Webserver hinter 5G Business Mobile Backup Modul

Gelöst

Hallo zusammen,

 

ich bin seit kurzem glücklicher Nutzer des neuen Tarifs Business DSL Start 250 mit einer DigiBox Smart 2 und mit dem 5G Business Mobile Backup Modul (ZyXEL-Gerät).

 

In der DigiBox läuft ein DynDNS, der die öffentlichen IPv4 und IPv6 weiter meldet. Außerdem eine Portfreigabe, so dass ich an den Webserver hinter der DigiBox komme. So lange ich über VDSL verbunden bin, läuft das alles prima.

 

Trenne ich VDSL, so dass über die ZyXEL-Box die Backup-Verbindung aufgebaut wird, stimmen natürlich die öffentlichen IPs der DigiBox nicht mehr. Die DigiBox „sieht“ aber die über Mobilfunk zugeteilten IPs nicht, weil sie von der ZyXEL-Box eine interne IP nach dem Muster 192.168.1.XXX zugeteilt bekommt und kann daher auch nix sinnvolles an den DynDNS weitergeben.

 

Frage an die Technik: gibt es eine Möglichkeit den Webserver auch über die Backup-Verbindung erreichbar zu machen?

1 AKZEPTIERTE LÖSUNG
Lösung

Besten Dank @Stephan-STR , das alles ist mir aber zu viel Gefrickel und ich hab weder Zeit noch Muße das auf Teufel komm raus alles durchzuprobieren.

Ich habe mittlerweile eine gänzlich andere Herangehensweise an mein ursprüngliches Problem gefunden, bei der ich weder NAT oder Portfreigaben oder öffentliche IP brauche: Cloudflare Tunnel.

Das werde ich demnächst umsetzen und dann kann Digibox und Zyxel machen, was sie wollen und können, einfach einen Internetzugang bieten. Den Rest macht Cloudflare.

Freundliche Grüße 

rjpms

Lösung in ursprünglichem Beitrag anzeigen  

Hallo @RJPMS 

 

hast Du zu Deinem Business Tarif für den Mobilfunk keine festen Adressen/Präfixe bekommen?

Nein, nicht dass ich wüsste...

Diese Backup Lösung ist ein Festnetzprodukt.

Der ist für eingehende Verbindungen nicht gemacht.


@RJPMS  schrieb: Frage an die Technik: gibt es eine Möglichkeit den Webserver auch über die Backup-Verbindung erreichbar zu machen?

Bei Mobilfunk bekommt man meist keine öffentliche IP. Daran scheitert dann der Zugriff aus dem Web. Man kann sich behelfen, wenn man einen anderen Node im Internet kontrolliert. Zu dem baut man vom Mobilfunkgerät aus einen VPN-Tunnel auf. Von einem beliebigen Standort aus kann man sich mit dem Tunnel verbinden und dann auch das Mobilfunkgerät erreichen. Du musst halt in deinem Fall sicherstellen, dass der Tunnel definitiv über Mobilfunk aufgebaut wird, oder mindestens bei Wegfall der Festnetzverbindung abgehend neu etabliert wird, so dass er dann automatisch via Mobilfunk läuft.

Hi @RJPMS,

 

Lösungsansatz: im Zyxel (LTE3301-PLUS?) den APN auf internet.t-d1.de ändern. Außerdem müssen die NAT und Firewall Einstellungen auf die andere WAN Verbindung eingerichtet werden, sowohl im Zyxel als auch in der Digitalisierungsbox.

 

Wenn es darum geht, den Webserver 100% verfügbar zu haben, würde ich aber dazu raten, ihn aus zu lagern, oder auf andere Produkte um zu steigen. Ist "nur" eine Backup Lösung und wie @Kugic schon sagte, es ist nicht für eingehende Verbindungen gemacht. Ist auch möglich, dass die DynDNS Funktion nie über die Backup Verbindung funktioniert.

 

Grüße

Hallo zusammen,

 

danke schonmal für die Antworten. Scheinbar geht das dann wirklich nicht, den Server auch über die Backup-Verbindung erreichbar zu machen. 

