Telekom Hybrid - Splitting der Leitungen?



  • Hallo,

    bisher hat mich das Upgrade auf Hybrid immer wegen dem doppelnat abgehalten.
    Nun habe ich https://www.teltarif.de/telekom-magenta-hybrid-router-fritzbox/news/65711.html gelesen.
    Kann ich mit Pfsense auch so ein Konstrukt bauen?
    Mein Vigor 130 wählt sich ein und der Hybrid Router übernimmt LTE only?
    Quasi eine Art Multi-WAN wo ich sagen kann, welches Device über welche Leitung geht…?


  • Moderator

    Hi,

    Wenn du dir über die im Artikel genannten Konsequenzen bewusst bist (vor allem das Fazit am Ende: "kann der Nutzer trennen"), dann denke ich schon dass du solch ein Konstrukt bauen kannst. Wie der Test zeigt, konnte sich ja ein anderes Gerät (Fritzbox) via DSL einwählen ohne den Betrieb des LTE Hybrid Routers zu beeinflussen. Man kann nur nicht abschätzen, was sich Telekom später ggf. noch zu Firmware Updates hinreißen lässt um sowas zu unterbinden. Außerdem hast du dann natürlich 3 Geräte (Vigor+Hybrid+pfSense).

    Aber ja, du könntest dann jeden Router (Vigor/LTE) an ein WAN der pfSense hängen, da eine Gateway Gruppe drüber spannen und dann je nach Gerät entscheiden, über welchen Weg du gehen möchtest. Also Auswahl, dass SSH/VPN immer via DSL gehen, HTTP/S über LTE etc. Läuft dann auf ein "normales" Multi-WAN Setup hinaus :)

    Grüße



  • Ich hatte ein solches Konstrukt anfangs selbst am laufen, als ich einen normalen DSL-Anschluss durch einen Hybrid-Anschluss ersetzt hatte. Das ganze funktioniert einwandfrei, man hat also die Kapazität von DSL und LTE an zwei getrennten WAN Ports und kann alles entsprechend mit pfsense konfigurieren. Wie im Artikel erwähnt, zeigt der Hybrid-Router zwar eine Warnmeldung an, dass das DSL-Kabel nicht eingesteckt ist und keine Verbindung hergestellt werden konnte, diesen Hinweis kann man allerdings problemlos überspringen.

    In meinem Fall hatte ich Probleme, meine VOIP-Geräte in einer Double-NAT Umgebung zum laufen zu bekommen (zu Anfang war der Hybrid-Router normal angeschlossen, dahinter die pfSense). Mit der Auftrennung konnte ich den DSL-Teil direkt an der pfSense für VOIP nutzen, wie bisher auch. Problem ist allerdings, dass die Telekom natürlich merkt das der DSL-Traffic nicht über den Hybrid-Router läuft, das ganze ist vom Einsatzzweck her auch nicht so gedacht. Da der Anschluss für uns essentiell ist, habe ich daher zusätzlich zum Hybrid-Anschluss einen kleinen DSL-Anschluss gemietet und betreibe das ganze als Multi-WAN Lösung (DSL für VOIP, DSL+LTE als Hybrid für die PCs).

    Man sollte auch bedenken, dass die Telekom jederzeit ein Firmware-Update herausbringen könnte und die Konstellation mit der Auftrennung dann nicht mehr funktioniert. Ich belasse es daher lieber "Standard-Konform", denn das Double-NAT macht dem normalen Internet-Traffic nichts aus, ich kann den Hybrid Router jederzeit gefahrlos updaten und wenn eine Leitung ausfällt, habe ich immer noch die andere zur Verfügung.



  • Danke fuer Euer Feedback und Tipps.
    Das Argument mit dem Firmware-Update, was zu einer Unterbindung des LTE use only passieren koennte, halte ich auch fuer ein recht hohes Risiko.
    Doppel-NAT gefiele mir auch nicht.
    Wenn ich den Hybrid Router mit DSL und LTE nutze und dahinter die PfSense Klemme. Muss ich denn zwinged DoppelNatten?
    Kann ich nicht pfSense als exposed Host in den Telekom Router eintragen und die Ports dann ohne Natting auf meine DMZ weiterrouten?
    Oder ginge das nur mit Doppel NAT?
    Danke!



