Vorstellung und gleich ein Problem: Failover zwischen DSL und LTE (GigaCube)



  • Servus zusammen,

    ich möchte mich kurz vorstellen. Ich heiße Ralf, wohne im ländlichen Raum in Niederbayern und kämpfe mit dem üblichen Problem der "Landbevölkerung": Die per DSL verfügbare Bandbreite beträgt nur wenige MBit. In meinem Fall bestenfalls 3,2 MBit/s. Und der DSL-Ausbau lässt auf sich warten…

    Da die LTE-Abdeckung sehr gut ist wollte ich bei der Telekom das Produkt MagentaZuhause Hybrid buchen. Leider ist laut Auskunft mehrerer Telekom-Shops kein "LTE-Port" verfügbar...

    Als einzige Alternative bleibt das Vodafone-Produkt "GigaCube". Ein solcher steht nun auf der Fensterbank und erreicht mehr als zufriedenstellende 21 MBit/s. Nachteil beim GigaCube ist das Datenvolumen von 50 GByte pro Monat.

    In der c´t-Ausgabe 24/2016 wird der Aufbau eines Routers mit pfSense beschrieben. pfSense installierte ich auf einem älteren PC mit Intel-M-Prozessor mit 1,5 GHz, 2 GByte RAM und insgesamt vier LAN-Schnittstellen. Die LAN-Schnittstellen sind konfiguriert.

    Leider beschreibt der c´t-Artikel die für Load-Balancing und failover notwendige Konfiguration nur rudimentär, so dass ich als Laie eine verständlichere Anleitung suchte. Gefunden habe ich diese Anleitung für die Einrichtung von Load-Balancing und failover hier:

    https://www.cyberciti.biz/faq/howto-configure-dual-wan-load-balance-failover-pfsense-router/

    Entsprechend habe ich die Konfiguration vorgenommen.

    Ergebnis:

    Der Internet-Zugriff sowie die VoIP-Telefonie über die LTE-Anbindung (Default Gateway) funktionieren einwandfrei. Bei Ausfall der LTE-Anbindung (Patchkabel am GigaCube abgezogen) funktioniert der Internet-Zugriff über die DSL-Anbindung nicht, die VoIP-Telefonie jedoch schon.

    Meine Umgebung sieht wie folgt aus:

    DSL -> FRITZ!Box 7270, 192.168.1.1/24 -> LAN-Schnittstelle pfSense-Server DSL_DLINK_UNTEN, 192.168.1.2/24 -> pfSense

    LTE -> Huawei B528s 23a ("GigaCube"), 192.168.0.1/24 -> LAN-Schnittstelle pfSense-Server LTE_DLINK_OBEN, 192.168.0.2/24 -> pfSense

    pfSense-Server -> LAN-Schnittstelle pfSense-Server 10_100_1000_MBIT, 192.168.2.1/24 -> FRITZ!Box 7270, 192.168.2/24 (konfiguriert als "vorhandener Zugang über LAN") -> DHCP-Server der FRITZ!Box 7270 -> Client 192.168.178.1
    -> Client 192.168.178.2
    -> Client 192.168.178.3
    -> VoIP-Telefonie (funktionierte ohne Einstellungen in pfSense vornehmen zu müssen "out of the Box")

    Ich hoffe meine Infos sind ausführlich genug um das Problem nachvollziehen zu können? Sind Ausüge aus dem Backup der Konfiguration (xml-File) notwendig? An welcher Stelle muss ich wie schrauben, damit der failover funktioniert? An den eingerichteten Firewall-Rules? Ist die Anleitung unvollständig?

    Ich habe viel im Internet und hier im Forum zu dem Thema failover gesucht und gelesen. Leider komme ich trotzdem bei dem Problem nicht weiter. Es wäre super wenn jemand einen Tipp für mich hätte. Vielen Dank schonmal im Voraus.

    Grüsse

    Ralf



  • Hallo,

    wäre super wenn mir jemand bestätigen könnte, dass diese Anleitung:

    https://www.cyberciti.biz/faq/howto-configure-dual-wan-load-balance-failover-pfsense-router/

    für die Konfiguration von Load-Balancing und fail over korrekt ist.

    Spielt es eigentlich eine Rolle, in welcher Reihenfolge die Firewall-Regeln für Load-Balancing und fail over eingetragen sind? Wenn nein, in welcher Reihenfolge müssen die Firewall-Regeln positioniert sein? Zuerst fail over und dann Load-Balancing?

    Was mich noch irritiert: In der oben genannten Anleitung wird unter "Step 8: Configuring the firewall rules for failover" bei "Adress Familiy" ipv4 eingetragen. Wäre mein Problem gelöst, wenn ich hier "any" eintragen würde?

