Mobilfunk-Fallback

Mit Mikrotik ist es einfach ein Mobilfunk-Fallback, z. B. über LTE, aufzubauen.
Benötigt wird ein externes (USB)-LTE-Modem oder ein eingenes Gerät mit LTE-Modem.

Hier beschreibe ich die Variante mit einem dedizierten LTE-Router/Modem, dem „LtAP mini LTE kit“. Der Router besitzt eine 100 Mbps LAN-Schnittstelle, WLAN 2,4 GHz (b/g/n), kann über PoE (at/af und passives PoE), USB oder über ein externes Netzteil mit Strom versorgt werden. Er besitzt 2 Mini-SIM-Slots.

LTE-Modem

Nachdem der Router in das Mobilfunknetz eingebucht ist, stellt sich die Frage, wie er als Fallback angebunden wird. Ich gehe hier von einem weiteren Hauptrouter aus, an den das LTE-Fallback angeschlossen wird.

LTE-Modem eingebucht
LTE-Modem eingebucht
Passthrough oder Transfernetz

Man kann mit einem Transfernetz arbeiten, der LTE-Router ist dann DHCP-Server, NAT-Device und Gateway für den Hauptrouter

Man kann den Router auch direkt im gleichen Netzsegment/LAN wie den Hauptrouter platzieren

Dabei ist zu bedenken, wie man dem LTE-Router seinerseits Zugang zum Internet ermöglichen will. Er könnte über seine LTE-Verbindung gehen, aber schöner wäre es, wenn er im Normalbetrieb den Hauptrouter als Gateway nutzen würde. Mikrotik hat voreingestellt, dass LTE-Verbindungen standardmäßig mit einer Distance von 2 in der Route-Table eingetragen werden. So könnte der Hauptrouter mit einer Distance von 1 genutzt werde und nur wenn dieser ausfällt, würde der LTE-Router auf LTE wechseln.

Allerdings kann man darauf auch verzichten, weil der Hauptrouter ja seinerseits ein Failover machen sollte und im Fehlerfall der Weg:

LTE-Router -> Hauptrouter/NAT -> LTE-Router

sein sollte. Nur hier würde ein Routing-Loop entstehen, weil wieder der Hauptrouter das Gateway wäre. Ein Policy-based-Routing (PBR) ist notwendig um das zu lösen. Und hier stößt man (vermutlich) an eine Grenze, denn die kleinen LTE-Router sind dafür von der CPU her gar nicht ausgelegt (sei es das Routing oder das NAT/Connection-Tracking).

Aber es gibt die Möglichkeit das Gerät in einen Passthrough-Modus zu versetzten. Dann arbeitet es als Modem und nicht mehr als Router. Dies ist meines Erachtens der eleganteste Weg.

Wichtig: Dabei ist zu beachten, nutzt man das so OHNE dediziertes Management-Interface, ist der Router nicht mehr erreichbar!!

Aufbau des Konzepts: MGMT (VLAN1) und Passthrough (VLAN10)
Passthrough-Interface (VLAN10) wird im APN-Profil eingestellt

Es wird Linux/Mikrotik-üblich eine Bridge angelegt, darauf zwei VLANs, eines davon als „Passthrough-Interface“ und das Zweite für den Managmentzugriff. Außerdem ist man so auch sehr flexibel und kann den LTE-Router abgesetzt vom Hauptrouter platzieren – nur ein VLAN-Switch sollte in der Nähe sein.

WICHTIG: Die Bridge BR0 *muss* tagged auf dem Transfer-VLAN eingetragen sein!

Das Management-Interface ist gleichzeitig Standard-Gateway, es liegt kein Standard-Gateway auf dem LTE-Router an, die auf das LTE-Modem zeigt. Somit entsteht kein Routing-Loop:

LTE-Router -> Hauptrouter/NAT -> LTE-Modem

Es wird immer über den Hauptrouter gegangen, dieser erledigt z. B. das NAT und darüber geht es direkt zum LTE-Passthrough-Interface.

Hauptrouter

Auf dem Hauptrouter muss lediglich ein DHCP-Client auf dem gleichen Transfer-VLAN anliegen, auf dem das Passthrough-Interface liegt:

Dabei ist zu beachten, dass möglichst nur diese beiden Geräte (LTE-Router und Hauptrouter) in dem Transfer-VLAN sein sollten. Passthrough bindet normalerweise die erste MAC-Adresse die es „sieht“ als Passthrough-Device. Es ist zwar möglich, dies über eine administrativ festgelegte MAC-Adresse zu beeinflussen, aber im Grunde sollten auch nur diese beiden Geräte in dem VLAN sein.

Ab hier kann man nun alles was Mikrotik an Failover-Mechanismen bietet, nutzen.
Seinen es multiple DDNS-Updates, Policy-based-Routing, automatisches Failover, Sensing über rekursive aufgelöste Routen, usw… Hier wird darauf nicht weiter eingegangen, da es den Rahmen sprengen würde!

Das LTE-Fallback ist nun betriebsbereit.