dieser Seite wird beschrieben, dass man z.B. auch den Public DNS von Google verwenden könne (8.8.8.8, vielleicht oben schon mal gelesen), nur wenn ich den angebe (oder jede andere öffentliche IP), erkennt die pfSense die Verbindung immer als online, auch wenn ich das Netzwerkkabel rausziehe, also physikalisch nichts mehr an dem Port hängt. Erst wenn ich auch den zweiten Router entferne, sind plötzlich beide offline, sodass ich davon ausgehe, dass beim Ausfall eines Routers der Ping beider Monitor IPs über das gleiche Interface rausgeht, was laut Anleitung ja nicht so sein sollte.
Die Gateways angeben, die sich die beiden Router mit dem ISP ausgehandelt haben, ist definitiv nicht die Lösung, weil das hält schlimmstenfalls nur bis zum nächsten Reconnect, also bis irgendwann in der nächsten Nacht.
Grüße
Timo
Leider habe ich keinen unbegrenzten LTE Zugang, daher ist das zusammenschalten von VDSL und LTE leider keine Option.
Ein reines Modem zu nutzen wäre dagegen eine Option. Ich hatte auch schon vor einiger Zeit mal das Angebot von einem Kollegen, dass ich sein altes haben könnte, was ich damals aber ausgeschlagen hatte, da ich damals noch keine Verwendung dafür hatte. Muss ich mal fragen, ob er das Ding noch hat und was das für eins war.
Das hat nichts mit Internetsucht zu tun, ich habe auch prinzipiell kein Problem damit offline zu sein, nur ich bin ein Spielkind, der allerlei vollkommen ausgefallenen Kram zu Hause ausprobieren muss. Ich habe hier eine IT stehen, die lässt so manch ein Büro alt aussehen. Wenn du einen ESX sehen willst, steht rechts neben mir, voll gemanagetes Netzwerk liegt zu meiner Linken, LTO Wechsler mit selbst geschriebenem Backupprogramm steht im Nebenraum und die Alarmanlage auf Raspberry Pi Basis ist gut versteckt. Das kann ich noch weiter treiben. Außerdem kann ich das Wissen, dass ich mir durch solche Selbstversuche aneigne, auch sehr gut im Job verwenden.
Wie immer ist das natürlich kein Unsinn und wieder einmal habe ich die Doku gelesen und auch richtig umgesetzt, sorry. Der Link ist genau die Anleitung, an die ich mich gehalten habe, die pfSense verhält sich halt nur noch so, wie es da beschrieben ist. Auf dieser Seite wird beschrieben, dass man z.B. auch den Public DNS von Google verwenden könne (8.8.8.8, vielleicht oben schon mal gelesen), nur wenn ich den angebe (oder jede andere öffentliche IP), erkennt die pfSense die Verbindung immer als online, auch wenn ich das Netzwerkkabel rausziehe, also physikalisch nichts mehr an dem Port hängt. Erst wenn ich auch den zweiten Router entferne, sind plötzlich beide offline, sodass ich davon ausgehe, dass beim Ausfall eines Routers der Ping beider Monitor IPs über das gleiche Interface rausgeht, was laut Anleitung ja nicht so sein sollte.
Die Gateways angeben, die sich die beiden Router mit dem ISP ausgehandelt haben, ist definitiv nicht die Lösung, weil das hält schlimmstenfalls nur bis zum nächsten Reconnect, also bis irgendwann in der nächsten Nacht.
Grüße
Timo
Leider habe ich keinen unbegrenzten LTE Zugang, daher ist das zusammenschalten von VDSL und LTE leider keine Option.
Ähhh... Bahnhof ??Was meinst du technisch mit "Zusammenschalten" ?? Und warum ist das keine Option ?
Man kann mit Dual WAN ja auch eine feste Policy verbinden die nur bestimmten Traffic aufs LTE routet oder LTE einzig und allein nur bei Überlast der primären Leitung dzuschlaten. Alles sogar zeitgesteuert wenn man will. Die Optionen sind sehr vielfältig.
Vermutlich weisst du nicht wast du willst und kennst die technischen Optionen nicht ?! Das ist dann aber wieder ein ganz anderes Problem.
Das hat nichts mit Internetsucht zu tun,
Wer's glaubt.... 
Egal du kannst ja basteln was du lustig bist in einem freien Land und musst dich hier keinesfalls rechtfertigen für deine Technik.
Wie immer ist das natürlich kein Unsinn und wieder einmal habe ich die Doku gelesen und auch richtig umgesetzt, sorry.
Nein, leider nicht ! Deine obige Äußerung mit "keine Option" zeigt das leider eindeutig Als Monitoring Adresse gibt man niemals Server im Internet an sondern immer die next Hop Gateway IP des Providers wie jeder Netzwerker weiss.
Wenn du das Kabel ziehst dann bricht das Monitoring auch ab dahin wie es soll.