    Ich kann leider nicht einfach herumprobieren bis es funktioniert, da ich dazu die funktionierende Internetverbindung, VoIP etc. auf die Testumgebung mit extra dafür eingerichteten FRITZ!Boxen umpatchen muss. Deshalb kann ich immer nur am Wochenende abends/nachts am pfSense-Server spielen.

    Ich nutze pfSense in der Version 2.3.4. Downgeloaded und installiert habe ich dieses Image:

    pfSense-CE-memstick-2.3.4-RELEASE-i386.img

    Ich bin leider Laie und möchte erstmal nicht mehr als Load-Balancing und fail over zum Laufen bringen.

    Grüsse

    Ralf


  • Moderator

    Ich frage mich manchmal, warum man irgendwelche irgendgearteten Howtos im Internet sucht, bevor man sich - vielleicht nur als Denkansatz - die eigene Doku zum Produkt zu Gemüte führt ;)

    https://doc.pfsense.org/index.php/Multi-WAN

    Dort wird u.a. beschrieben was für Multi-WAN nötig ist. Ob das Load Balancing ist oder Failover bestimmt lediglich die Konfiguration der entsprechenden Gateway Gruppe und ob die Lines das gleiche Tier Setting haben oder nicht. Damit das läuft werden die ausgehenden Regeln entsprechend via Advanced Settings bei den Regeln und Gateway Auswahl entsprechend geroutet. Die Reihenfolge ist natürlich entscheidend, denn der erste Match wird angewendet. Deshalb kann die gleiche Regel nicht für LB oder Failover existieren, da eine davon dann nie ausgewählt werden würde. Verstehe an der Stelle nicht so ganz, wo du LB etablieren willst und wo FO. Aber dann solltest du ggf. einen Screenshot der Regeln und Gateway Gruppen posten.

    Gruß



  • Guten Abend,

    ich danke dir für Deine Antwort und möchte für die späte Antwort um Entschuldigung bitten. Leider habe ich nur am Wochenende Zeit mich um das Thema zu kümmern und dann auch nicht an jedem Wochenende.

    Du hast natürlich recht, dass es eine "offizielle" Anleitung gibt. Leider ist es für einen Anfänger - zumindest für mich - nicht so einfach diese umzusetzen. Da sind Bilder einfach sehr, sehr hilfreich.

    Ich habe die Screenshots der entsprechenden Konfigurationen erstellt.

    Ist mein Vorhaben mit pfSense überhaupt umsetzbar: Solange das Datenvolumen von 50 GByte nicht verbaucht ist werden der Internetzugang und die Telefonie per VoIP per LTE abgewickelt. Sobald die 50 GByte verbaucht sind wird auf DSL umgeschaltet. Kann pfSense per Regel überhaupt erkennen, dass das Datenvolumen verbaucht ist und die Bandbreite auf 32 kBit/s reduziert wurde?
    Oder ist es sinnvoller die Telefonie per VoIP permanent über DSL laufen zu lassen? Das Problem ist, dass oft der DSL-Connect zusammenbricht (Entfernung zur Vermittlungsstelle ca. 5 km, davon einige km als Freileitung) und, solange niemand im Internet surft, der Ausfall nicht bemerkt wird. Es ist eine Katastrophe…

    Grüsse

    Ralf

    Ich frage mich manchmal, warum man irgendwelche irgendgearteten Howtos im Internet sucht, bevor man sich - vielleicht nur als Denkansatz - die eigene Doku zum Produkt zu Gemüte führt ;)

    https://doc.pfsense.org/index.php/Multi-WAN

    Dort wird u.a. beschrieben was für Multi-WAN nötig ist. Ob das Load Balancing ist oder Failover bestimmt lediglich die Konfiguration der entsprechenden Gateway Gruppe und ob die Lines das gleiche Tier Setting haben oder nicht. Damit das läuft werden die ausgehenden Regeln entsprechend via Advanced Settings bei den Regeln und Gateway Auswahl entsprechend geroutet. Die Reihenfolge ist natürlich entscheidend, denn der erste Match wird angewendet. Deshalb kann die gleiche Regel nicht für LB oder Failover existieren, da eine davon dann nie ausgewählt werden würde. Verstehe an der Stelle nicht so ganz, wo du LB etablieren willst und wo FO. Aber dann solltest du ggf. einen Screenshot der Regeln und Gateway Gruppen posten.

    Übersicht der Installation:

    Konfiguration pfSense:


  • Moderator

    Bitte editiere den Post mal und bette die Bilder entweder als Link ein oder hänge sie an die Antwort an dass sie geschrumpft werden - so ist es komplett unübersichtlich.

    Noch kurz dazu

    Kann pfSense per Regel überhaupt erkennen, dass das Datenvolumen verbaucht ist und die Bandbreite auf 32 kBit/s reduziert wurde?