  • Der Hybrid-Router hat eine eigene Firewall, welche nicht deaktivierbar ist. Ebenso gibt es dort keine "Exposed Host" Funktion, man muss die Ports also einzeln weiterleiten. Ob es funktioniert, einfach den gesamten Portbereich zu öffnen und auf eine IP in der DMZ zu routen, kann ich leider nicht sagen, da ich dies nie getestet habe. Im Normalbetrieb habe ich ein Doppel-NAT, was aber problemlos funktioniert (bis auf die VOIP-Geschichten, welche aber direkt am anderen DSL-Anschluss hängen).


  • Moderator

    Doppel-NAT gefiele mir auch nicht.
    Verstehe leider nicht, warum Leute da immer wieder drüber grübeln. Einfache NAT ist doof. Ob da nun noch ein zweites Mal genattet wird ist in den meisten Fällen völlig egal.

    Wenn ich den Hybrid Router mit DSL und LTE nutze und dahinter die PfSense Klemme. Muss ich denn zwinged DoppelNatten?
    Klar, wie soll sonst die pfSense den Traffic routen/filtern? Die einzige "andere" Möglichkeit wäre noch als transparente Bridge, was aber dann einige Funktionen stilllegt, die nicht mehr funktionieren. Macht auch für den Heimgebrauch meist keinen Sinn.

    Kann ich nicht pfSense als exposed Host in den Telekom Router eintragen und die Ports dann ohne Natting auf meine DMZ weiterrouten?
    Leider wieder ein Fall von "tolles Feature verpackt in Dumm-Sprech". Exposed Host Modus oder DMZ oder sonstwie genannter Käse ist nichts anderes als ein stupides 1:1 NAT bzw. Port Forwarding aller Ports und Protokolle auf EINE IP. Und auf der pfSense hast du dann nochmal NAT womit du wieder deine DoppelNAT hast. Es gibt KEINEN Modus in dem ein vorgeschalteter Router(!) keine NAT macht an die pfSense hintendran. Nur wenn er als Modem/Bridge arbeitet, kann Traffic transparent laufen. Solange das Gerät vornedran routet wird genattet. Schlimmer in dem Fall ist dann eher, wenn es - wie Michaeljk schreibt - sogar gar keine DMZ/Exposed Host Funktion gibt. Dann wird es ggf. ungemütlicher wenn Traffic reinkommen soll. Solange aber alles nur rausgeht, ist es egal ob einmal oder zweimal NAT. Allerdings sind dann auch Dinge wie selektierbarer Traffic pro Regel auf der pfSense nicht möglich, da ja alles auf das gleiche GW geht.

    Sehr schade, dass die Telekom da solche Einbahnstraßen baut. :( Ich würde mir aber überlegen, ob ich das nicht trotzdem im Mischbetrieb fahre und erst wenn es wirklich nicht mehr geht hintereinander schalte.



  • Guten Abend,

    die "Sorgen" wegen dem Doppel-NAT sind weil hier eine PS4 und ein Gaming-PC ganz gerne mal online im Einsatz sind…
    Danke nochmal fuer die ausfuehrlichen Erklaerungen!


  • Moderator

    die "Sorgen" wegen dem Doppel-NAT sind weil hier eine PS4 und ein Gaming-PC ganz gerne mal online im Einsatz sind…

    Stehen bei mir durch Kids (und mich selbst manchmal) auch und arbeiten ohne Probleme. Der PS4 hilft ein halbwegs vernünftig konfiguriertes UPnP als Helfer, allerdings hats auch ohne problemlos geklappt. Schwieriger wirds eher wenn mal mehrere Kisten aus dem Netz online zusammen spielen wollen, aber da ist es immer von der Applikation abhängig, meistens funktioniert es trotzdem sauber.

    Grüße