Multi-IP (IP-Range) auf 5G SIM-Karte

Multi-IP (IP-Range) auf 5G SIM-Karte
Photo by Robert Stemler / Unsplash

Mehrere IP-Adressen zu nutzen, die vom Provider zugewiesen sind, klingt einfach – bis man versucht, dies im Mobilfunkbereich umzusetzen. Klassisch betrachtet läuft es so ab: Man hat ein Coax-Kabel, schließt das Modem vom ISP im Bridge-Modus an und kann die IPs über virtuelle IPs beispielsweise auf einer pfSense konfigurieren.

Doch im Mobilfunkbereich läuft das anders, und es hat mich fast um den Verstand gebracht. Nach einigen Gesprächen mit meinem ISP konnte ich schließlich klären, wie mein /28-Netz zu routen ist.

Der Ablauf

Nachdem einigem hin und her, schickte mir der ISP eine SIM-Karte und einen Brief mit den "relevanten" Informationen. Ich dachte mir: Das sollte einfach gehen. Also steckte ich die SIM-Karte in mein damaliges Zyxel Nebula NR7101, setzte den APN und erhielt die IP 1X.X.X.215. Dank Passthrough war diese IP auch direkt auf meiner pfSense sichtbar.

[Hier ein Auszug aus dem Brief mit den IPs und Ranges; weitere Infos zu Netzwerk und Routing waren nicht enthalten]:


Doch dann las ich weiter im Brief: Der ISP hatte im Schreiben angegeben, dass 9X.X.X.215 ebenfalls als Gateway genutzt werden sollte – dabei erhielt ich über DHCP die 9X.X.X.216 als Gateway zugewiesen. Interessant, dachte ich, und machte weiter.

Ich versuchte, einen zusätzlichen Gateway auf dem Netz einzurichten und virtuelle IP-Adressen zu erstellen, um das /28-Netzwerk nutzen zu können. Aber es funktionierte einfach nicht. Egal, was ich versuchte, es wollte einfach nicht laufen. In meiner Ratlosigkeit tauschte ich schließlich das Zyxel-Gerät gegen einen Teltonika RUTX50 OpenWRT 5G Router aus, um mehr Einstellungsmöglichkeiten zu haben.

Die Lösung: Statische Routen und Passthrough

Nach mehreren Telefonaten und Experimenten stellte sich heraus, dass das 8X.X.X.144/28-Netzwerk auf die 8X.X.X.216 geroutet wird (die nicht mal angegeben ist auf dem Brief), und zwar vom ISP aus. Damit meine pfSense die richtige Konfiguration erkannte, musste ich den RUTX50 auf Passthrough stellen, sodass die pfSense dann die 9X.X.X.215 via DHCP sehen konnte. Anschließend legte ich die IPs als virtuelle IPs auf der pfSense an und setzte eine statische Route, um sicherzustellen, dass der gesamte Traffic korrekt über 9X.X.X.216 läuft.

Statische Route und virtuelle IPs einrichten

Network Gateway Interface
8x.x.x.144/28 WAN_DHCP - 9XX.X.216 WAN

Detailliertes Beispiel: Einrichtung eines /28-Netzwerks im Mobilfunkbereich

Um den Prozess etwas greifbarer zu machen, beschreibe ich hier detailliert die Konfiguration meines /28-Netzwerks im Mobilfunkbereich, inklusive der spezifischen Schritte auf meiner pfSense. Falls du eine ähnliche Konstellation hast, könnte dir dieses Beispiel helfen, das Setup erfolgreich umzusetzen.

Netzwerkkonfiguration im Überblick

Der Provider hat mir zwei verschiedene Netzwerke bereitgestellt:

Netzwerk 1: /28-Netzwerk

  • Netzwerk-Adresse: 8X.X.X.144/28
  • Verwendbare IP-Adressen: 8X.X.X.146 bis 8X.X.X.158
  • Gateway: 8X.X.X.145
  • Subnetzmaske: 255.255.255.240

Netzwerk 2: Haupt-IP (direkt über DHCP zugewiesen)

  • IP-Adresse: 9X.X.X.215
  • Gateway: 9X.X.X.216
    (Dies ist eine Besonderheit bei Mobilfunkverbindungen, bei denen die IP-Adresse des Geräts gleichzeitig als Gateway fungiert.)

