Firmware Test Update:
An dieser Stelle listen wir uns bekannte FortiOS/FortiExtender Testresultate auf. Haben sie andere Kombinationen getestet? Bitte melden sie uns diese unter Kommentare. Danke.
FortiOS: 5.4.4 FortiExtender: 3.0.1: FUNKTIONIERT
FortiOS: 5.6.2 FortiExtender: 3.1.2: FUNKTIONIERT
FortiOS: 5.6.3 FortiExtender: Noch kein kompatibler Extender Release verfügbar (Stand 2.02.2018). Benötigt FEX 3.2.1 oder grösser laut Release Notes durch ein OpenSSL Issue
Original Post:
WAN Verbindungen mittels 3G/4G werden immer populärer. Sei es als Backup oder aber auch als primäre Internet Leitung für Niederlassungen, die keine oder schlechte kabelgebundene Internet Verbindungen haben. FortiGate Firewalls unterstützen schon seit Jahren USB 3G/4G Modems, welche direkt an eine FortiGate oder einen FortiExtender angeschlossen werden können. Dafür unterstützt FortiOS auch eine stattliche Anzahl Modems mittels entsprechenden Treiber. Da viele Provider aber häufig angepasste 3G/4G Modems mit entsprechend eigener Firmware ausliefern, kann es durchaus vorkommen, dass es zu Inkompatibilitäten führt. Zwar konnte dies teilweise umgangen werden indem vom Modem Hersteller eine entsprechende nicht angepasste Firmware auf das Modem installiert wurde, doch dies ist häufig ein mühsames, respektive zeitraubendes Unterfangen. Mit der Veröffentlichung der neuen 3G/4G FortiGate/FortiWifi oder FortiExtender Modelle gibt es nun einen einfacheren Weg. Diese Modelle haben ein direkt integriertes Modem. Es benötigt also nur noch eine SIM Karte, was das ganze stark vereinfacht. Dies hat uns motiviert den FortiExtender 40D mit aktuellen Schweizer 3G/4G Mobile Abos zu testen. Die FortiExtender haben den entscheidenden Vorteil dass sie dort positioniert werden können wo der 3G/4G Empfang ideal ist. Ähnlich wie die FortiAP’s (Wifi Access Points) werden die FortiExtender per Ethernet Kabel mit der FortiGate verbunden und können über PoE mit Strom versorgt werden. Im Gegensatz zu 3G/4G Router von Dritthersteller ist die WAN IP bei diesem Setup direkt auf der Fortigate Firewall auf einem virtuellen Interface was diverse Vorteile mit sich bringt.
FortiGate mit FEX 40D-INTL
Unsere aktuellsten Tests haben wir mit folgenden Releases durchgeführt:
FortiOS: 5.4.4
FortiExtender: 3.0.1 (build0084)
Spätere Releases wie 3.0.2 oder 3.1 haben wir mit den unten aufgeführten Mobile Abos nicht zum laufen gebracht. Entsprechende Support Cases sind bei Fortinet eröffnet worden.
Folgende SIM Karten, respektive Schweizer Mobile Abos haben wir getestet. Wir wollten dafür möglichst unlimitierte Abos testen um ein realistisches Szenario im Geschäftsumfeld zu testen.