 

Extra einen weiteren Server als VPN-Gateway oder APN-Änderungen am ZyXEL sind keine Option für mich. Wenn sonst keiner Ideen hat, kann ich das Thema hier schließen.

 

Hallo @RJPMS 

abhängig davon, welchen DynDNS-Dienst Du nutzt, könnte es auch eine Möglichkeit geben, den WebServer zu erreichen, indem Du auf dem WebServer einen DynDNS-Client installierst. DynDNS z.B. hat so etwas im Angebot für Windows MAC und Linux.

 

https://help.dyn.com/update-clients/

 

Gruss -LERNI-

Hallo RJPMS

 

Es gibt bei einigen Mobilfunkanbietern öffentliche IP Adressen die aber meist explizit beauftragt werden müssen.

Ferner benötigt man ein 4G/5G Modem, oder einen Router der als Modem schaltbar ist (BridgeMode)

https://www.zyxel.com/de/de/products/mobile-broadband/4g-lte-a-indoor-router-lte3301-plus/specificat...

- ... z.B. ein ZTE MC801A ist auch als Modem schaltbar - habe ich mit meiner O2 Datacard erfolgreich getestet.

Dieses 4G/5G Modem wird dann per Ethernet an die Digibox angeschaltet, siehe hierzu https://www.telekom.de/hilfe/downloads/bedienungsanleitung-digitalisierungsbox-smart-2.pdf. im Abschnitt 11.2.2 WANoE Backup.

Dann ist im Backupfall auch die öffentliche IP des Mobilanschlusses auf dem Router und DynDNS sollte dann ebenfalls funktionieren.

 

Grüße Stephan

 

Hallo Stephan,

 

ein Gerätewechsel kommt für den 5G-Bereich nicht in Frage, weil die DigiBox und das ZyXEL nahtlos zusammenarbeiten, um die automatische Aktivierung der 5G-Backup-Leitung zu starten und auch um die automatische Entstörung im Backup-Fall einzuleiten. Hier wird der neue Tarif von mir näher erläutert:

 

Tarife mit Ausfallschutz | Deutsche Telekom

 

Trotzdem danke für die Mühe

Hallo RJPMS

 

ein Austausch der Hardware ist nicht notwendig, denn das Zyxel kann in den BridgeMode geschaltet werden.

Ebenso kann die Digibox MultiWAn / WAN Backup.

Ob das im Bridgemode mit der Benachrichtigungs-SMS funktioniert weiß ich nicht, sollte aber funktionieren.

Vielleicht einfach mal testen ?

 

Grüße und viel Erfolg

 

Hallo Stephan,

 

das klingt spannend und wäre einer Lösung bisher am nächsten.

 

Könnte das bitte mal jemand von den Telekom-Hilft-Teamies intern abklären, ob der Vorschlag von @Stephan-STR die Lösung ist? Kann ich die ZyXEL-Box mit meinem Tarif in den Bridge-Modus schalten und die automatische Backup-Verbindung und Entstörung funktioniert weiterhin?

 

Danke und Grüße

rjpms

Hallo zusammen,

 

bisher leider noch keine Antwort vom Telekom-Hilft-Team... Bitte um kurz Rückmeldung.

 

Danke und Grüße 

rjpms

 

Hallo RJPMS

ich bekomme übernächste Woche (10.7.) das Backupmodul von einem Telekommitarbeiter geliefert/montiert. Mal sehen was da geht - oder auch nicht. Ich werde berichten.

Bei mir wird allerdings keine Digibox sondern ein Lancom Router verwendet, das Prinzip sollte aber gleich sein Zwinkernd

 

Allen ein schönes Wochenende

Grüße

Hallo zusammen,

Die Kurzversion: Es funktioniert wie von mir beschrieben.

 

Der von mir verwendete Tarif ist: (Business DSL Tarife mit Ausfallschutz) Business DSL Pro 250, mit Business Mobile Backup Pro 5G .

Das 5G Modul ist ein Zyxel NR7302 das sich als Modem schalten läßt, in der Dokumentation heißt das "Cellular IP Passthrough" -  da wird NAT abgeschatet.

