Internetzugang im Schiff u.a. mittels LANCOM 1781VA-4G

[OppiRolf]

Sehr geehrtes Forum,

im Rahmen eines "Nebenbei-Projektes" administrieren ich ein Projekt, welches an Bord eines Schiffes für eine Internetversorgung sorgt, sobald sich dieses in entsprechender Landnähe oder gar im Hafen befindet und SIM-Karten für einen regionalen Provider verfügbar sind. Eine - sehr viel sinnvollere - Satellitenlösung steht hierzu leider nicht zur Verfügung.

Da es sich bei dem Projekt um eine absolute Nebenaufgabe handelt und meine Erfahrungen/Praxis im Bereich Netzwerktechnik etwas in die Jahre gekommen sind, möchte ich gerne zu der ein oder anderen Problemstellung einige Fragen adressieren und hoffe, so die notwenigen Zaunpfähle einzukassieren um an den richtigen Stellen ggf. nachlesen und schließlich eine Lösung etablieren zu können.

Bevor ich auf einzelne Problemfelder eingehen möchte, möchte ich einmal die generelle Aufgabenstellung, den Ist-Stand und die geplante Zielstruktur darstellen.

Geplanter Funktionsrahmen des Projektes:
- Bereitstellen der üblichen LAN-Infrastruktur (Network-Storage, DHCP, DNS, Mailingsystem (WAN-Anbindung auf in See mittels SatCom (geringe Bandbreite))
- Internetzugangsknoten mittels 3G, 3,5G bis 4G
- Ggf. Loadbalancing über weitere LTE-Modems
- Accounting für bis zu 240 Benutzer gemischt auf Voucherbasis und zum Teil für Permanentuser welche allerdings auch eine Abrechnung bekommen
(weitere LAN-Infrastruktur WLAN-APs hier nicht weiter betrachtet)

Derzeitige Struktur:
- LAN-seitig (192er IPv4-Netz mit 22-Subnetmask) wird derzeit das Accounting über einen RPi (int NIC + USB-NIC) mit CoovaChilli und RadiusDesk realisiert der in ein Transfernetz routet
- anschließend folgt ein Transfernetz welches zum SEP (Ship Entry Point; ETH-1 am LANCOM 1781VA-4G)
- es gibt vier WAN-Verbindungen (1x via internes LTE-Modem im 1781VA-4G; 3x Netgear LB1110/LB1111 LTE-Modem an ETH2 (192.168.2.0/30), ETH3 (192.168.3.0/30) und ETH4 (192.168.4.0/30))
- Loadbalancing zwischen dem internen und den externen LTE-Modems via SEP (LANCOM 1781VA-4G)
- DNS-Server macht ein separater Windows-Server, da sich der LANCOM hinter dem RPi befindet und die Authentifizierung nur notwendig ist um Internetzugang zu erhalten. Der Zugang zum LAN/WLAN ist unbeschränkt.
- DHCP wird zurzeit vom RPi durchgeführt.

Zielstruktur:
- Die Anbindung der weiteren externen LTE-Modems soll physikalisch so bleiben
- Loadbalancing wie ertabliert
- Failover zwischen SIM1 und SIM2 des SEP
- DHCP + DNS via SEP
- Accounting und Zugangskontrolle zum Internet via SEP i.v.m. einem RADIUS (Voucher-fähig) auf einem abgesetztem Server im Schiff

Probleme
1) Ich erreiche zur Zeit die Web-Frontends der weiteren, externen LTE-Modems nicht (Ping auch nicht); Liegt es ab der IP-Konfig (private Netze)?
2) Loadbalancing funktioniert, solange alle Modems eine Internetverbindung haben (problematisch wenn ein Prepaidguthaben verbraucht ist)
3) Realisierung des Accounting wie in der Zielstruktur gewünscht fraglich (hier scheitert es schlicht an Know-how bzgl. RADIUS); Public Spot ist nicht finanzierbar
4) Failover zwischen SIM1 und SIM2 zu kompliziert (per Budgetberechnung ist es zu unzuverlässig; zudem sind je nach Ausland nicht immer die verfügbaren Datenvolumen pro Prepaidkarte bekannt; auch das händische resetten der Budgets ist zu aufwändig; hier müsste das System einfach (z.B. minütlich) zwischen den Slots toggeln bis wieder eine Karte eingelegt wurde, welche über Guthaben verfügt); Ist dies mittels Skripte möglich?

Das sind zur Zeit die großen Knackpunkte. Wobei Punk 1 der problematischste ist, da ich hier regelmäßig mit einem Laptop an den Einbauort der Technik auf die Brücke muss.

Über Anregungen und Tipps wäre ich sehr dankbar und verbleibe
mit freundlichen Grüßen,
Oppenländer

[Jirka]

Hallo Oppenländer,

1) Ich erreiche zur Zeit die Web-Frontends der weiteren, externen LTE-Modems nicht (Ping auch nicht); Liegt es ab der IP-Konfig (private Netze)?

na ja, wenn dann liegt es an der Konfig. Es muss auf alle Fälle eine Route (bzw. drei, für jedes LTE-Modem eine) geben, die für die IP-Adresse des LTE-Modem die entsprechende Gegenstelle als Ziel hat.