    Nein kann sie nicht, weil sie die Information nicht hat. Woher sollte sie die auch nehmen? Da wirst du nicht drumherum kommen entweder VoIP immer via DSL laufen zu lassen oder händisch umzuschalten. Deshalb ist es an der Stelle auch nicht verwerflich bei einem Hybridrouter den vornedran gestellt zu lassen, damit der selbst die Umschaltung macht und hintendran dann die pfSense zu packen. Das aber nur als andere Option.

    Gruß



  • Hallo,

    habe die Bilder als verlinkte Thumbnails eingebettet.

    Ich habe leider keinen Hybridrouter. Das Vodafone GigaCube ist nur ein LTE-Router. Gegen einen Hybridrouter zu kaufen spricht, dass regelmäßig im Frühjahr und >ZHerbst je eine FRITZ!Box 7270 durch Blitzeinschlag bzw. Überspannung (kommt über die Freileitung (DSL)) das Zeitliche segnet. Deshalb habe ich immer einige FRITZ!Boxen 7270 als Ersatz in der Schublade liegen. Blitzschutzeinrichtungen (egal ob billig oder teuer) haben sich als untauglich erwiesen.

    Ich dachte mir, dass die pfSense die Bandbreite des WAN messen kann (iperf) und sich damit eine Regel erstellen lässt?
    Aber dafür ist ipferf leider nicht geeignet:

    https://doc.pfsense.org/index.php/Iperf_package

    Schade.

    Bin schon glücklich und zufrieden, wenn pfSense VoIP über DSL leitet und den restlichen Verkehr über LTE. Und wenn bei Ausfall von DSL oder LTE das jeweils andere verwendet wird.

    Grüsse

    Ralf

    @JeGr:

    Bitte editiere den Post mal und bette die Bilder entweder als Link ein oder hänge sie an die Antwort an dass sie geschrumpft werden - so ist es komplett unübersichtlich.

    Noch kurz dazu

    Kann pfSense per Regel überhaupt erkennen, dass das Datenvolumen verbaucht ist und die Bandbreite auf 32 kBit/s reduziert wurde?

    Nein kann sie nicht, weil sie die Information nicht hat. Woher sollte sie die auch nehmen? Da wirst du nicht drumherum kommen entweder VoIP immer via DSL laufen zu lassen oder händisch umzuschalten. Deshalb ist es an der Stelle auch nicht verwerflich bei einem Hybridrouter den vornedran gestellt zu lassen, damit der selbst die Umschaltung macht und hintendran dann die pfSense zu packen. Das aber nur als andere Option.

    Gruß


  • Moderator

    dass regelmäßig im Frühjahr und >ZHerbst je eine FRITZ!Box 7270 durch Blitzeinschlag bzw. Überspannung (kommt über die Freileitung (DSL)) das Zeitliche segnet.

    Autsch - was ist mit Überspannschutz und USV an der Stelle? Auch die DSL Leitung kann bei einigen Modellen durchgeschleift werden.

    Ich dachte mir, dass die pfSense die Bandbreite des WAN messen kann (iperf) und sich damit eine Regel erstellen lässt?

    Nein. Messen kann sie das sicher, aber kein Gerät erstellt so umständlich und komplex seine Regeln, zumindest wäre mir keines bekannt. Die Hybridrouter machen das an der Stelle auch so dass sie schlicht den Verbrauch messen bzw. abfragen können. Das kann die pfSense nicht. Zudem wäre Bandbreite messen ein sehr schlechter Wert - was sagt der aus außer dass er vllt. weniger wird? Damit wäre bspw. auch ein Abfall der Nennleistung was bei DSL immer mal wieder in Stoßzeiten vorkommt, ein Grund für Failover obwohl er vielleicht dann wieder vorbei ist. Dann die Frage, wann wird gemessen und wie oft… nein das ist vom Prinzip her zu fehleranfällig und zu sehr auf Pull-Prinzip ausgelegt. Und wenn ich alle 5-10min ne Bandbreitenmessung mache um zu detektieren ob ich umschwenken muss, macht das die Clients auch nicht happy wenn ständig die Leitung ausgelastet ist. Und wenn jemand gerade nen Download laufen hat, würde ggf. ein Failover kommen weil die Bandbreiten Messung nichts ergibt und der Download bricht ab. Sehr unpraktisch.

    Failover wie du es beschreibst und policy based routing sind dagegen kein Problem. Allerdings würde ich dann empfehlen, DSL als default zu konfigurieren (worüber dann VoIP läuft), damit hier auch bei */default das DSL Gateway genutzt wird. Alles weitere kann dann problemlos so eingestellt werden mit entsprechenden Regeln und Gateway Gruppen.