Es liegt dann wie gewünscht die öffentliche IP direkt am Router an. Ich habe testweise aus dem Internet eine VPN Verbindung auf den Router via 5G Modul getestet - hat funktioniert.

Also @RJPMS  - Dein Vorhaben sollte auf diesem Weg umsetzbar sein.

@Kugic- Deine Vermutung daß das Produkt nicht für eingehende Verbindungen gemacht sei sehe ich hiermit als widerlegt.

 

Ich wünsche viel Spaß und Erfolg bei der Umsetzung.

 

PS: Das Umschalten des Zyxel 5G Moduls in den Modembetrieb ist nicht Teil der Standardinstallationsvariante  - der Techniker vor Ort hatte das nicht auf dem Schirm, hat das aber nach Rückfrage bei der internen Technikhotline wie gewünscht umgestellt.

 

Grüße

Stephan

 

Hallo @Stephan-STR,

 

vielen Dank für die Klärung des Anliegens von @RJPMS und das Einstellen der Lösung.

 

@RJPMS Es tut mir leid, aber die Benachrichtigung über dein Anliegen ist erst mit der Antwort von Stephan-STR bei mir herausgekommen. Ich freue mich darüber, dass du einen Tipp in Richtung Lösung deiner Angelegenheit erhalten hast.

 

Viele Grüße

Kerstin

Hallo @RJPMS,

es ist nun schon ein Weilchen her daß der Lösungsweg aufgezeigt wurde.

Konntest Du das umsetzten oder gibt es dazu noch Fragen ?

Ansonsten kann die Anfrage als von mir gelöst betrachtet werden ?

 

Grüße

Stephan

Hallo zusammen,

 

und danke @Stephan-STR für den Lösungsvorschlag und das Ausprobieren.

Mit ist noch nicht ganz klar, welche Einstellungen in der DigiBox und im Zyxel geändert werden müssen. Kann das bitte jemand hier reinschreiben? Oder gehört das nicht hierher und ich muss dafür extra einen Techniker-Termin machen?

Wenn ich weiß, was ich tun muss gehe ich das gern an und gebe hier Feedback. Nur dieses Wochenende komme ich nicht dazu.

 

Freundliche Grüße 

rjpms

@RJPMS  schrieb:
Kann das bitte jemand hier reinschreiben? Oder gehört das nicht hierher und ich muss dafür extra einen Techniker-Termin machen?

Bei den Tarifen mit Ausfallschutz wird das Backup Modul vom Service installiert.

Hallo @RJPMS ,

es muß nur das Gerät von  Zyxel von Router- auf Modem-Betrieb umgestellt werden - BridgeMode. Siehe Hier bitte nochmals meinen Beitrag vom

11.07.2024 07:42

Zum Vorgehen:
- Du steckst das LAN-Verbindungskabel zwischen Digibox und Zyxel an der Digibox-Seite ab und verbindest es mit Deinem Rechner.
- Der Rechner bekommt von dem Zyxel eine IP zugewiesen. Du schreibst Dir die erhaltene Gatewayadresse auf (auch für später), das ist das Zyxel.
- Du loggst Dich per Browser auf dem Zyxel ein - Zugangsdaten stehen meist auf dem Gerät.
- Du schaust im Statusfenster des Zyxel ob das Gerät eine öffentliche IP hat - bei mir ist das so.
- Wenn dem so ist, dann fährst Du mit der weiteren Konfiguration fort, ansonsten ,  rufe beim Telekomsupport an und beauftrage eine öffentliche IP.
- Du schaltest das Gerät in den Bridgemode / "Cellular IP Passthrough" ,
- Du speicherst die Konfiguration.
- Du stellst die LAN-Verbindung zwischen DigiBox und Zyxel wieder her.
- Du machst einen Kaltstart vom Zyxel. (Strom weg und wieder Strom dran)
- Nach dem kompletten Neustart des Zyxels sollte an der "Backupschnittstelle" der DigiBox dann die öffentliche IP anliegen.
- Falls Zugriff auf das Webinterface des Zyxels aus Deinem Netz gewünscht ist, muss die Digibox einen entsprechenden Eintrag  bekommen. Dabei ist zu beachten daß der lokale IP-Adressbreich der Digibox unterschiedlich zu dem des Zyxels sein muss, sonst funktioniert es nicht ! Zieladresse ist die oben notierte Gatewayadresse.
...
 
