ComputerBase Menü
Aktuelles

WAN2 Backup (LTE) für Firewall

M

Michi777

Commander
Registriert
Apr. 2009
Beiträge
2.228
Liebe Community!

wir möchten gerne bei einem etwaigen Internetausfall gewappnet sein und würden gerne via WAN2 Port auf der Firewall "Fortigate 60C" einen LTE-Modem anstecken und dafür konfigurieren.

Was braucht man dazu (man bedenke fixe IP, Group Policies und Exchange Mailabruf nach außen)?
Da wir Support bei Fortinet haben, kann mir da glücklicherweise ein Supportmitarbeiter per Fernwartung helfen.

Aktuell hätten wir einen LTE-Würfel von T-Mobile da.

Vielen Dank im Voraus!
 
Wir haben hier als WAN4 auch ein LTE-Modem, allerdings an einer Watchguard, nicht Fortinet, aber das sollte wohl ähnlich sein.

-Fixe IP über LTE habe ich schonmal gehört, glaube dafür braucht es die Zusatzoption Mobile-VPN bei der Telekom im Business-Tarif.
Warum brauchst du da eine fixe IP?

-Mailing: Wie ist das bei euch denn generell realisiert? Schickt euer Exchange die Mails direkt selbst raus oder über ein Relay im Netz?
Falls ihr die direkt rausschickt, dann brauchst du definitiv eine feste IP mit entsprechenden Reverse-DNS-Eintrag, sonst kann bzw. wird es sein, dass eure Mails von einem Großteil der Mailserver abgelehnt werden.

-Group-Policies:
Hast du da einen Sync an einen anderen Standort oder rollt ihr die übers Internet aus!?
 
Zuletzt bearbeitet:
Wenn ihr einen Supportvertrag mit Fortinet habt, warum fragst du dann nicht dort? Die sollten am ehesten wissen was ihre Geräte können und wie man es einrichtet?

Sofern du nicht wie Kriesenmanager schon erwähnte Dienste nutzt, die explizit eine feste IP erfordern - zB ein VPN-Tunnel, der auf fixer Quell- oder Ziel-IP basiert (Stichwort: Firewallregeln), ist es für das lokale Netzwerk prinzipiell unerheblich worüber der Router die Internetverbindung letztendlich schickt. Dem Browser ist es zB ziemlich egal, weil der TCP/IP Stack des OS den http(s) Verkehr einfach Richtung Router schickt und wie der das dann ins www bringt, ist sein Bier. Wie gesagt, VPNs, Mail-Server oder andere erweiterte Funktionen können IP-fixiert sein. Das kann man aus deiner äußerst knappen Beschreibung aber nicht herauslesen.

Grundsätzlich gilt: "Normale", ausgehende Verbindungen aus dem LAN ins Internet sind in der Regel unempfindlich gegenüber einem WAN-Failover. Im worst case bricht eben die Session ab, weil man plötzlich über eine andere IP reinkommt. Sofern das Gegenüber allerdings die dort eingehende Verbindung reglementiert (zB auf die Quell-IP beschränkt), ist Schicht im Schacht.

Auf deiner Seite eingehende Verbindungen stehen natürlich auf einem anderen Blatt. Sofern ihr zB ein VPN für HomeOffice habt, kann sich kein Heimarbeiter bei euch einwählen, wenn der Router ein Failover macht und WAN1 quasi tot ist. In dem Falle müsste der Router dann auch die identischen Portweitleitungen für WAN2 haben und ggfs das DDNS auf WAN2 umstellen.
 
Wir haben nun eine fixe IP von T-Mobile bekommen.
Auf der Firewall LoadBalancing (WAN2 wenn WAN1 inaktiv) und ich würde Virtual IP's für das Portforwarding definieren, dann sollte es bereits funktionieren.

Wir dachten dass dies mit dem Würfel funktioniert, jedoch muss ein LTE Modem\Router angeschafft werden, der Dinge wie NAT-Weiterleitung machen kann - da steigt der Würfel aus.