- Unlimitiertes Mobile Datenabo
- Bis zu 150 Mbit/s 4G Speed (theoretisch)
- Ca. 30 CHF/Monat
Swisscom – Natel Business Data
Achtung: Swisscom bietet aktuell keine dedizierte unlimitierte Consumer Data oder Business Data Abos an, was uns sehr erstaunt hat. Dies für private Anwender wie auch für Business Kunden. Überraschend ist vor allem auch, dass Mobile Abos für Mobiltelefone keine offensichtliche monatlichen Daten Volumenlimiten enthalten. Das grösste Swisscom Mobile Abo Natel Infinity 2.0 hat interessanterweise eine zweite SIM Daten Karte mit dabei, doch diese ist mit 20 GB / Monat limitiert obwohl die Mobile Phone SIM Karte keine Daten Limite hat. Mobile Telefon Abo wird nicht limitiert, aber das dedizierte Datenabo schon ?! Swisscom möchte offensichtlich keine Data Abos welche permanent benutzt werden mittels Netzwerk Devices, sondern lässt dies nur von Mobiltelefonen zu. Wo nun genau der Unterschied ist wenn jemand über ein Mobile Phone ein Personal Hotspot aufmacht bleibt uns schleierhaft. Eine entsprechende Anfrage bei Swisscom ob es denn kein Data Abo gibt welches unlimitiert ist wurde mit Nein beantwortet. Als wir dann selber weiter geforscht haben sind wir auf folgende Swisscom Fair Use Policy gestossen. Swisscom beschreibt dort für Data wie auch für Mobile Abos den Einsatz als Zweckentfremdet wenn die SIM Karten in Gateway Produkten eingesetzt werden. Da hätten wir von einem Business Provider nicht erwartet. Für unsere Tests haben wir denn einfach die Daten SIM Karte benutzt welche beim Natel Infinity 2.0 Mobile Abo mit dabei ist und prompt sind wir schnell an die 20GB / Monat Limite gestossen. Nach Erreichen der Limite wird zwar nicht einfach komplett abgeklemmt doch brauchbar ist die noch vorhandene Bandbreite nicht. Schon gar nicht in einem Business Netzwerk Kontext.
Wenn Sie eine Multi Device SIM von Swisscom benutzen, erhalten Sie nach dem Einsetzen der SIM Karte in den FEX eine SMS Nachricht auf die Hauptnummer mit dem Inhalt “Ihre Multi Device SIM wird jetzt in einem Sierra Wireless AirPrime EM7455 verwendet.”. Weiter unten wird einem die Möglichkeit geboten, die SIM zu sperren. Diese Meldung ist normal und kann ignoriert werden.
Generell sehen wir drei verschiedene Anwendungsszenarios für den Einsatz eines FortiExtender:
- FortiExtender WAN als primäre Internetleitung dort wo keine oder nur sehr langsame xDSL/Cable/Fiber Optionen erhältlich sind
- FortiExtender WAN als primäre Internetleitung für temporären und mobilen Umgebungen wie Baustellen, Notfall Szenario Umgebungen etc.
- FortiExtender WAN als Backup Internetleitung in einem Dual WAN Setup
Config & Test
Bei unseren Tests haben wir jeweils als erstes immer den SIM Karten PIN deaktiviert um Probleme damit ausschliessen zu können. Den PIN können sie einfach mit einem Mobiltelefon deaktivieren. Um es vor weg zu nehmen:
Die Swisscom und Salt SIM Karten haben beide mit der FortiExtender Firmware 3.01 funktioniert ohne dass spezifische SIM Firmware oder PRI Einstellungen vorgenommen werden mussten
Verbinden sie den FortiExtender mittels Ethernet Kabel mit einem gewünschten FortiGate Port. Aus Sicherheitsgründen empfehlen wie Ihnen dafür einen dedizierten physischen Port oder ein entsprechendes VLAN zu verwenden. Am einfachsten ist es, wenn sie die IP Adresse per DHCP Server dem FortiExtender zuteilen. Sie können die IP aber auch statisch setzen. Der FortiExtender bietet dafür ein eigenes Webinterface (http only) welches per default über 192.168.1.2 erreichbar ist. Alternativ bietet sich auch der Consolen Port per CLI an. Ist der FortiExtender einmal angeschlossen geht es weiter auf der FortiGate.
Mit folgendem CLI Command muss auf der FortiGate der FortiExtender Support aktiviert werden. Sobald sie das tun, erscheint im GUI das FortiExtender Menü unter Network -> FortiExtender
config system global
set fortiextender enable
set wireless-controller enable
end
config system settings
set gui-fortiextender-controller enable
endAuf dem Interface, über welches der FortiExtender angebunden ist, muss das CAPWAP Protokoll aktiviert werden. Dies kann entweder per FortiOS GUI oder über folgenden CLI Command gemacht werden:
config system interface set allowaccess ping https ssh http fgfm capwap end
Weiter gehts mit dem autorisieren des FortiExtender und dem kreieren des virtuellen WAN Interfaces.