Grüße
Stephan
 
PS.: Keiner weiß welches Zyxel Du tatsächlich hast. Wenn man Geräte aus dem lokalen Netzwerk für den Internetzugriff frei gibt sollte man sich auch mit den damit verbundenen Risiken vertraut machen.

Hallo @Jumpignon ,

die Anmerkung deckt sich mit meiner Erfahrung.

Das Umstellen von Router- auf Modembetrieb könnte vermutlich von der Telekom auch remote erfolgen.

Das kann so nicht funktionieren.

DynDNS als Alternative zu einer statischen IP funktioniert zwar bei Landline-Verbindungen (via DSL, Fibre, DOCSIS etc.), da dort dem Endgerät tatsächlich eine IPv4/IPv6-Adresse zugewiesen wird, die dann exklusiv von dem Endgerät genutzt wird. Damit lassen sich dann mit entsprechenden NAT-Einstellungen etc. interne Systeme von außen erreichbar machen. 

 

Bei einer Verbindung über 4G/5G etc. ist das so nicht möglich, da es kein echtes "End-to-End"-NAT gibt. Mobilfunk arbeitet so, dass an der Funkzelle dem Endgerät eine interne (meist im 10er-Bereich verortete) IP-Adresse zugewiesen wird (also ähnlich einem internen WLAN, nur mit höherer Reichweite und andere Übertragungsprotokollen). Damit findet quasi nur eine Mitnutzung einer IP-Adresse (eben der der Funkzelle) durch das Endgerät (Handy oder Mobilfunkrouter) statt während die eigentliche Device-IP im Internet nicht geroutet wird. Die Funkzelle ist damit quasi der Router, der dann das NAT ausführt. Und da dort keine Exposed-Hosts gesetzt werden bzw. Port-Forewarding nicht stattfindet ist das Thema durch.  By thy way tritt dieses Problem für IPv4-Adressen auch bei DSLite-DSLern auf, also wenn nur noch eine IPv6-Adresse zugewiesen und der IPv4-Stack dann mittels Port-Forewarding an einem externen Router aufgebrochen wird. 

 

Ergo: Es ist unmöglich, ohne weitere Mittel (Public-IP via VPN-Tunnel aus einem öffentlichen Rechenzentrum o.ä.) hinter einem Mobilfunk-Backup einen von außen erreichbaren Webserver zu betreiben. Somit fällt das dann bei einem Failover-Betrieb weg. Wer auf den permanenten Betrieb eines Web- oder Mailservers mit öffentlicher Erreichbarkeit angewiesen ist muss hier schon etwas mehr technischen Aufwand betreiben ODER diesen eben (was die professionellere Lösung wäre) in ein öffentliches Rechenzentrum auslagern. Damit würde dann auch der DynDNS-Frickel-Murks (sorry) wegfallen und auch anders gelagerte Probleme (SPAM-Filter reagieren auf derartige Dinge sehr empfindlich und verwerfen meistens alle eMails von so angebundenen Servern wegen abweichender PTR-Records der senden IP und dergleichen mehr).

 

 

 

Gelöschter Nutzer
@G3Networx  schrieb:
Ergo: Es ist unmöglich, ohne weitere Mittel (Public-IP via VPN-Tunnel aus einem öffentlichen Rechenzentrum o.ä.) hinter einem Mobilfunk-Backup einen von außen erreichbaren Webserver zu betreiben.

Das stimmt zumindest bei der Telekom nicht. Wenn man den passenden APN einträgt, erhält der Router eine öffentliche IPv4-Adresse, die auch von außen erreichbar ist. Das habe ich vor wenigen Wochen erst via LTE getestet. Den passenden APN habe ich im Moment leider nicht zur Hand.

