LTE-Failover für jede WatchGuard inkl. Cluster und LTE-Passthrough

Mobilfunk eignet sich spätestens seit LTE nicht nur als „Notlösung“ in schwach ausgebauten Regionen, sondern auch als performanter Failover ohne auf Kabelinfrastruktur angewiesen zu sein (Kupfer/Glas/Koax nutzt häufig die gleiche Gebäudeeinführung und dient daher nur bedingt als Ausfallsicherheit).

LTE bietet zudem die Möglichkeit einen Standort temporär anzubinden, welcher sich noch im Aufbau befindet (Schalttermin des Providers steht aus, Baumaßnahmen notwendig, etc.)

Labor-Umgebung:
WatchGuard T35-W (v12.5.7)
MikroTik LtAP mini (6.47.10)
Telekom SIM-Karte mit Datentarif

Ziel:
Anbindung der WatchGuard an das LTE-Netz und Terminierung der ext. IP direkt auf der WatchGuard.

Konfiguration MikroTik:
Den MikroTik via LAN an ein Notebook anschließen und mittels WinBox die Konfigurationsoberfläche öffnen:

Im Anschluss löschen wir die Konfiguration des MikroTik-Routers:

Der MikroTik-Router sollte nach dem Reboot nur noch via MAC erreichbar sein, welche automatisch von der WinBox gefunden wird:

Da wir im LTE-Passthrough-Modus den MikroTik hinter der WatchGuard nicht mehr via MAC administrieren können, behelfe ich mir mit zwei VLANs (es gibt mehrere Möglichkeiten, auf welche ich hier nicht weiter eingehen werde):

Um den MikroTik via IP erreichbar zu machen, binden wir im nächsten Schritt auf das VLAN 9 eine IP-Adresse (Bsp. 192.168.88.1/24):

Für das VLAN 9 wird noch ein DHCP-Server benötigt:

Aus Sicherheitsgründen sollten noch entsprechende Firewall-Policies erstellt und das System nach Best-Practice gehärtet werden (Anleitung für Admin-Kennwort enthalten):

Bevor die Konfiguration der WatchGuard vorgenommen wird, testen wir noch die LTE-Verbindung. Wir benötigen den passenden APN (Beispiel: Telekom „Test-APN“ mit dyn. IPv4 ohne Carrier-grade NAT), welchen wir im Anschluss dem LTE-Interface zuordnen:


Nach der Einwahl sollte der Reiter „Cellular“ in etwa so aussehen:

Ebenfalls sollte eine dynamisch IPv4 Adresse in der IP-Liste erscheinen:

Konfiguration WatchGuard:

Bei vielen Desktop-WatchGuards ist ein PoE Interface vorhanden, an welchem der MikroTik direkt mit Strom versorgt werden kann. Bei der T35-W wählen wir das Eth4 (PoE) Interface, konfigurieren es als VLAN und binden ein Tagged VLAN 8 und 9 (Zone External):

Damit die LTE-Strecke als Failover funktioniert, muss Sie im globalen Multi-WAN aktiviert werden. Das Konfigurations-Interface wählen wir bewusst ab:

Um den Status der Internetverbindung zu prüfen, sollten Sie mittels Link-Monitor externe IPs als Ping-Check konfigurieren (für mindestens alle am Multi-WAN/SD-WAN teilnehmenden Interfaces):

Im Anschluss sehen wir die externe IP des MikroTik Routers via DHCP auf der WatchGuard. Das Interface wird jetzt im globalen Multi-WAN verwendet und kann ebenfalls für BOVPN-Tunnel oder SDWAN genutzt werden:

Die Konfiguration mittels WinBox ist durch das LTE-Config VLAN 9 mittels IP-Adresse wieder gegeben.

Fazit
Bei der Konfiguration des LTE-Failovers via vorgelagertem MikroTik gilt es einiges zu beachten. Dieses Setup zeigt sich im Dauerbetrieb als sehr solide. Das Binden der ext. IP auf der WatchGuard erlaubt den Zugriff via Management-Server oder anderen Admin-Tools ohne Umwege. Die Router von MikroTik gibt es ebenfalls als 5G und Richtantenne. Durch das spritzwassergeschützte Gehäuse, PoE und integrierte Antennen ist die Platzierung außerhalb eines Serverraums denkbar einfach.

In unserem Blog finden Sie passend zum Thema auch den Artikel >> LTE in Kombination mit der Firebox.