Technische Anforderung\Szenario:
Wir haben einen Exchange Mailserver und der muss die Mails von außen auch empfangen können und hinter der Domäne mail.domäne.at steht unsere WAN1 IP (VDSL).
…sollte dieses offline sein verweist der DNS Eintrag mit niedrigerer Prioriutät auf die WAN2 IP (LTE)

Dort sollten die Anfrage dann zum WAN 2 Port der Firewall (Fortigate 60C) weitergeleitet werden und dort greift dann Virtual IP & Group Policy um die Route zum internen Mailserver zu leiten.
…nehme an dass die meisten Modem\Router das können, nur der simple Standard LTE-Würfel nicht, bin mir aber nicht sicher und möchte keinen Fehlkauf machen.
Ist es so zu verstehen dass der LTE-Würfel gar kein NAT kann und ich einfach einen brauche der NAT kann?

Welches Modem\Router wäre hier zu empfehlen (guter Preis & einfache Handhabung)?
https://www.cyberport.at/?DEEP=5604-12W&APID=66
https://www.cyberport.at/avm-fritz-box-6820-wlan-n-router-lte-modem-weiss-5618-178_152.html

Vielen Dank im Voraus!
 
Zuletzt bearbeitet:
Ich kenne den 'LTE-Würfel' nicht, aber eigentlich muss jeder Router NAT können, weil er ja nicht nur das Internet lokal "verteilt" sondern eben auch das WAN vom LAN trennt, per Firewall und NAT. Komplett ohne Firewall/ NAT wären alle deine Geräte im Netzwerk voll aus dem Providernetzwerk erreichbar, wenn dort die Routen entsprechend gesetzt sind...



Da du keine genaue Typenbezeichnung des Lte Routers nennst, kann ich dir auch nicht im Detail helfen. Irgendwo im Webinterface wird aber zu 100% auch NAT zu finden sein. Schau mal in den Kategorien Firewall, NAT, Services, Virtual Servers,, Ports oder was auch immer. Sei kreativ und klicke dich durch alle Menüs durch oder schau ins Handbuch (am besten vorher ;))
 
Zuletzt bearbeitet:
Wir haben die T-Mobile Office Net Box Neu - http://businessshop.t-mobile.at/product/mobiles-internet/office-net-box-neu-2397

Ist das Stichwort "Bridge Modus", welchen die Tmobile Modems nicht können?
Dann wäre die Lösung wie folgt zu realisieren:
Neues LTE Modem bestellen, SIM rein, speziellen APN Name eingeben und dann als Bridgemodus laufen lassen.

Netgear mit Extra Außenantennen oder Fritzbox?
https://www.cyberport.at/netgear-lb1111-4g-lte-modem-mit-1x-gbe-poe-2x-ts9-5602-273_163.html
https://www.cyberport.at/avm-fritz-box-6820-wlan-n-router-lte-modem-weiss-5618-178_152.html

Richtig?
 
Zuletzt bearbeitet:
Also was ich so spontan ergoogelt habe ist, dass die Home Net Box (nicht die "Neu") ein Huawei E5170 ist. Bei dem versteckt sich das Port Forwarding unter "Virtuelle Server". Zu der Box "Neu" kann ich auf die Schnelle nix finden, "neu" ist ein undankbarer Suchbegriff :-/

Schau mal ins Handbuch oder wende dich direkt an den T-Support. Wenn der normale Support dir nicht helfen kann, musst du eben darum bitten, dass man dich in die Technik durchstellt. Die müssten dann auch wissen ob das mit der "Neu" Box geht und wenn ja wie.
 
@Raijin:
T-Mobile Technik bestätigte dass es keinen Bridgemodus kann und dafür ein offenes Modem notwendig ist.
 
Der Bridgemodus ist nicht notwendig, um Ports weiterzuleiten. Sonst hätten wir alle hier daheim 2 Geräte am Internetkabel, "Bridgerouter" aka Modem + Netzwerkrouter.

Jeder Router kann NAT, sonst kann er seine Aufgabe schlicht und ergreifend nicht erfüllen. Der Bridgemodus ist nur dann notwendig, wenn man den Modem-Router (sei es LTE, DSL oder Kabel) effektiv nur als Modem nutzen will und die Routing-Aufgaben durch einen weiteren Router dahinter realisieren will. Bisher sehe ich nicht, dass man den Bridgemodus überhaupt braucht, da zumindest die "Home Net Box" bzw. das Huawei e5170, das da drinsteckt, Portweiterleitungen kann. Zur "Home Net Box Neu" konnte ich gestern keine eindeutigen Infos finden, weil "neu" wie gesagt ein denkbar schlechtes Suchwort ist :-/

Generelle Empfehlung meinerseits: Wenn du dich mit Foren, Fachleuten und Supportmitarbeitern auseinandersetzt, beschreibe dein Ziel, nicht deine vermutete Lösung. Für mich klingt das nämlich so als wenn du am Supporttelefon explizit nach dem Bridgemodus gefragt hast und eben nicht nach Portweiterleitungen. Das ist gemeinhin auch als XY Problem bekannt.
 