FortiExtender Konfiguration unter Network > FortiExtender > Click to set Interface Name >
Bsp.: FEX-SIM > OK
Und so sieht es auf der FortiGate aus, wenn der FortiExtender erfolgreiche verbunden sind und ein 3G/4G Verbindung aufgebaut werden konnte:
Alternativ können sie den Status und die Erkennung der SIM Karte auch direkt auf dem FortiExtender Webinterface prüfen. Wenn alles gut gegangen ist sehen sie das FortiExtender Interface (FEX-SIM) als virtuelles Interface unter Network > Interface. Bei einer erfolgreichen Verbindung wird das Interface automatisch aktiviert.
Nach der erfolgreichen Einbindung des FortiExtender müssen je nach Setup noch statische Routen und entsprechende Firewall Policies konfiguriert werden. Folgender Knowledge Base Artikel beschreibt die detaillierte Konfiguration der verschiedenen Multi WAN Methoden.
Hallo Boll
Habt Ihr auch einen Speedtest gemacht? Wieviele MBits habt ihr bei einer guten 4G-Verbindung hingekriegt?
LG
Andy
Hi Andy
Können wir dir bald sagen. Über Weihnachten mache ich einen Speedtest Zuhause mit Salt Data Abo. Habe 4G. Nicht 100% Empfang aber so um die 60-70%.
Merry Christmas!
Hallo Andy
Wir haben den Artikel aktualisiert und ich bin nun endlich auch dazu gekommen Speetests zu machen. Getestet mit Speedtest von Ookla in der Client APP Version um allfällige Browser Issues auszuschliessen:
Salt:
Connection: LTE
Signal Strenght: 4 von 5 bars: -65dBm
Download: Zwischen 20-40 Mbit
Upload: 16-29 MBit
Swisscom:
Connection: LTE
Signal Strenght: 3 von 5 bars: -73dBm
Download: Zwischen 50-60 Mbit
Upload: Zwischen 34-36 Mbit
Getestet mit einer Natel Infinity 2.0 Mobile Phone SIM Karte und nicht mit einer Data SIM. Diese funktioniert im Extender auf Anhieb.
Swisscom zeigt mit schwächerem Signal bessere Download und Upload Werte. Ob das nun aber generell so ist kann nicht abschliessend ausgesagt werden, da es durchaus sein kann, dass zum Zeitpunkt des Tests mehr Anwender bei einer Carrier Zelle verbunden waren. Das Problem bei Swisscom ist, dass sie bei einem Data Abo nach 20Gb/Monat praktisch dicht machen und das bei einer unlimitierten Mobile Phone SIM die Fair Use Policy gilt welche explizit den Einsatz der SIM in einem Gateway Produkt nicht erlaubt.
Ciao Patrick
Läuft es mit den neueren Firmwares nun auch wieder oder was war das Feedback auf eure Tickets?
Übrigens mit einem Wingo Abo bekommt man Zugriff aufs Swisscom Netz mit unlimiterten Daten. (55.- wenn weniger als 1GB sogar nur 25.- also super als Backup)
Hallo Patrick
Ja in der Zwischenzeit läuft es auch mit neuen Extender Releases. In meinem Fall mit FortiOS 5.6.2 und FortiExtender 3.1.2. Es gibt einen neuen FEX 3.1.3 Build den ich noch nicht getestet habe. Das ganze mit SALT LTE SIM/Abo.
Wingo: Auch da steht im kleingedruckten nur für den normalen Eigengebrauch über ein Smartphone. Gateway ist ausgeschlossen: https://www.wingo.ch/de/mobile#faq
Also kaum Business tauglich. Und dann auch noch 55 CHF. Benutzt du eine WINGO DatenSIM in einem GW?