PfSense für verschiedene Mobil-Verbindungen



  • Hallo miteinander,

    ich hoffe mein Problem ist hier noch nicht aufgetaucht, aber über die Suche finde ich nichts passendes… Folgende Situation: Ich bin wohnortbedingt ohne DSL unterwegs. Hier macht nur mobiles Internet wirklich Sinn. Das ist aufgrund meines hohen Trafficverbrauch jedoch auf zwei Verträge gesplittet:

    1. Stationärer LTE-Router (T-Mobile), jedoch max. 20 GB / Monat
    2. Handy (o2 Free), dieses hat hier jedoch nur 3G-Empfang, Traffic unbegrenzt

    Da ich viel YouTube, Musikstreaming und Co nutze, habe ich natürlich einige GB Traffic im Monat. Bisher ist es so, dass alle Geräte im Heimnetz mit dem LTE-Router verbunden sind, dessen Traffic natürlich maximal bis Mitte des Monats reicht. Wenn ich nun Dinge mit erhöhtem Traffic-Bedarf machen möchte, schalte ich am "Workstation-Notebook" vom LTE-Router auf den Handy-Hotspot um, der ja dank o2 Free nicht begrenzt ist. Ist es ein Download der schnell sein soll, wird wieder auf den LTE-Router gewechselt. Das ist natürlich extrem nervig, zumal ich während der Nutzung des Handy-HotSpot natürlich keinen Zugriff auf meine Server etc habe. Das möchte ich nun irgendwie ändern, da kam mir pfSense in den Sinn. Ob als virtueller Server auf meinem VMWare-Host (HP ProLiant N54L mit 8GB RAM und ESXi 6.5, ein PCI-Steckplatz noch frei, also Platz für eine Netzwerkkarte (welche?)) oder als physikalisches Gerät (welches?), ist erst mal offen, da würde ich mich an Eure Tipps halten.

    Meine Vorstellung, wie ich es gerne am liebsten hätte:

    Zwischen "Heimnetz" und Internet-Zugänge soll eine pfSense-Lösung. Diese stellt beide Internet-Verbindungen zur Verfügung (LTE-Router per LAN verbunden, HotSpot vom Handy per WLAN-Karte oder LAN-Anschluss und WLAN-Bridge verbunden). Diese Verbindungen sollen vom Client aus (bevorzugt natürlich durch nur einen Doppelklick, also gerne HTTP-Request oder ähnliches) gewechselt werden können.

    Ziel: Ich möchte, egal welche Verbindung ich aktuell nutze, auf das gesamte Heimnetz zugreifen können. Wenn LTE-Speed nicht notwendig ist, möchte ich jedoch die Handy-Verbindung über 3G nutzen können um den LTE-Traffic zu sparen...

    Dass ich bei dieser Lösung jedes mal zu Hause den HotSpot am Handy aktivieren muss wird nicht vermeidbar sein, aber eine andere Idee habe ich leider nicht...

    Nun meine Frage: Kann ich dieses Szenario mit pfSense lösen? Wenn ja, wie? Habe mit dem System null Erfahrung, bin aber interessiert und lernwillig ;) Das Systen sollte insofern zukunftssicher sein, dass ich es bei einem späteren evtl. Umzug auch auf DSL oder Kabel mit LTE-Fallback umrüsten kann. Hier habe ich aber wenig Bedenken, das wäre dann ja eine Standardlösung. Das sollte ja mit jedem System klappen...

    Vielen Dank für Eure Hilfe!
    Gruss Daniel



  • hi,

    du möchtest also ein multiwan konzept für dein anwendungsszenario. ich gehe mal jetzt nicht zwingend auf die anbindung von O² ein, da ich hier eher die größte baustelle sehe. eine verbindung über handy / hotspot halte ich für nicht sinnvoll aber sicherlich machbar.

    bzgl. hardware:
    wenn du wirklich eine wlan karte in pfsense nutzen möchtest, solltest du als erstes hier vorbei schauen: https://doc.pfsense.org/index.php/Supported_Wireless_Cards
    dein ESXi gedanke wird da wahrscheinlich nicht funktionieren, weil wlan karten im esxi maximal über ein custome image mit angepassten treibern funktionieren werden. sofern die hp kiste VT-d unterstützt, könntest du auch versuchen die wlan karte zur pfsense vm durchzureichen.