Es ist auch Unsinn zu meinen das das nicht hilft, denn die Gateway IP ist statisch und hat nichts mit Reconnect usw. zu tun. Was sich ändert ist die Client IP aber niemals das Gateway. auch hier irrst du.
Wenn man es richtig macht funktioniert die Dial WAN Lösung der pfSense hervorragend und macht genau das was sie soll !
Zitat von @aqui:
Als Monitoring Adresse gibt man niemals Server im Internet an sondern immer die next Hop Gateway IP des Providers wie jeder
Netzwerker weiss.
Als Monitoring Adresse gibt man niemals Server im Internet an sondern immer die next Hop Gateway IP des Providers wie jeder
Netzwerker weiss.
Meine next-Hop Gateway IP von Kabeldeutschland ist auch von allen unseren Telekom Anschlüssen aus erreichbar.
Und nu?
Wenn du nicht verstehst, was ich will, warum meinst du dann, dass du der richtig wärst mir zu helfen?
Zitat von @aqui:
Vermutlich weisst du nicht wast du willst und kennst die technischen Optionen nicht ?! Das ist dann aber wieder ein ganz anderes
Problem.
Vermutlich weisst du nicht wast du willst und kennst die technischen Optionen nicht ?! Das ist dann aber wieder ein ganz anderes
Problem.
Ich möchte den Traffic immer über die VDSL Leitung haben, wenn diese verfügbar ist. Nicht verteilen, nicht nach Art des Traffics sortieren, nicht bei Überlast auf die andere Verbindung erweitern, einfach nur Umschalten, wenn VDSL tot ist. Díe LTE Verbindung soll vor sich hin dümpeln und gar nichts machen, solange VDSL läuft. Ich finde meine Intention damit relativ klar definiert.
Zitat von @aqui:
Als Monitoring Adresse gibt man niemals Server im Internet an sondern immer die next Hop Gateway IP des Providers wie jeder Netzwerker weiss.
Als Monitoring Adresse gibt man niemals Server im Internet an sondern immer die next Hop Gateway IP des Providers wie jeder Netzwerker weiss.
Was macht denn "jeder Netzwerker" wenn das next Hop Gateway nicht auf Pings antwortet, wie es das auf 87.186.225.104 tut, das meinem Anschluss momentan zugewiesen ist?
Zitat von @aqui:
Es ist auch Unsinn zu meinen das das nicht hilft, denn die Gateway IP ist statisch und hat nichts mit Reconnect usw. zu tun. Was
sich ändert ist die Client IP aber niemals das Gateway. auch hier irrst du.
Es ist auch Unsinn zu meinen das das nicht hilft, denn die Gateway IP ist statisch und hat nichts mit Reconnect usw. zu tun. Was
sich ändert ist die Client IP aber niemals das Gateway. auch hier irrst du.
Dann starte deinen Router mal ein paar mal neu, du wirst Wunder erleben. Momentan habe ich eine IP im Bereich 87.186.x.x/16 mit 87.186.225.104 als Gateway, ich hatte aber auch schon mehrfach IPs im Bereich 217.x.x.x (warhscheinlich auch /16) mit entsprechendem anderen Gateway. Ich habe nicht gesagt, dass mit jedem Reconnect das Gateway geändert wird, nur es kann vorkommen. Die Aussage, dass das Gateway statisch wäre, ist so einfach nicht korrekt. Für diesen einen Netzbereich stimmt das natürlich, nur landet man leider nicht immer im gleichen Bereich.
Was macht denn "jeder Netzwerker"
Zwei Modems und einen vernünftigen Dual WAN Router oder eineFirewall benutzen fertig ist der Lack.
Gruß
Dobby
Wichtig ist in deinem Fall das der Router erkennt das die primäre Verbindung tot ist.
Entweder kann er ein erweitertes Scheduling, mit dem du die Metriken beliebig ändern kannst, wie z.B. Bintec, dann könnte man z.B. eine feste Host Route benutzen die immer über das primäre Interface rausgeht, diese dann überwachen und anhand der Erreichbarkeit der Adresse die Metriken vertauschen.
Sinniger ist aber auf jeden Fall zumindest die primäre Verbindung an einem Modem oder Gerät mit Bridge Funktion zu haben, nur so kriegt der Router sofort mit wenn sie down ist.
Entweder kann er ein erweitertes Scheduling, mit dem du die Metriken beliebig ändern kannst, wie z.B. Bintec, dann könnte man z.B. eine feste Host Route benutzen die immer über das primäre Interface rausgeht, diese dann überwachen und anhand der Erreichbarkeit der Adresse die Metriken vertauschen.
Sinniger ist aber auf jeden Fall zumindest die primäre Verbindung an einem Modem oder Gerät mit Bridge Funktion zu haben, nur so kriegt der Router sofort mit wenn sie down ist.