Ein Technikerfreund und der T-Mobile Support sagten, dass ich für das genannte Beispiel wohl den Bridgemodus brauche:
Wir haben einen Exchange Mailserver und der muss die Mails von außen auch empfangen können und hinter der Domäne mail.domäne.at steht unsere WAN1 IP (VDSL).
…sollte dieses offline sein verweist der DNS Eintrag mit niedrigerer Priorität auf die WAN2 IP (LTE)

Weil dahinter unsere Firewall ist, die ja das Routing übernimmt könnte das stimmen, oder?
 
Nö, nicht zwingend. Wenn man zwei Router - ohne Bridgemodus - hintereinander klemmt, ist das im Prinzip eine Routerkaskade. Für den Modem-Router ist der nachgelagerte Netzwerkrouter einfach nur ein beliebiges Gerät im LAN. Portweiterleitungen im Modem-Router an den Netzwerkrouter werden einfach durchgereicht und was der Netzwerkrouter dann damit macht, ist sein Bier. Entweder er hat seinerseits eine Weiterleitung zB auf den Mailserver im eigentlichen LAN oder er bedient die Verbindung selbst (zB VPN-Server im Router).

Beispiel: In einem befreundeten Hotel habe ich vor kurzem das WLAN in ein Gast-Netzwerk verfrachtet. Beim ersten Test habe ich einfach hinter die Fritzbox einen EdgeRouter gehängt, der als normaler Internet-Router konfiguriert war. D.h. er hatte einen WAN-Port nebst Firewall und NAT. Portweiterleitung in der Fritzbox auf den EdgeRouter und dort eine Weiterleitung auf einen Raspberry PI und fertig war der VPN-Tunnel. Zwar hat man in dem Falle doppeltes NAT (1x in der Fritzbox + 1x im EdgeRouter), aber korrekt konfiguriert funktioniert das eindwandfrei.
Da das aber nur ein Test war, hab ich das Setup dann umgestellt und den EdgeRouter als normalen LAN-Router konfiguriert (kein WAN, kein NAT) und in der Fritzbox lediglich eine statische Route ins Gast-Netzwerk eingetragen, damit man von dort überhaupt surfen kann. Der EdgeRouter routet in dem Falle nur zwei LANs und weiß gar nicht woher das Internet kommt (LTE/DSL/Kabel). Einzig die Firewall ist aktiv, die den Zugriff der Gäste reglementiert. Ich hatte mich bewusst gegen eine Lösung über das Fritz-Gast-(W)LAN entschieden, da das Setup unabhängig vom Internetrouter sein sollte.

Du siehst, es gibt vielfältige Möglichkeiten wie man mehrere Router gleichzeitig betreiben kann. Der Bridgemodus ist nur dann sinvvoll bzw. notwendig, wenn man explizit den Modem-Router ausschließlich als Modem nutzen und die Routing-Funktionalität inkl. NAT und Firewall effektiv abschalen will, um sie von einem nachgelagerten zweiten Router übernehmen zu lassen.

Lange Rede, kurzer Sinn: So wie ich dich verstanden habe, gibt es die LTE-Box ja schon. Probier es doch einfach aus! Sollte das mit der Box wirklich nicht gehen, kannst du dir immer noch ein LTE-Modem oder einen anderen LTE-Router besorgen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
Synology Q&A 2021 Support für neuere AVM Modelle für Firewall Konfiguration
Antworten
1
Aufrufe
1.519
Synology_2
Synology_2
S
Hardware für Firewall + Hardware für VM-Host
2
Antworten
27
Aufrufe
6.479
steppi
S
2Stoned
  • Umfrage Umfrage
Welcher Hypervisor für Firewall + Desktop mit Kodi
Antworten
5
Aufrufe
1.714
nosti
nosti
Joe Dalton
Barebone für Firewall-Spielwiese
Antworten
16
Aufrufe
2.901
Joe Dalton
Joe Dalton
S
Hardware für Firewall
Antworten
5
Aufrufe
857
snaxilian
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz