Cisco IP SLA – default Route ändern – 3G/4G/LTE Failover

Dieses Beispiel soll zeigen wie man einen Cisco Router (in meinem Beispiel einen ISR1117 – C1100 Series) mit DSL und einem Mobile Failover konfiguriert. Ich verwende zwei VRF um eine VPN Konfiguration zu einem Office zu ermöglichen. Falls jemand keine VPN Verbindungen und somit auch keine VRF Konfiguration benötigt, kann man ja einfach die VRF Befehle weglassen.

Ausgangslage:
Cisco C1117-4PLTEEA Router
VDSL Anschluss (primäre Leitung über VDSL)
3G/4G/LTE SIM Karte (sekundäre Verbindung über Mobile)

VRF Konfiguration:
Ich benutze ein VRF für die Internet Verbindung und ein zweites VRF für die VPN Konfiguration. Alle Access Ports, DHCP Server usw. befinden sich im 2ten VRF.

Hier ein Beispiel für die VRF Konfiguration:


vrf definition CustomerInternal
rd 51873:5501
!
address-family ipv4
exit-address-family
!
vrf definition Internet
rd 24889:1
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family

Zuerst die VDSL Konfiguration:

Zuerst den ADSL/VDSL Controller in den korrekten Modus setzen. Hier in der Schweiz wäre das „vdsl2“. Danach wird ein Interface „Ethernet0/3/0“ erstellt. Das ATM Interface wird für VDSL nicht mehr benötigt und kann somit deaktiviert werden.
Das Ethernet0/3/0 Interface wird konfiguriert und auf einen PPP Dialer verwiesen. Dieser erhält dann die Zugangsdaten und die IP Adresse per PPP.

Hier die Befehle:

!
controller VDSL 0/3/0
operating mode vdsl2
!
interface ATM0/3/0
no ip address
shutdown
no atm enable-ilmi-trap
!
interface Ethernet0/3/0
description *** Et0/3/0 : Ethernet BuiltIn for VDSL ***
vrf forwarding Internet
no ip address
load-interval 30
no negotiation auto
ipv6 address dhcp
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer1
description *** DIALER1 : VDSL Dialer to Fixnet/DSL Provider ***
vrf forwarding Internet
ip address negotiated
encapsulation ppp
ip tcp adjust-mss 1452
load-interval 30
dialer pool 1
ipv6 address dhcp
ppp chap hostname "ppp username"
ppp chap password 0 "ppp password"
!

Die DSL Konfiguration sollte nun laufen und der Router eine Public IP erhalten haben. Dies kann man mit „sh ip int brief“ überprüfen.

Als nächstes nehmen wir uns der Mobile (3G,4G, LTE) Konfiguration an. Mein Tipp als erstes, nehmt eine SIM Karte ohne PIN. Die SIM Befehle zum freischalte, Code ändern, usw. sind folgende:

  • cellular 0/2/0 lte sim unlock
  • cellular 0/2/0 lte sim unblock
  • Falls die PIN 3 mal falsch eingegeben wurde.

    Das Cellular Interface habe ich wie folgt konfiguriert:
    – IP NAT outside nur wenn man über diese Verbindung per NAT ins Internet möchte.

    Das Interface erhält die IP per DHCP vom Provider (Sunrise, Swisscom…)

    Zuerst muss man ein Cellular LTE Profile erstellen. Diese Konfiguration ist mit „sh runn“ nicht ersichtlich. Meine Beispiel Konfiguration ist für eine Sunrise SIM Karte mit dem APN „internet“. Die APN Konfigurationen könnt ihr bei eurem Provider oder mittels einer Google-Suche sicherlich herausfinden.

    router#cellular 0/2/0 lte profile create 1 internet none ipv4

    evtl. das Default Profil vorher löschen. router#cellular 0/2/0 lte profile delete 1

    Dieses erstelle Profil muss man an den Controller binden „lte sim data-profile 1 attach-profile 1 slot 0“ und danach kann man das Cellular Interface konfigurieren. Damit der Router die Verbindung dann auch aufbaut wird ein „Watcher“ benötigt. Dieser überwacht ob man eine Verbindung zu eiener gewissen IP herstellen möchte und falls ja, dann öffnet er die Data-Connection. Ich überwache hier meine VPN Gateways. Falls man keine VPN Verbindungen hat, würde ich die DNS Adresse oder sonst eine, immer wieder verwendete IP Adresse überwachen. Falls nichts davon vorhanden ist kann man natürlich auch 0.0.0.0/0 konfigurieren.

