Geen internet? Stel failover wan in als back-up met 4G

Voor de gemiddelde PCM-lezer zal maar weinig vervelender zijn dan te ontdekken dat onverwacht de internetverbinding is uitgevallen. Stel dat iemand vlak voor een belangrijke deadline iets moet doorsturen. Gelukkig kun je op dit soort voorvallen voorbereid zijn: je definieert een zogenoemde ‘failover wan’. Dit is feitelijk een tweede internetaansluiting, die inactief blijft zolang je primaire internetaansluiting nog werkt, maar geactiveerd wordt zodra de primaire internetaansluiting het laat afweten. Daarvoor controleert je router continu de toestand van je hoofdinternetaansluiting.

Bedrijven leggen voor de zekerheid een tweede internetkabel aan van een andere provider, maar voor particulieren is dat wat duur. Gelukkig is er een eenvoudige oplossing, die meer dan voldoende is voor een incidentele uitval: gebruik het mobiele 4G-netwerk als secundaire internetaansluiting. Bij sommige internetabonnementen krijg je al een datasimkaart met een beperkt dataverbruik, bedoeld om in een tablet te steken. Met een usb- of mini-PCIe-modem kun je die simkaart ook in je router gebruiken, of je steekt de simkaart in een mifi-router met ethernetpoort die je op je router aansluit.

In deze masterclass gaan we dit realiseren met OPNsense, een opensource op FreeBSD gebaseerd besturingssysteem dat van een computer een firewall en router voor je thuisnetwerk maakt. Ben je er niet bekend mee? Je vindt hier meer informatie over OPNsense installeren.

We gaan ervan uit dat je al een werkende primaire internetaansluiting geconfigureerd hebt in OPNsense, door één ethernetpoort die op je modem is aangesloten tijdens de basisconfiguratie van OPNsense als wan-interface te definiëren. Een andere ethernetpoort van je OPNsense-machine is op de switch aangesloten waarmee de apparaten van je thuisnetwerk verbonden zijn, en is gedefinieerd als lan-interface.

4G-modem installeren

Eerst dien je een ondersteunde 4G-modem te hebben. Je raadpleegt het best de hardwareondersteuning van de door OPNsense gebruikte FreeBSD-release. In de documentatie van OPNsense geeft men de Huawei ME909u-521 en Sierra Wireless MC7304 miniPCIe-modems als voorbeeld, evenals het Huawei E220 usb-modem (voor 3G). We raden aan om geen aankoop te doen voordat je zeker weet dat het modem door FreeBSD of OPNsense ondersteund wordt, maar soms vraagt het wat experimenteerwerk. Wellicht heb je nog een 3G- of 4G-modem liggen, probeer dat dan zeker eens uit.

De zoektocht naar een ondersteund 4G-modem liep bij ons niet van een leien dakje. De documentatie en ervaringen op de fora van OPNsense, pfSense en FreeBSD bleken niet heel behulpzaam. Daarom leggen we in dit artikel uitgebreid uit hoe je de verschillende typen 4G-modems installeert, zodat je altijd een leidraad hebt, welk modem je ook koopt. Ter info: wij hebben zonder succes een Option Globetrotter HSDPA-modem (een oud 3.5G-modem) en een Huawei E3372h-modem geprobeerd (de documentatie van pfSense gaf aan dat die laatste moest werken). De E3372h hebben we ook met E3372s-firmware geflasht (waarbij je de behuizing moet openbreken en je de garantie verliest!). Dat had volgens de documentatie van pfSense ook moeten werken, maar bij ons niet.

Uiteindelijk hebben we de suggestie van iemand op het OPNsense-forum gevolgd en een Netgear LB2120 4G-router gekocht. Drie keer zo duur dan de Huawei E3372h, maar dit modem werkt. Nu dien je het 4G-modem te installeren. Is het een PCIe-modem en beschikt je OPNsense-machine over een PCIe-slot, dan is dat eenvoudig. Vergeet niet de meegeleverde antenne aan te sluiten én je simkaart in het modem te steken.

