Manuelles Mobilfunk Backup für Site-2-Site?



  • Hallo Zusammen,

    ich habe zwei PFsense sites, nennen wir sie mal 'Mama' und 'Ich', die ich derzeit über ein OpenVPN site-2-site tunnel via DSL Verbindungen verbunden habe:

    Mama <--openvpn server--> <--DSL--> (INTERNET) <--DSL--> <--openvpn client--> Ich
    

    Auf der 'Ich' Seite kann ich selbst dafür sorgen, dass die DSL-Verbindung wieder hoch kommt wenn mal was schief geht.
    Auf 'Mama' Seite hab ich leider nicht-technisches Personal und einen SEHR langen Anfahrtsweg (mehrere Stunden).
    Es kam schon 1-2 mal vor, dass die DSL Verbindung auf Seite 'Mama' weg war und ich nicht debuggen konnte, woran es lag.
    Einmal musste nur das DSL-Modem durchgestartet werden, einmal musste der DSL-Anbieter den DSLAM-Port durchbooten.

    Ich habe jetzt auf 'Mama'-Seite einen UMTS-Router an die PFSense angeschlossen, auf einem separaten Interface.
    Leider lässt der UMTS-Anbieter von aussen keine Verbindungen auf offene Ports zu, so dass ich das OpenVPN-Server/Client-Konglomerat einmal umdrehen musste:

    Mama <--openvpn client --> <--UMTS--> (INTERNET) <--DSL--> <--openvpn server--> Ich
    

    Bei der oberen (DSL) site-2-site Verbindung habe ich auf beiden Seiten die Remote-Networks eingetragen, bei der unteren (UMTS) site-2-site bislang nichts.
    Über das Tunnel-Network komme ich zumindest per SSH an die jeweilige PFSense auf der Gegenseite, aber im Ernstfall müsste ich auch an das Remote-Lan ran.

    Automatisch möchte ich eigentlich nicht an Seite 'Mama' auf die UMTS-Verbindung umschalten, weil da nur beschränktes Datenvolumen vorhanden ist.

    Was macht man in so einem Fall am Besten? Ad-Hoc die Remote-Networks in die OpenVPN Verbindung eintragen? Was passiert dann wenn die DSL-OpenVPN-Verbindung wieder hoch kommt?
    Dann hätte ich doch zwei konfliktende Routen, oder?

    Oder gehe ich ganz falsch an das Problem? Gibt es bessere Lösungen?

    Beste Grüsse,

    SnakeZZ


  • LAYER 8 Moderator

    Oder gehe ich ganz falsch an das Problem? Gibt es bessere Lösungen?

    Nicht ganz falsch, aber vielleicht unpraktisch. Richte dir doch ein MultiWAN Gateway ein, Prio1 DSL, Prio2 UMTS. Wenn DSL down ist, greift ergo UMTS. Beim OpenVPN Client gibst du dann als Interface nicht mehr DSL oder so an, sondern das MultiWAN Gateway. Damit sollte dann genau das passieren, dass sich im DSL Fehlerfall das VPN via UMTS aufbaut und du debuggen kannst. Ergo nur noch ein OpenVPN Client Connect, und damit auch volle Routen wieder hergestellt.

    Gruß



  • Hallo JeGr,

    vielen Dank für deine Antwort. Ich möchte einfach vermeiden, dass mir das eine Gigabyte, was ich im UMTS-Vertrag inkludiert habe sofort wegbrennt… d.h. eigentlich möchte ich keinen Automatismus, sondern explizit eingreifen müssen bevor etwas über den UMTS-Router geht. Ist das mit MultiWAN Gateways irgendwie möglich?

    Beste Grüsse,

    SnakeZZ


  • LAYER 8 Moderator

    Nein, das würde automatisch greifen. "Eingreifen" kannst du da nicht, das macht auch kein Sinn, denn du kommst ja bei einem Down des DSL nicht mehr drauf. Wie willst du dann eingreifen und was umstellen?


Log in to reply