Fallback 3G/4G mit VPN Verbindung

[kkockott]

Hallo,

wir überlegen einen neueren Lancom Router mit 3G/4G zu kaufen und unseren Lancom 1711 ins Rechenzentrum zu unseren Servern (Colocation) zu stellen.

Wir haben momentan VDSL über einen Anbieter der hier Leitungen im Office verlegt hat aber keine Option auf DSL/SDSL/VDSL über das Telekom Netz bzw. andere Anbieter.

Die Überlegung ist eine 3G/4G Fallback aufzubauen was ja kein Problem ist wäre da nicht die fehlende öffentliche IP-Adresse. Natürlich gibt es da Anbieter und dergleichen aber uns wäre es lieber das intern zu lösen.

Kann man eine VPN Site 2 Site Verbindung so konfigurieren das sie nur aufgebaut wird wenn eine Fallback-Verbindung aktiviert wird sprich VPN bei 3G/4G.

Sinn und Zweck wäre das man dann am Rechentrum mit der festen IP rauskommt und diesen Gateway nimmt, es geht nur um ausgehende Verbindungen. Kein Reverse Proxy etc. notwendig.

Kann mir jemand helfen

[MariusP]

Hi,
Stichwort Aktionstabelle.
Dort einfach die 3/4G Verbindung auswählen, als Bedingung "Aufbau" wählen und als Aktion sowas schreiben wie "do o/m/c VPNOver4G"
Mehr dazu findest du in den Referenzhandbüchern.
Alternativ kann man auch etwas mit Routingtags machen, aber damit kenne ich mich nicht so gut aus. Jemand anderes der das beantworten möchte?
Gruß

[kkockott]

erstmal vielen Dank, das klingt sehr vielversprechend

bzw. wird die VPN Verbindung automatisch wieder gekappt wenn die 3G/4G Verbindung offline geht wenn die Default Verbindung wieder online ist ?

oder muss man mit \o\m\d eine zweite Aktion eintragen für die normale Default Gegenstelle (VDSL)

[Dr.Einstein]

Bevor ich mir weiter Gedanken mache, möchte im Vorfeld noch das Szenario genau geklärt haben.

Der Lancom Router geht standardmäßig über VDSL (intern) raus. Wenn VDSL ausfällt, soll ein VPN über 3G/4G aufgebaut werden, und diese VPN Verbindung als Default Route für jeglichen Traffic verwendet werden. VDSL wieder da = alles wieder getrennt. VPN steht NICHT standardmäßig.

Alles soweit richtig? Wenn ja, wirds kompliziert ( Stichwort Routingtabelle / Maskierung / Aktionstabelle )

[backslash]

Hi kkockott,

wieso willst du die VPN-Verbindung eigentlich nur haben, wenn du über 3G/4G gehst? Jeder private Traffic sollte im Internet verschlüsselt werden, d.h. du solltest unabhängig davon, ob die Haupt- oder die Backup-Verbindung aufgebaut ist, ein VPN darüber fahren. Dann mußt du dich auch nicht mit irgendwelchen abstrusen Aktions-Tabellen-Spielchen herumschlagen. Es gibt dabei nur ein paar wenige Dinge zu beachten:

• Der Tunnel muß immer nur von der Filiale zur Zentrale aufgebaut werden, d.h. in der Zentrale muß der Idle-Timout auf 0 stehen und es darf kein remotes Gateway angegeben werden (allein schon wegen der dynamischen IP-Adresse der Filiale)
• Auf der Zentrale muß DPD gemacht werden, damit diese den VPN-Tunnel selbständig abbaut, wenn in der Filiale die Internetverbingung zwischen Haupt- und Backup-Verbindung (bzw. zurück) wechselt.
• Das VPN sollte mit Zertifikaten arbeiten, weil du sonst aufgrund der dynamischen IP-Adresse der Filiale den Aggressive-Mode nutzen mußt, welcher sehr leicht angreifbar ist