Usb-modem installeren

Voor een usb-modem is het vaak wat omslachtiger. Veel van deze modems doen zich namelijk als een usb-opslagapparaat voor, waarop je drivers vindt. Voor Windows-gebruikers is dat misschien behulpzaam, maar niet voor FreeBSD, waarvoor die drivers natuurlijk nutteloos zijn. OPNsense raakt daardoor van slag. Gelukkig bestaat er een programma dat je modem kan omschakelen zodat, die zich niet meer als opslagapparaat voordoet: usb_modeswitch. Log via ssh in als root op de OPNsense-machine en kies dan 8 voor een shell. Installeer het programma met:

pkg install usb_modeswitch

Bevestig de installatie. Dan komt nu wat opzoekwerk. Bekijk eerst de eigenschappen van je usb-modem met de opdracht:

usbconfig dump_device_desc

Noteer de hexadecimale getallen bij idVendor en idProduct van je modem. Zoek dan in de directory /usr/local/share/usb_modeswitch/ naar een bestand met de naam idVendor:idProduct (met de getallen die je vond). Dit bestand bevat de configuratie voor je modem.

Voer dan usb_modeswitch uit met na -v het idVendor en na -p het idProduct. Daarna -W voor meer uitvoer, -s om het aantal seconden op te geven dat we wachten en -c voor de locatie van het configuratiebestand. Dat ziet er dan als volgt uit:

usb_modeswitch -v 12d1 -p 1f01 -W -s 5 -c 

/usr/local/share/usb_modeswitch/12d1:1f01

Als alles goed gaat, wordt je modem daarna als modem herkend.

Deze opdracht dien je overigens elke keer je de modem uit de usb-poort haalt en daarna weer aansluit opnieuw uit te voeren, evenals wanneer je je router herstart. Dat laatste kunnen we gelukkig gemakkelijk automatiseren door een zogenoemde ‘hook’ in te stellen die bovenstaande usb_modeswitch-opdracht automatisch opstart vlak voor het netwerk wordt opgestart:

echo "#\!/bin/sh" > /usr/local/etc/rc.syshook.d/early/30-4g-modem

echo "usb_modeswitch -v 12d1 -p 1f01 -W -s 5 -c /usr/local/share/usb_modeswitch/12d1:1f01" >>

/usr/local/etc/rc.syshook.d/early/30-4g-modem

chmod +x /usr/local/etc/rc.syshook.d/early/30-4g-modem

Ethernet en PPP

Er zijn twee soorten 4G-usb-modems. Eén type doet zich voor als een ethernetapparaat, het andere type beschrijven we verderop. Na de omschakeling van de modus zie je dan ook in de uitvoer van dmesg een mac-adres, zoals:

ue0: Ethernet address: 0c:5b:8f:27:9a:64

De aanduiding ue0 is de ethernetinterface. Om op deze interface via dhcp een ip-adres te krijgen en toegang tot het mobiele netwerk te krijgen via de simkaart die je in het modem steekt, dien je het modem eerst te configureren. Dat gaat doorgaans het gemakkelijkste als je het modem even op je laptop aansluit. Bezoek dan het adres http://192.168.8.1 in je browser en configureer je mobiele netwerk: vul het APN, je gebruikersnaam en je wachtwoord in die je van je mobiele provider gekregen hebt.

Open daarna in de webinterface van OPNsense het menu Interfaces / Assignments en klik op het uitklapmenu naast New interface. Kies de interface van je 4G-modem (in ons geval ue0) en klik op het plusteken rechts om de interface toe te voegen. Deze krijgt de naam OPT1. Klik links op Interfaces / OPT1 en vink Enable interface aan. Pas de beschrijving aan, bijvoorbeeld WAN4G, kies bij IPv4 Configuration Type voor DHCP en bij IPv6 Configuration Type voor DHCPv6 en klik op Save en daarna Apply changes. Als alles goed gaat, zou je nu in je dashboard de interface WAN4G moeten zien met een ip-adres zoals 192.168.8.100.

Het andere soort 4G-modem verschijnt in OPNsense wel echt als modem. Dan dien je het modem te configureren in Interfaces / Point-to-Point / Devices. Klik rechtsboven op Add, laat het Link Type op PPP staan, kies bij Link interface(s) de interface van je modem uit de lijst (meestal iets als /dev/cuaU0.0) en kies dan je land, provider en tariefplan, zodat OPNsense de juiste instellingen kiest.

Daarna vul je een (optionele) gebruikersnaam en wachtwoord in en het Access Point Name (APN). Deze waardes heb je van je mobiele-internetprovider gekregen. Bij Phone Number dient *99# te staan. Een deel van deze waardes zijn al correct ingevuld als je het correcte plan uit de lijst gekozen hebt. Als je de pincode van je simkaart of andere geavanceerde opties wilt instellen, klik dan onderaan op Show advanced options. Klik tot slot op Save om de instellingen voor je 4G-modem op te slaan.