2) Loadbalancing funktioniert, solange alle Modems eine Internetverbindung haben (problematisch wenn ein Prepaidguthaben verbraucht ist)

Prepaidguthaben verbraucht = extrem reduzierte Bandbreite (z. B. 64 kbit/s)?

3) Realisierung des Accounting wie in der Zielstruktur gewünscht fraglich (hier scheitert es schlicht an Know-how bzgl. RADIUS); Public Spot ist nicht finanzierbar

Meinst Du jetzt die paar Euro für eine normale Public-Spot-Option? (Davon abgesehen, dass die ja nicht für 240 Leute reichen würde.)

4) Failover zwischen SIM1 und SIM2 zu kompliziert (per Budgetberechnung ist es zu unzuverlässig; zudem sind je nach Ausland nicht immer die verfügbaren Datenvolumen pro Prepaidkarte bekannt; auch das händische resetten der Budgets ist zu aufwändig; hier müsste das System einfach (z.B. minütlich) zwischen den Slots toggeln bis wieder eine Karte eingelegt wurde, welche über Guthaben verfügt); Ist dies mittels Skripte möglich?

Mit der Aktionstabelle kann man viel machen, ja. Es muss aber definiert werden können, wann eine Leitung als ok anzusehen ist.

Viele Grüße,
Jirka

[OppiRolf]

Guten abend!

Zunächst einmal, vielen Dank für die schnelle, erste Reaktion.

1) Ich erreiche zur Zeit die Web-Frontends der weiteren, externen LTE-Modems nicht (Ping auch nicht); Liegt es ab der IP-Konfig (private Netze)?

na ja, wenn dann liegt es an der Konfig. Es muss auf alle Fälle eine Route (bzw. drei, für jedes LTE-Modem eine) geben, die für die IP-Adresse des LTE-Modem die entsprechende Gegenstelle als Ziel hat.

Ja. Das dazu eine Route eingerichtet werden muss, weis ich. Das hatte ich auch gemacht. Allerdings ohne erfolg, was ich dann auch nicht nachvollziehen konnte.

2) Loadbalancing funktioniert, solange alle Modems eine Internetverbindung haben (problematisch wenn ein Prepaidguthaben verbraucht ist)

Prepaidguthaben verbraucht = extrem reduzierte Bandbreite (z. B. 64 kbit/s)?

Ich gehe davon aus, dass das genau so ist. Wirklich wissen tue ich es nicht. Direkt an einem Modem angeschlossen was zum Beispiel eine verbrauchte SIM-Karte eines türkischen Providers führt, bekomme ich auch nicht einmal mehr einen Ping raus. Ich denke, dass das Problem ist, dass der SEP an den ETH2 bis ETH4 einfach die funktionierende Verbindung zum Modem sieht und daher nicht merkt, dass darüber hinaus keine Verbindung zum Internet besteht. Zwar kann man die Leitung z.B. via Ping auf den angegeben DNS-Server überwachen lassen, aber erfolgreich eingerichtet habe ich das noch nicht.

Generell fällt mir auf, dass der LANCOM gerne mal einen Neustart haben möchte, wenn ich an der Routing/Loadbalancing-Tabelle etwas verändert habe (z.B. anderen Provider des internen Modems).

3) Realisierung des Accounting wie in der Zielstruktur gewünscht fraglich (hier scheitert es schlicht an Know-how bzgl. RADIUS); Public Spot ist nicht finanzierbar

Meinst Du jetzt die paar Euro für eine normale Public-Spot-Option? (Davon abgesehen, dass die ja nicht für 240 Leute reichen würde.)

Ja. 120,- € wären machbar. Aber das zehnfache nicht. Insbesondere weil wir im Grunde bereits eine Lösung betreiben die grundsätzlich funktioniert. Allerdings ist der CoovaChilli sehr Wartungsintensiv und auch fehlerbehaftet hinsichtlich Accounting. Hier übrlaufen gerne mal die Datenvolumengrenzen.

4) Failover zwischen SIM1 und SIM2 zu kompliziert (per Budgetberechnung ist es zu unzuverlässig; zudem sind je nach Ausland nicht immer die verfügbaren Datenvolumen pro Prepaidkarte bekannt; auch das händische resetten der Budgets ist zu aufwändig; hier müsste das System einfach (z.B. minütlich) zwischen den Slots toggeln bis wieder eine Karte eingelegt wurde, welche über Guthaben verfügt); Ist dies mittels Skripte möglich?

Mit der Aktionstabelle kann man viel machen, ja. Es muss aber definiert werden können, wann eine Leitung als ok anzusehen ist.

Guter Hinweis. Dann werde ich mich hier nochmal einlesen müssen.

Idealvorstellung wäre, dass eine beliebige, eingewiesene Person einfach an die Hardware geht sobald ein Guthaben verbraucht ist und die SIM-Karten durchtauscht. Hierzu müssen natürlich im Vorfeld die PINs deaktiviert worden sein. So lange immer wieder administrative Eingriffe notwendig sind, bindet es immer wieder einen engen Personenkreis der die Technik zur Betreuung aller pflegen muss.

Viele Grüße,
Oppi