Gruß
Backslash

[kkockott]

@Dr.Einstein

ja korrekt, das Problem ist die wechselende IP-Adresse über 3G/4G, deshalb war der Plan den Gateway vom entfernen Router im Rechenzentrum
zu nehmen und das nur wenn die 3G/4G Verbindung über die Backup-Tabelle aktiviert wurde

wir benötigen für bestimmte Services die wir beim Kunden ansteuern eine feste IP-Adressen, das können wir auch nicht extern lösen etc. - sprichi
es geht um Nachbearbeiter-Arbeitsplätze die auf ein Kunden-Portal zugreifen welches unsere feste IP-Adresse benötigt, man kann dort auch mehrere angeben aber nicht ein komplettes Netz

@backslash

exakt VPN soll nur aufgebaut werden wenn 3G/4G läuft damit jeglicher ausgehender Traffic über das Gateway der Gegenstelle im Rechenzentrum läuft
also kein Split-VPN, am Ende sollen dann alle mit der öffentlichen IP vom Lancom Router im Rechenzentrum rauskommen

das VPN ist nur mittel zum Zweck damit er den anderen Gateway benutzt und nicht den der 3G/4G Verbindung mit wechselnder IP-Adresse

wir haben keine Filliale oder Zentrale, wenn wir auf das Rechenzentrum zugreifen tun wir das aktuell per SSH bzw. KVM-IP Switch

es geht im Grunde nur über eine Fallback Lösung für das VDSL mit fester IP-Adresse

ich weis es gibt auch Lösungen die so etwas anbieten aber wollen möglichst unabhängig bleiben und das intern lösen

mein Plan war am Anfang die 3G/4G Verbindung komplett zu einer IP eines Linux-Server zu routen aber das verstehe ich übernicht wie das mit dem Lancom 1711 gehen soll

weder per Firewall-Regel noch per N:N-NAT (das ja nur für DMZ von draußen nach innen gedacht ist)

[Dr.Einstein]

Folgende Lösungsidee hätte ich für dich:

- Default Route VDSL Routing Tag 0 maskiert
- Default Route VPN Routing Tag 1 nicht maskiert
- Default Route 4G-LTE Routing Tag 2 maskiert

- VPN mit Verweis auf Routing-Tag 2

- Firewallregel, Quelle / Stationen alles beliebig, Aktion erlauben, Routing Tag 0

- Mobilfunkmodem ausgeschaltet

- Aktionstabelle: VDSL, Ereignis Aufbaufehler: Mobilfunkmodem aktivieren + Firewallregel von Routing-Tag 0 auf 1 ändern
- Aktionstabelle: VDSL, Ereignis Aufbau: Mobilfunkmodem deaktivieren + Firewallregel von Routing-Tag 1 auf 0 ändern
Beispielaktionstabelle:
exec: set /Setup/Interfaces/Modem-Mobile/Modem {Operating} 2
exec: set /Setup/IP-Router/Firewall/Rules/Regelname {Rtg-tag} 1 {Comment} "LTE aktiviert"

Zu beachten sei, dass natürlich der Lancom im Rechenzentrum korrekt mit VPN Regeln konfiguriert ist, da jeglicher Traffic vom "Außenstandort" über diesen geschickt wird (also eine ANY zu Subnet-Regel + über Kreuz).

Gruß Dr.Einstein

[kkockott]

vielen vielen Dank

evtl. benötigen wir demnächst um einen Kundenserver anzusteuern eine VPN-Verbindung (Site 2 Site) - geht das dann überhaupt noch
das bei einem Fallback die VPN Verbindung zum RZ aufgebaut wird und die kundenspezifische zusätzliche VPN Verbindung auch
über diese geroutet wird - also VPN über VPN tunneln sozusagen

oder wäre dann wirklich eine Lösung über eine extra Hardware mit eigenem Tunnel von einem Anbieter notwendig ?