Netgear LB2120 / 4G-router

Een andere optie is dat je een mifi-router met ethernetpoort of een 4G-router op een vrije ethernetpoort van je OPNsense-machine aansluit. Overigens hoeft het internet niet per se via 4G binnen te komen: deze aanpak kun je ook gebruiken met een modem van een tweede provider die via een andere kabel internet krijgt. Dat maakt allemaal niet uit, zolang je maar via een ethernetpoort toegang tot de internetaansluiting krijgt.

We tonen hier hoe dat gaat met de Netgear LB2120. Steek de simkaart in het micro-simkaartslot aan de onderkant, sluit de lan-poort aan op een ethernetpoort van je pc en start het modem op. Het modem deelt via dhcp een ip-adres uit aan je computer. Ga naar http://192.168.5.1, log in met het standaardwachtwoord dat onder op je modem vermeld staat en stel je APN in. Klik dan links op Connect om met het mobiele netwerk te verbinden. Daarna krijg je de sterkte van het signaal te zien aan de hand van de leds boven op je modem.

Je hebt nu een router die internet via 4G heeft. Die kun je op twee manieren op je OPNsense-machine aansluiten. Bij de eerste manier krijgt je router (zoals je ook al tijdens de configuratie van de 4G-router zag) via dhcp een ip-adres via de ethernetpoort van je OPNsense-machine. Volg dan de instructies hierboven over de instellingen in Interfaces / Assignments en kies igb2 als interface.

Bridge

De tweede manier van aansluiten is om het 4G-modem in bridgemodus in te stellen. Dan werkt het 4G-modem niet meer als router, doet geen network address translation en deelt ook geen ip-adressen uit via dhcp. Het ip-adres dat je 4G-modem van je mobiele provider krijgt, wordt rechtstreeks toegekend aan een interface van je OPNsense-machine. Dit is vanuit het standpunt van netwerkbeheer minder complex, omdat je een vertaalslag minder hebt.

Zet eerst je 4G-modem op bridgemodus. Bij het Netgear LB2120-modem gaat dat in Settings / Advanced / LAN, waar je bij Operation Modes de optie Bridge aanvinkt. Na een herstart van het modem merk je dat het ip-adres van je pc niet meer in het adresbereik 192.168.5.x ligt, maar in het bereik van het mobiele netwerk. De interface van je modem is overigens nog altijd bereikbaar via het adres http://192.168.5.1. Werkt dit alles, schakel je modem dan uit en sluit hem op een vrije ethernetpoort van je OPNsense-machine aan.

Nadat de modem opgestart is, creëer je in de webinterface van OPNsense een interface, net zoals dat in de instructies hierboven staat, maar dan met de interface igb2. Als alles goed gaat, krijg je (eventueel na een herstart van je 4G-modem) een publiek ip-adres toegekend aan de interface. Verifieer dat in het dashboard van OPNsense of in Interfaces / Overview.

Monitor ip-adressen

We hebben aan al deze voorbereiding zoveel tijd besteed omdat dit het deel was waar je veel mogelijkheden hebt en waar ook heel veel mis kan gaan. Maar als je tot hier de instructies met succes hebt gevolgd, dan heb je nu twee gateways met een werkende internetverbinding: de ene is je standaardgateway, die aan je thuisnetwerk internet aanbiedt via de vaste internetaansluiting van je provider; de andere is de gateway van het mobiele netwerk.

Deze gateways krijg je ook te zien in System / Gateways / Single, met in de kolom Status of de gateways online zijn of niet. Maak je gebruik van IPv6, dan zie je meer dan twee gateways. Klik nu op het potloodicoontje van je standaardgateway. Vink de optie Disable Gateway Monitoring uit en vul bij Monitor IP een ip-adres in dat altijd online zou moeten zijn, zoal 8.8.8.8 van Google. Verifieer dat Mark Gateway as Down zeker niet aangevinkt staat en sla je wijzigingen op.

Doe nu hetzelfde voor de gateway van je 4G-verbinding, verifieer deze keer ook dat Default Gateway zeker niet aangevinkt is (want dat houden we voor onze primaire verbinding) en vul als Monitor IP bijvoorbeeld 8.8.4.4 in. Sla je wijzigingen op. Na een druk op Apply changes krijg je de status van je gateways te zien. Als de vertraging (‘latency’) van je 4G-netwerk bijvoorbeeld hoog ligt, krijg je in de kolom Status een waarschuwing in het oranje. Zodra OPNsense het gemonitorde ip-adres niet meer kan bereiken via een gateway, komt in deze kolom bij de gateway in het rood Offline te staan.

