PfSense mit Telekom Hybrid



  • Ich habe seit einigen Tagen das Telekom Hybrid Paket, in dem die DSL Leitung mit zusätzlichem ungedrosselten LTE beschleunigt wird.
    Ich plane nun einen pfSense Router zwischen den Telekom Router und meinem Heimnetzwerk zu schalten.

    Jedoch möchte ich weiterhin einzelne Geräte von dem zusätlichem LTE auszuschließen können.
    Dies sollte am besten über zwei verschiedene Gateways am Zielgerät zu steuern sein.

    Meine Überlegung:

    die pfSense Box hat zwei Netzwerkschnittstellen
    WAN
    LAN

    +zwei Bridges, eine an jedem Interface
    OPT1 -> Bridge0 -> WAN
    OPT2 -> Bridge1 -> LAN

    WAN: 192.168.1.111 (LTE zulassen)
    OPT1: 192.168.1.112 (LTE gesperrt/Außnahmeregel im Telekom Router)

    LAN: 192.168.2.1/24
    OPT2: 192.168.2.2/24
    Beide im gleichen Subnet!

    Nun die eigentliche Frage:
    Der gesammte Traffic von LAN soll nur über WAN an die Telekom Box gelangen, und der gesammte Traffic von OPT2 nur über OPT1.

    Falls jemand eine bessere Idee hat, die umzusetzen würde ich mich ebenfalls freuen :)

    Vielen Dank im Voraus!
    Gruß
    Lucaber


  • LAYER 8 Moderator

    Hallo Lucaber,

    ich weiß nicht so genau was du mit den Bridges vor hast, aber im Normalfall hat das Teilnehmende Interface an der Bridge nicht noch eine eigene IP. Zusätzlich dann zwei IPs ins gleiche Subnetz zu legen, ist da schon fast ein Rezept für Desaster. Verstehe daher nicht wirklich, was du mit 4 Interfaces bauen willst, das erschließt sich mir nicht ganz, da du weiter oben auch ausführst, dass die pfSense Box nur 2 Schnittstellen hast. Wo nimmst du dann in deinem Beispiel 4 her mit OPT1 und 2?

    Deine Frage ist ja, wie man einzelne Geräte an Hand des Gateways einfach die Nutzung von LTE verbieten kann. Dazu stellt sich mir die Frage - da ich den Telekom Router nicht kenne - wie der das handhabt, dass er manches Mal den Boost via LTE einschaltet und manches Mal nicht. Wie wird das gelöst?

    Wenn dies an Hand der Absende Adresse abläuft, ist das ziemlich simpel: Du nutzt einfach WAN an der pfSense für ein Transfernetz zum Telekom-Router und definierst dort mehrere (virtuelle) IPs abgehend.
    Beispiel: WAN auf .111, VIP1 auf .112

    Dann definierst du von LAN -> WAN eine Advanced NAT Regel in die du einzelne IPs oder auch ein Alias mit mehreren IPs reinpacken kannst und sagst dieser NAT Regel, dass sie nicht WAN Interface als abgehende IP, sondern VIP1 nutzen soll.

    Resultat: deine boosted Geräte kommen via .111 beim Telko Router an und werden via LTE beschleunigt, die anderen per .112 und werden nicht beschleunigt.

    Sollte der Telko Router das aber anders handhaben (MAC o.ä.) muss man sich dann was anderes einfallen lassen :)
    Mit irgendwelchen seltsamen Bridges würde ich hier aber nicht hantieren, das verkompliziert das ganze nur IMHO unnötig.

    Grüße



  • Hallo,
    leider konnte ich mich erst jetzt wieder melden.
    Meinen Lösungsansatz sollte ich wohl wieder vergessen :).
    Im Webinterface die Telekom Routers lassen sich zwar IP Adressen festlegen, jedoch scheinen diese Intern in MAC Adressen umgewandelt zu werden, da angewannte Regeln auf beide IP Adressen angewannt werden.
    Somit bräuchte ich eine virtuelle ip mit eigener MAC Adresse.
    Wie
    Lässt sich dies Realisieren?

    Gruß
    lucaber



  • Da ich seit 1 Woche ebenfalls ein neuer, geplagter Hybrid-Besitzer bin, möchte ich einige Infos zu dem Thema hinzufügen:

    Der Speedport-Hybrid Router erfasst alle angeschlossenen Geräte mit der zugehörigen MAC-Adresse und fügt diese in einer internen Liste ("Heimnetzwerk") ein. Anschliessend können unter dem Menüpunkt

    Internet -> Internetverbindung -> "LTE deaktivieren oder Ausnahmen hinzufügen"

    Ausnahmeregeln definiert werden, nach folgenden Kriterien:

    • Geräte im LAN umleiten (anhand der MAC-Adresse aus der Liste des Heimnetzwerks)
    • Zieldomain umleiten
    • Ziel-IP Adresse umleiten
    • Ziel-IPv4-Adressbereich umleiten
    • Datenverkehr zu festem Zielport
    • Markierter IP-Verkehr (DiffServ)

    Die Quell-IP kann nicht als Kriterium herangezogen werden, so dass die Möglichkeit über einen zweiten WAN-Port mit anderer MAC-Adresse oder evtl. DiffServ (sofern pfSense dies beherrscht) verbleiben. Auf jedenfall finde ich die Lösungsmöglichkeit interessant, direkt an der pfSense entscheiden zu können, ob der Datenverkehr nur über DSL oder auch über den Hybrid-Tunnel laufen soll.

    Angenommen wir haben folgenden Aufbau:
    WAN1, WAN2, LAN. Die WAN-Ports haben unterschiedliche MAC-Adressen. Im Speedport wird die MAC-Adresse zu WAN1 als Ausnahme ("Gerät im LAN umleiten") deklariert, so dass dort nur die DSL-Leitung genutzt wird. Beide WAN-Ports werden am Speedport angeschlossen. In der pfsense definiert man ein neues Alias (z.B. DSLONLY) und legt per NAT-Rule fest, dass der Traffic dieser Gruppe über WAN1 geleitet werden soll. Als Default-Gateway ist der WAN2-Port eingerichtet. Würde dies so funktionieren?



  • Hallo michaeljk,

    @michaeljk:

    Angenommen wir haben folgenden Aufbau:
    WAN1, WAN2, LAN. Die WAN-Ports haben unterschiedliche MAC-Adressen. Im Speedport wird die MAC-Adresse zu WAN1 als Ausnahme ("Gerät im LAN umleiten") deklariert, so dass dort nur die DSL-Leitung genutzt wird. Beide WAN-Ports werden am Speedport angeschlossen. In der pfsense definiert man ein neues Alias (z.B. DSLONLY) und legt per NAT-Rule fest, dass der Traffic dieser Gruppe über WAN1 geleitet werden soll. Als Default-Gateway ist der WAN2-Port eingerichtet. Würde dies so funktionieren?

    Ja, das müsste eigentlich funktionieren. Ich habe das zwar mit pfSense nicht getestet, aber einen ähnlichen Aufbau mit einem anderen Router am laufen. Dieser hat zwei WAN-Interfaces mit zwei unterschiedlichen IP-Adressen (die beide am Speedport Hybrid hängen) und ein LAN-Interface. Für eine der beiden WAN-Adressen wurde eine LTE-Ausnahme erstellt und somit kann ich für beliebige IP-Adressen aus dem LAN direkt auf dem Router eine Ausnahme erstellen.

    Gruß,
    bjarne


Log in to reply