    standalone hardware, die out-of-the-box wlan in pfsense unterstützt…bin ich überfragt. da kann dir vielleicht jemand anderes helfen.
    ansonsten gibt es viel pfsense hardware am markt. sehr spannend finde ich Supermicro E200-9B (recht teuer), Kettop/Qotom (Mi19W-S1/Q190G4N), Zotac nano ci323, apu2c4 etc... wobei ich immer drauf achten würde, dass intel karten verbaut werden, was bei zotac nicht der fall ist.

    bzgl. multiwan:
    ein klassisches failover oder round robin verfahren kommt für dich eher nicht in frage. du kannst aber auch port oder alias basiert auswählen, wann welche leitung benutzt werden soll. also eine gewisse automatik erzeugen. möglich wäre also z.b.: du sagst, alles was port 80 und 443 raus geht, soll über die o² verbindung gehen, der rest über LTE. oder aber alias basiert über bestimmte domain namen. allerdings ist das aufwendig, da videos bei youtube.com, ja nicht ausschließlich über die domain youtube.com kommen.



  • Hi,

    danke für die erste Einschätzung. Denke auch, dass da eine Automatik, egal wie man sie macht, kaum Sinn hat. Domains wechseln bei den ganzen großen Seiten sowieso, da wird dann wohl jeder Aufruf dann über beide Leitungen laufen ;)

    Problem mit dem HotSpot habe ich inzwischen gelöst, ich könnte mir einfach eine Multisim bestellen, dann habe ich eine autarke SIM-Karte für das Internet, die kann ich dann in einem weiteren LTE-Router betreiben. Denke das wäre dann am einfachsten: 2x gleicher Router mit den beiden SIM-Karten, fehlt nur noch die Klärung, ob ich irgendwie manuell aber einfach zwischen beiden wählen kann… Aktuell in Betrieb ist ein Huawei B592s-22

    Und ja, davon bin ich ausgegangen, dass man da eher nicht weit kommt mit Virtualisierung. Ist aber gar kein Problem, darf auch gerne dedizierte Hardware sein. Muss auch nicht so ein Mini-Kompakt-Gerät sein. Bin gerade am schauen was es da schönes an Mini-PC gibt. Muss ja nicht das neueste sein, die Hardwareanforderungen sind ja eher gering...

    Gruss Daniel



  • Hi, ich hänge mich hier einfach mal mit ran da ich aktuell dabei bin ein vergleichbares Szenario über pfsense abzubilden - besser gesagt ich bin z.zt. in der Planungsphase ….
    Die Umgebung ist zwar standortbedingt (Ausland) ein wenig anders - jedoch geht es auch darum 2 ISP zu nutzen, nebst ein wenig "Logik" bei der Verteilung/Steuerung des Datenverkehrs.
    Hier vor Ort sind 2 Anbieter mit im Boot, zum einen "kabelgebunden" und zum anderen "mobilfunknetzgebunden". Da ich als Hardware ein Zotac CI323-nano nutze sieht die Planung momentan wie folgt aus:

    
                    WAN                     WAN
                     :                       :
                     : Anbieter1             : Anbieter2
                     :                       :
                  .--+--.                 .--+--.
             WAN  | FOS |      Modems     | LTE | WAN2
                  '--+--'                 '--+--'
                     |                       .
                     | Ethernet              . WLAN
                     | 192.168.1.1/24        . 192.168.8.1/24
                     |                       .                
                     |                .------+------.
                     |                | WLAN to     |
                     |                | LAN Bridge  |
                     |                '------+------'
                     |                       }
                     |                       } Ethernet
                     |                       } 192.168.8.10
                     |    .------+------.    }
                     +----| LAN-Switch1 |~~~~+
                          | LVL2        |
                          '-----+-+-----'
                                | }
                                | } EIN Kabel / 2 Netze
                                | }
                            .---+-+---.
                            | pfSense |
                            '----+----'
                                 |
                                 | LAN
                                 | 192.168.2.1/24
                                 |
                           .-----+------.
                           | LAN-Switch2|
                           '-----+------'
                                 |
                         ...-----+-----...
                         (Clients/Servers)
    
    

    Wie zu erkennen, ist geplant via eines entsprechednen Switches dem definierten WAN-Port quasi beide WANs "anzubieten" (1x klassisches "plug&play" LAN auf seiten des kabelgebundenen Anbieters und 1x via VLAN für den mobilfunkanbieter)….

