2024-12-01 TELTONIKA TRB140 per IPSec an LANCOM-Router

Rack

Fernwartung auch im Normalbetrieb

Unter ⍈'2022-12-23 Mobilfunk-Backupleitung per TELTONIKA TRB140 an LANCOM-Router' hatte ich davon geschrieben einen LTE-Router als Backup zum Hauptinternetanschluss an einen LANCOM-Router anzubinden. Da nur im Backupfall eine Verbindung zum TRB140 aufgebaut wird (mindestens mit meinem Lösungsvorschlag), kann man im Normalfall nicht auf ihn zugreifen. Möchte man eine Einstellung ändern oder auch nur nach dem Rechten sehen, muss man sich per USB verbinden oder einen Backupfall herbei führen. Was natürlich doof ist. Also dieser Workaround: Das Gerät baut über seine eigenen Internetverbindung eine VPN-Verbindung zum LANCOM auf und ist darüber dann erreichbar.

Als erstes muss dem TRB140 eine zweite LAN-IP, in einem neuen Netz, gegeben werden. (Es geht darum einen Konflikt zu vermeiden, der auftreten wird wenn LAN und VPN auf ein gleiches Netz zeigen.) Unter dieser Adresse wird es dann, bei bestehender VPN-Verbindung, erreichbar sein. (Im Backupfall unter seiner normalen LAN-IP.)
Man würde intuitiv denken auf dem TELTONIKA unter 'Network > LAN' ein weiteres Interface hinzuzufügen. Davon rate ich ab. Nach dem hinzufügen eines weiteren Interfaces hat DHCP nicht mehr funktioniert. Mein Vorschlag, per SSH oder CLI einfach 'ifconfig eth0 192.168.140.1' eingeben. Damit das einen Neustart überlebt auch unter 'System > Maintenance > Custom Scripts' hinzufügen.

LANCOM Konfiguration:
LANCOM IKEv2 Verbindungs-Liste
CFG muss aus sein.

LANCOM IKEv2 Authentifizierung

LANCOM IPv4-Routing-Tabelle
(Wer nicht mit Routing-Tags arbeitet muss bei Routing-Tag natürlich 0 eintragen. Und selbstverständlich ist 192.168.140.0/24 nur ein Vorschlag.)

TELTONIKA Konfiguration:
TELTONIKA IPSec instance
'Remote endpoint' darf keinen AAAA-Record haben. [1] Workaround

TELTONIKA IPSec Connection settings Bei 'Remote subnet' das gewünschte lokale Netz vom LANCOM.

TELTONIKA IPSec Connection settings Advanced
Bei 'Advanced settings' Dead peer detection aktivieren. Der Rest kann auf Standard bleiben.

TELTONIKA IPSec Proposal Phase 1

TELTONIKA IPSec Proposal Phase 2
Vor der Firmware TRB1_R_00.07.11 konnte man noch 'AES256 GCM16' auswählen, mit 7.11 gab es leider eine Regression. Der Daemon startet mit der Option gar nicht mehr. Ebenso seit 7.11 startet der Dienst beim booten nicht mehr. Bzw. er wird gestartet, meldet "daemon.info ipsec: 10[IKE] unable to resolve example.com, initiate aborted" und beläßt es dabei. Was natürlich super schlau ist. Software reift beim Kunden.

Workaround dafür: TELTONIKA Startup script

sleep 5
ifconfig eth0 192.168.140.1
sleep 180
/etc/init.d/swanctl restart
exit 0

Wobei Workaround fast das falsch Wort ist. Besteht nach drei Minuten immer noch keine Internetverbindung scheitert es wieder. Ich lass das jetzt mal so und hoffe die fixen das in ihrer Firmware. Es lief in der Vergangenheit ja schon mal.

Wie dem auch sei. Jetzt ist das LTE-Modem unter 192.168.140.1 erreichbar. LANCOM VPN connected


[1] Update 2024-12-06:
 Man kann doch einen Tunnel mit IPv6 als Transportlayer verwenden. Wie meistens bei Interoperabilitätsproblemen zwischen LANCOM- und anderen IPSec-Implementierungen liegt es an MOBIKE. Man muss MOBIKE im TELTONIKA deaktivieren. Da es keine Schalter dafür im Web-GUI gibt muss man es per SSH oder CLI erledigen.

In der Datei /etc/config/ipsec den Abschnitt "config remote" um "option mobike '0'" erweitern.
# vi /etc/config/ipsec
...
config remote 'tunnel-name'
	...
	option mobike '0'
vi /etc/config/ipsec

Anschließend "/etc/init.d/swanctl restart" oder per Web-GUI das VPN aus und einschalten. Der Eintrag ist “stabil”. Überlebt also Reboots und Änderungen anderer Einstellungen per Webinterface.

LANmonitor

⎇Anscheinend wird LCOS 10.90 MOBIKE unterstützen.
Sollte dann der Workaround nicht mehr nötig sein, werde ich die Seite updaten.


⍈Homepage

#