    !
    controller Cellular 0/2/0
    lte sim data-profile 1 attach-profile 1 slot 0
    lte modem link-recovery disable
    !
    interface Cellular0/2/0
    vrf forwarding Internet
    ip address negotiated
    no ip unreachables
    no ip proxy-arp
    ip nat outside
    dialer in-band
    dialer idle-timeout 30
    dialer watch-group 2
    dialer-group 2
    ipv6 address dhcp
    ipv6 enable
    pulse-time 1
    !
    interface Cellular0/2/1
    no ip address
    shutdown
    !
    dialer watch-list 2 ip <255.255.255.0>
    dialer watch-list 2 delay route-check initial 60
    dialer watch-list 2 delay connect 1
    dialer-list 2 protocol ip permit

    Nun stehen beide Verbindungen, über DSL sowie über Mobile, zur Verfügung. Die Default-Route würde nun entscheiden, welcher Weg bevorzugt wird. Ich entschied mich für ein „IP SLA“ welches eine Bedingung prüft und dann eine Route installiert oder entfernt. In meinem Beispiel überwache ich die fixe IP Adresse meines DSL Anschlusses. Diese erhalte ich per PPP. So lange ich diese anpingen kann ist die Route 0.0.0.0 0.0.0.0 über den Dialer1 mit der Metric 10 aktiv. Wenn aber das DSL getrennt wird (Unterbruch, Kabelfehler, usw.) dann verliere ich die PPP Session und somit die IP Adresse. Somit wird die zweite Route über das Cellular Interface mit der Metric 20 aktiv.

    Mit dem IP SLA können natürlich auch andere IP Adressen oder auch mehrere angepingt werden. (1.1.1.1 oder 8.8.8.8 oder ein Router bei eurem Provider)


    !
    ip sla 1
    icmp-echo source-interface Dialer1
    vrf Internet
    threshold 2
    timeout 1000
    frequency 3
    !
    ip sla schedule 1 life forever start-time now
    !
    track 1 ip sla 1 reachability
    !
    ip route vrf Internet 0.0.0.0 0.0.0.0 Dialer1 10 track 1
    ip route vrf Internet 0.0.0.0 0.0.0.0 Cellular0/2/0 20
    !

    ——————————-

    Weiterführende Informationen:
    IP SLA: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipsla/configuration/15-mt/sla-15-mt-book/sla_icmp_echo.html
    Cellular Profile: https://www.cisco.com/c/en/us/td/docs/routers/access/1100/software/configuration/xe-16-7/cisco_1100_series_swcfg_xe_16_7_x/cisco_1100_series_swcfg_chapter_01011.html
    Grundkonfig Mobile https://protocoholic.wordpress.com/2018/05/29/configuring-cisco-c1111-4pltea-router-for-4g-3g-cellular-communication/

    L2TP VPN mit pfsense 2.3

    Mit der pfsense Version 2.3 wurde das anfällige PPTP VPN angeschafft. Deshalb erkläre ich hier kurz wie man ein neues VPN, welches mit Windows ohne Clientinstallation funktioniert, einrichten kann.

    Im Menu VPN auswählen und dann L2TP.

    l2tp_1

    Hier kann man die verschiedenen Adressen für die Verbindung eintragen. Am Besten verwendet man für die VPN Verbindung nicht verwendete Netze. (Hier im Beispiel haben wir ein internes LAN mit 192.168.60.0/24)

    Im Menu Users sollten dann auch noch die User erfasst werden.

    l2tp_2

    Damit der L2TP Server von aussen angesprochen werden kann, werden noch Firewall Regeln benötigt. Diese Rules sollten die Ports 500 und 1701 UDP öffnen.

    l2tp_3

    Fertig ist die Konfiguration auf der pfSense.

    Unter Windows sollte man folgende Einstellungen berücksichtigen:
    l2tp_win

    DialUp VPN Windows 7 nach Juniper SSG Firewall

    Habe kürzlich ein Dial-UP VPN zu einer Juniper SSG Firewall erstellen müssen und bin auf diese sehr gute Anleitung gestossen:

    Siehe: http://www.shrew.net/support/wiki/HowtoJuniperSsg

    Damit ist es wirklich sehr einfach ein VPN von einem Notebook, PC oder ähnlichem ohne fixe IP Adresse zu einem Juniper SSG Firewall (ehem. Netscreen) herzustellen. Den nötigen VPN Client stellt Juniper nicht mehr her. Juniper fand es gebe für Windows 7 genügend gute IPsec VPN Clients und stellt keine eigene Software mehr her. Der Schweizer Vertreter empfiehlt auch genau den Shrew VPN client: http://www.shrew.net/download

    Dazu eine Konfig Anleitung von mir etwas abgeändert: PDF – Juniper DialUP VPN