Ziel: Das /28-Netzwerk (8X.X.X.144/28) auf der pfSense so zu konfigurieren, dass die IP-Adressen als virtuelle IPs nutzbar sind und der gesamte Datenverkehr über die Haupt-IP 9X.X.X.215 geroutet wird.

Konfigurationsschritte auf der pfSense

Schritt 1: Router im Passthrough-Modus betreiben

Um sicherzustellen, dass die pfSense die Haupt-IP (9X.X.X.215) und das Gateway direkt erkennen kann, habe ich meinen Teltonika RUTX50 in den Passthrough-Modus versetzt. So wurde die 9X.X.X.215 über DHCP an das WAN-Interface der pfSense übergeben.

Hinweis: Dieser Modus ist wichtig, da nur so die pfSense die Haupt-IP direkt handhaben kann und alle Routen und Regeln darauf basieren können.

Schritt 2: Hinzufügen der virtuellen IPs auf der pfSense

Nun musste ich die IP-Adressen aus dem /28-Netzwerk als virtuelle IPs auf meiner pfSense hinzufügen, damit ich sie für verschiedene Dienste und Regeln nutzen kann. Hier die Schritte:

  1. Gehe in der pfSense zu Firewall > Virtual IPs.
  2. Füge jede IP-Adresse aus dem Bereich 8X.X.X.146 bis 8X.X.X.158 einzeln als IP Alias hinzu.
    • Typ: Wähle „IP Alias“.
    • Interface: Wähle das WAN-Interface.
    • Adresse: Trage die jeweilige IP-Adresse aus dem /28-Netzwerk ein.
  3. Speichere jede IP-Adresse einzeln, um sicherzustellen, dass die pfSense sie als virtuelle IPs verwalten kann.

Ergebnis: Diese IPs können jetzt spezifischen Diensten zugeordnet und als Ziel für NAT-Regeln genutzt werden.

Schritt 3: Statische Route einrichten

Damit die pfSense den gesamten Traffic für das /28-Netzwerk korrekt über die Haupt-IP 9X.X.X.215 routet, musste ich eine statische Route konfigurieren:

  1. Gehe zu System > Routing und öffne den Abschnitt „Statische Routen“.
  2. Wähle das Netzwerk 8X.X.X.144/28 und setze das Gateway auf die Haupt-IP 9X.X.X.215.
  3. Speichere die Konfiguration und überprüfe die Route, um sicherzustellen, dass der Traffic über die korrekte IP-Adresse geleitet wird.

Ergebnis: Der gesamte Datenverkehr für das /28-Netzwerk wird nun korrekt über das WAN-Interface mit der IP 9X.X.X.215 geführt.

Überprüfung und Feinschliff

Nach diesen Schritten habe ich die Konfiguration überprüft, um sicherzustellen, dass:

  1. Alle virtuellen IP-Adressen korrekt registriert sind und für den Datenverkehr bereitstehen.
  2. Der gesamte Traffic für das /28-Netzwerk über die Haupt-IP 9X.X.X.215 geroutet wird, wie in der statischen Route definiert.

Fazit

Nach der mühevollen Konfiguration funktionierte endlich alles. Es war eine interessante Erfahrung, die mich einiges an Nerven kostete. Mit etwas mehr Information vom Provider wäre das deutlich einfacher gewesen. Leider findet man im Internet zu diesem Thema kaum brauchbare Anleitungen, besonders wenn man nicht im Bereich Mobilfunk und Routing erfahren ist. Ich hoffe daher, dass dieser Beitrag jemandem weiterhilft und die lange Suche nach einer Lösung erspart.

Zusätzlich bemerkenswert: Der ISP hatte mir die 8X.X.X.145 als Gateway für das /28-Netzwerk angegeben, aber durch die statische Route ist diese IP auch als normale IP nutzbar.