    Meine Frage: Hat hier schon mal einer mit einer vergleichbaren Lösung Erfahrung gesammelt?

    Später soll dann z.B. via Regel dafür gesorgt werden dass der Traffic zu bestimmten Zeitfenstern über "LTE-WAN" geht und in der sonstigen Zeit via "FOS-WAN"....

    Gruß DocSlyper



  • @DocSlyper

    Moin,

    wenn es nur um die MultiWan Anbindung geht, dann funktioniert

    Multi-WAN on a stick

    einwandfrei.

    Geh aber bitte mit einem VLAN Trunk mit nur "getackten" VLANS von der Sense auf den Switch. Hier dann einfach je VLAN einen "ungetackten" Port  anlegen.

    Das man VLAN 1 nicht nimmt, setze ich als bekannt vorraus.

    LG HornetX11



  • @hornetx11:

    Hi, ok … geht in die Richtung die ich geplant hatte. Kleiner Switch (z.B. Netgear GS105E-200PES 5-Port) der beide ISP zusammenführt.

    1 -> Modem ISP-1 (VLAN10 U)
    2 -> frei (VLAN10 U)
    3 -> pfSense (VLAN10 T / VLAN20 T)
    4 -> frei (VLAN20 U)
    5 -> Modem ISP-2 (VLAN20 U)
    (U -> Untagged / T -> Tagged)

    So bleibt auf dem Switch noch ein Port je ISP frei (für was auch immer ^^) und beide werden schön in der Mitte (optisch ansprechend) auf die pfSense gelegt  ;D
    Schade nur, dass der Switch "hinten" - was dann ja "vorne" wäre wenn er auf der Box steht - keine LEDs hat ….

    Eventuell kommt der VOIP-Kram dann auch direkt an den Port "2" mit entsprechender Prio - mal gucken ....

    Restliche Konfig dann auf der pfSense (und hoffen das alles so läuft wie es soll) ... Aber erst mal noch ein wenig Hardware einkaufen ;-)

    Gruß
    DocSlyper


  • Moderator

    Bitte aber nicht einfach den Thread kapern und dann in andere Richtung schieben, da es bei @Docslyper auch nicht um 2 Funk Szenarien geht, gestaltet sich das schon anders als im Fall des OP. Also bitte hier die Antwortenden nicht durcheinander bringen mit anderen Fakten und lieber einen eigenen Thread aufmachen oder darin bleiben. Danke!

    Zum Thema:

    Zwischen "Heimnetz" und Internet-Zugänge soll eine pfSense-Lösung. Diese stellt beide Internet-Verbindungen zur Verfügung (LTE-Router per LAN verbunden, HotSpot vom Handy per WLAN-Karte oder LAN-Anschluss und WLAN-Bridge verbunden). Diese Verbindungen sollen vom Client aus (bevorzugt natürlich durch nur einen Doppelklick, also gerne HTTP-Request oder ähnliches) gewechselt werden können.

    Das wird etwas schwieriger werden, denn einfach leicht umschalten lässt sich das Szenario leider nicht. Was man machen könnte:

    • Gateways erstellen für Funk1 und Funk2 Router
    • Default GW ist der Funkrouter mit Flatrate
    • Alias erstellen für die Clients im LAN, die umgeschaltet werden sollen
    • Regel erstellen mit selbigem Alias als Source (auf dem LAN IF) und Ziel gewünschte URLs/Dienste/alles?
    • unter advanced settings das andere Funk Gateway auswählen
    • Regel aktivieren/speichern

    Dann prüfen, ob es über die schnelle Verbindung läuft und wenn alles klappt, kann man per enable/disable der Regel einfach gezielt Traffic auf das andere Funkinterface umschalten. Man muss sich allerdings eben einloggen und die Regel aktivieren und wieder abschalten.

    Um als Ziel bspw. bestimmte Dienste nutzen zu können, kann man bspw. entsprechende Listen im Netz suchen und diese mittels pfBlockerNG im System einbauen und als Aliase/Tabellen nutzbar machen.

    Gruß