    Grüße



  • Servus,

    während der vergangenen Tage trat ein Problem mit einem der beiden Onboard-Netzwerkadapter (Marvell 88E8053 PCI Express Gigabit LAN controller) auf. Es kam nach wenigen Betriebsstunden die Fehlermeldung: "msk0: Initialization failed: no memory for Bx buffers". Ich habe dann den nicht verwendeten Intel-Onboard-Netzwerkdapater aktiviert. Seitdem keine Probleme mehr.

    Überspannungsschutzmodule aller möglichen Hersteller und Preisklassen wurden ausprobiert. Mit ernüchternden Ergebnissen. Keines hielt was der Hersteller versprochen hat: Die DSL-Modems der FRITZ!Boxen ware jedes Mal kaputt.

    Das Defaultgateway habe ich auf das DSL-Gateway gelegt. Leider hat die FRITZ!Box 7270, die ich als VoIP-Adapter, WLAN-Accesspoint etc. nutze ein Problem wenn die Internetverbindung kurzzeitig ausfällt. Die SIP-Konten werden zwar noch als o.k. angezeigt, de Facto funktioniert jedoch kein ein- oder ausgehender Anruf. Das Problem kann nur durch einen Reset der FRITZ!Box gelöst werden. Das Problem ist unabhängig von der vorgeschalteten pfSense.

    Was mich aktuell beschäftigt ist das Problem, dass ich nicht auf die Web-Oberfläche der den Internetzugang per DSL aufbauenden FRITZ!Box 7270 (192.168.1.1) komme. Auf die Web-Oberfläche des LTE-Modems Vodafone Gigacube (192.168.2.1) komme ich hingegen problemlos. Beide Interfaces sind identisch konfiguriert ("Block private networks and loopback addresses" und "Block bogon networks") sind jeweils aktiviert. Auch die Firewall-Rules auf den beiden Interfaces sind identisch.

    Zum Vergrößern bitte anklicken:

    Gibt es eine Erklärung, warum die Web-Oberfläche der FRITZ!Box 7270 (DSL) nicht erreichbar ist?

    Grüsse

    Ralf

    @JeGr:

    dass regelmäßig im Frühjahr und >ZHerbst je eine FRITZ!Box 7270 durch Blitzeinschlag bzw. Überspannung (kommt über die Freileitung (DSL)) das Zeitliche segnet.

    Autsch - was ist mit Überspannschutz und USV an der Stelle? Auch die DSL Leitung kann bei einigen Modellen durchgeschleift werden.

    Ich dachte mir, dass die pfSense die Bandbreite des WAN messen kann (iperf) und sich damit eine Regel erstellen lässt?

    Nein. Messen kann sie das sicher, aber kein Gerät erstellt so umständlich und komplex seine Regeln, zumindest wäre mir keines bekannt. Die Hybridrouter machen das an der Stelle auch so dass sie schlicht den Verbrauch messen bzw. abfragen können. Das kann die pfSense nicht. Zudem wäre Bandbreite messen ein sehr schlechter Wert - was sagt der aus außer dass er vllt. weniger wird? Damit wäre bspw. auch ein Abfall der Nennleistung was bei DSL immer mal wieder in Stoßzeiten vorkommt, ein Grund für Failover obwohl er vielleicht dann wieder vorbei ist. Dann die Frage, wann wird gemessen und wie oft… nein das ist vom Prinzip her zu fehleranfällig und zu sehr auf Pull-Prinzip ausgelegt. Und wenn ich alle 5-10min ne Bandbreitenmessung mache um zu detektieren ob ich umschwenken muss, macht das die Clients auch nicht happy wenn ständig die Leitung ausgelastet ist. Und wenn jemand gerade nen Download laufen hat, würde ggf. ein Failover kommen weil die Bandbreiten Messung nichts ergibt und der Download bricht ab. Sehr unpraktisch.

    Failover wie du es beschreibst und policy based routing sind dagegen kein Problem. Allerdings würde ich dann empfehlen, DSL als default zu konfigurieren (worüber dann VoIP läuft), damit hier auch bei */default das DSL Gateway genutzt wird. Alles weitere kann dann problemlos so eingestellt werden mit entsprechenden Regeln und Gateway Gruppen.

    Grüße


  • Moderator

    Also wenn die Router via privatem Netz vorgeschaltet sind, solltest du auf den WANs das Block Private Network unbedingt ausmachen. Ansonsten müssen die Router davor natürlich wissen, wo sie den Kram zurück senden sollen, also entweder muss dein LAN ausgehend für das Transfernetz 1&2 genattet werden oder du richtest auf der FB und dem Gigacube jeweils eine Route ein für dein internes Netz zurück auf die pfSense. Dann sollte es klappen :)