Gatewaygroep maken en dns instellen

Dan maken we nu een gatewaygroep waaraan we beide twee gateways toekennen. Klik daarvoor op System / Gateways / Group en dan rechtsboven op het plusteken. Geef de groep een naam, bijvoorbeeld WANGWGROUP. Bij je primaire gateway kies je Tier 1 en bij je secundaire Tier 2.

Bij Trigger Level kies je op basis van welke voorwaarde een gateway niet meer gebruikt wordt. Member Down betekent 100% pakketverlies; andere opties zijn Packet Loss, High Latency en Packet Loss or High Latency. Geef je groep eventueel een omschrijving en sla je wijzigingen op. Klik daarna op Apply changes.

Nu moet je voor elke gateway minstens één dns-server instellen. Vul bijvoorbeeld in System / Settings / General onder Networking twee dns-servers in, en kies de gateway waarvoor de dns-server geldt in de kolom Use gateway.

Een andere optie is dat je Unbound inschakelt en in Services / Unbound DNS / General op Show advanced options klikt en in het tekstveld Custom options de configuratie van je dns-servers zet. Zie daarvoor ons eerste artikel over OPNSense. Belangrijk is dat je altijd toegang tot een dns-server hebt, via welke gateway je ook op internet gaat.

Netwerkverkeer naar buiten

Nu moeten we er nog voor zorgen dat het netwerkverkeer dat van het interne netwerk naar je router komt en naar buiten wil, dat via de gatewaygroep doet in plaats van alleen via de standaardgateway. Daarvoor maken we gebruik van de firewall: open Firewall / Rules / LAN. Standaard heeft OPNsense een regel Default allow LAN to any rule. Klik op het potloodicoontje ernaast om de regel te bewerken en stel onderaan bij Gateway de naam van je gatewaygroep in (WANGWGROUP in ons voorbeeld). Sla je wijziging op en vergeet ze niet toe te passen met een klik op Apply changes. Het best schakel je ook in Firewall / Settings / Advanced de optie Use sticky connections uit.

Er is nog één probleem: als je de OPNsense-machine zelf als dns-server gebruikt, wordt het verkeer van de lan-clients naar de OPNsense-machine door bovenstaande firewallregel ook naar de gatewaygroep gestuurd, en dat is niet de bedoeling. Voeg dus in Firewall / Rules / LAN met een klik op Add bovenaan rechts een nieuwe firewallregel toe.

Bij Action laat je Pass staan, bij Protocol kies je TCP/UDP en Source laat je op any staan. Bij Destination kies je This Firewall en bij Destination port range van DNS naar DNS. Bij Category vul je DNS in en bij Description een beschrijving als Local DNS als geheugensteuntje voor als je later niet meer weet waarvoor je deze regel toegevoegd hebt. Gateway laat je op default staan. Sla je wijzigingen op.

Je zojuist toegevoegde firewallregel staat nu helemaal onderaan en wordt dus gewoon niet gebruikt, want de regels worden van boven naar onderen geëvalueerd en onze Default allow LAN to any rule is algemener dan onze dns-regel. Vink je dns-regel dus aan en klik dan rechts naast Default allow LAN to any rule op het pijltje naar links, waardoor de dns-regel vlak voor de lan-regel komt. Klik dan bovenaan rechts op Apply changes.

Als je van Unbound gebruikmaakt als dns-server dien je ook nog in System / Settings / General onderaan de optie Allow default gateway switching aan te vinken. Unbound stuurt zijn dns-aanvragen immers naar de standaardgateway door.

Testen!

En dan nu testen! Als je de netwerkkabel tussen je OPNsense-router en de modem van je vaste internetverbinding lostrekt, schakelt je router automatisch voor zijn gateway over naar je 4G-modem. En zodra je vaste internetverbinding weer in orde is, schakelt je router daar opnieuw naar over omdat je die als ‘Tier 1’ ingesteld hebt en je 4G-gateway als ‘Tier 2’.

Nu kun je nog bij elk van je gateways (in System / Gateways / Single) onder Advanced enkele parameters aanpassen, bijvoorbeeld de drempelwaardes voor de vertraging en pakketverlies. In combinatie met het Trigger Level van de gatewaygroep kun je zo bepalen wanneer er van gateway wordt overgeschakeld.