Hallo @G3Networx 

Es ist richtig daß  man bei Standard Mobilfunkverbindungen eine  Adresse aus den privaten IP-Bereichen zugeordnet bekommt, ABER:

Bei der Backupverbindung wie sie der Themenstarter verwendet wird eine öffentliche IP zugewiesen. Dies habe ich weiter oben bestätigt, da auch ich ein solches Backupmodul habe - siehe bitte auch den Hinweis von @Gelöschter Nutzer . Ferner hatte ich weiter oben darauf hingewiesen daß es bei O2 ebenso die Möglichkeit gibt eine öffentliche IPv4 zu bekommen - gegen eine Einmalzahlung von 49,99€ - auch dies ist von mit getestet.

Ebenso erfolgreich getestet ist in beiden Szenarien der Aufbau eines VPN Tunnels von außen über eine solche Verbindung - siehe oben von mir.

 

Was der Themenstarter aus meiner Sicht nicht kommuniziert hat ist, welche Art von WEB Server er betreibt, also ob das eine Internetpräsenz darstellen soll, oder er z.B. irgendwelche Stati von internen Geräten via Webinterface im Zugriff haben möchte - für diesen Fall kann ein DYNDNS Ansatz durchaus die Anforderungen befriedigen.

 

Final hat der Themenstarter lediglich gefragt ob es technisch realisierbar ist eine öffentliche IP via Mobilfunkverbindung am Firewallrouter anliegen zu haben damit er auf einen dahinterliegenden Webserver zugreifen kann. Die Antwort ist eindeutig "Ja" - ergo ist seine Frage vollständig beantwortet.

Hallo zusammen,

 

nochmal vielen Dank  an @Stephan-STR für die detaillierte Antwort vom 11.07. Leider kam ich erst jetzt dazu, das alles mal gründlich durchzutesten. Folgendes Ergebnis:

Ich konnte den Zyxel in den IP-Passthrough-Modus versetzen und habe dann die externe IP des Zyxel tatsächlich als IP in der DigiBox 2 anliegen gehabt. Zugeteilt wurde mir eine IP nach dem Schema:

 

2.164.XXX.XXX

 

Über diese IP war es aber NICHT möglich eine OpenVPN-Verbindung von Extern zum VPN-Server (Port 1194) oder Webserver (Port 443) aufzubauen. Meines Wissens nach ist das aber keine private Adresse, sondern eine übers Internet routing fähige. Oder irre ich hier?

 

Zusätzlich hatte ich das Problem, dass im IP-Passthrough-Modus die Telefonie im Backupfall NICHT funktioniert hat. Das ist natürlich ein No-Go für mich.

 

Richtig vermutet hattest du schon, dass ich keinen großen Webauftritt, sondern lediglich Zugriff auf einen VPN-Server bzw. NAS-Webinterface nach außen freigebe (natürlich hinter einer Web Application Firewall). In sofern genügt mir DynDNS.

 

Was diesbezüglich leider ebenfalls nicht geht, ist, dass die DigiBox im Backup-Fall die öffentliche IP des Zyxel ans DynDNS überträgt.

 

Für mich ist das Experiment daher dann an dieser Stelle beendet mit dem Ergebnis, dass ich mein Vorhaben leider nicht umsetzen konnte wie geplant.

 

Abschließend nur eines noch: 

 

@Stephan-STR  schrieb:
- Falls Zugriff auf das Webinterface des Zyxels aus Deinem Netz gewünscht ist, muss die Digibox einen entsprechenden Eintrag  bekommen. Dabei ist zu beachten daß der lokale IP-Adressbreich der Digibox unterschiedlich zu dem des Zyxels sein muss, sonst funktioniert es nicht ! Zieladresse ist die oben notierte Gatewayadresse.

Was genau muss ich wo in der DigiBox eintragen, wenn die IP des Zyxel die 192.168.0.1 ist, um das Webinterface des Zyxel auch aus dem LAN der DigiBox zu erreichen?

 

Danke vorab und schönes WE allen

rjpms