Dual WAN (DHCP + VLAN) mit einer physikalischen NIC
-
Hallo @A_Loeer,
könntest du deine Lösung genauer beschreiben?
Ich habe auch den Provider und versuche die Fritzbox(von Innogy) durch pfSense zu ersztzen.
Nach der Anleitung vom @mike69 habe ich immerhin beide WAN-ifs auch am laufen, IP-Addressen wurden auch zugeordnet.Ich bekomme aber keine SIP-Registrierung am IP-Telefon (häng mit am LAN-Port der pfSense).
Sicherlich müsste ich noch Port-Forwarding einrichten? -
Hallo @egn-h7b5,
Leider muss ich zugeben, dass ich auch noch nicht weiter bin als du da mir aktuell noch das IP Telefon selbst fehlt. Vorher wurde das direkt im Archer VR600V gemacht und damit habe ich es auf Grund fehlender Zeit noch garnicht probiert.
-
Besser spät als nie ... weiss ja nicht, ob du bereits eine Lösung gefunden hast, aber ich bin mittlerweile mit einem Cisco SPA 112/122 soweit, dass ich mit den alten analogen DECT Telefonen wunderbar telefonieren kann.
Mein Archer VR600V ist leider nicht in der Lage die SIP Registrierung als normaler AP durchzuführen, also musste was anderes her.
Da auch ich auf diverse Probleme bei SIP Anmeldung stieß, habe ich viel mit Wireshark arbeiten müssen, denn der Cisco SPA ist nicht sonderlich gesprächig bei Fehlern.
Hierbei fiel auf, dass sämtlicher SIP Traffic nicht über die VOIP Leitung auf VLAN 232 geht, sondern wie alles andere auch über die Daten Leitung auf VLAN 132.Für erste Tests hatte ich mal MicroSIP auf Windows hergenommen, was auch auf Anhieb klappte.
-
@egn-h7b5
IP-Forwarding ist nicht notwendig.
Eine Outbound-Regel reicht: Hybrid-NAT aktiviern, dann die Outbound-Regel erstellen.
Interface WAN
IPv4
UDP
Network (IP oder Aiias des IP-Telefons oder der Fritzbox, die die Telefonie übernimmt)
Destination any
Address Interface-Adress
Static Port aktivieren
FertigNur noch Regeln anlegen für LAN (entweder alle zu alle) oder explizit die Ports für SIP: 5060, 7078-7199.
Ich mußte wegen fehlender Tonübertragung bei Netcologne bis Port 42000 freigeben. Eventuell noch Ports 67 und 68 für den "SIP-DNS" eintragen. Alles UDP. Die Ports für VOIP in einem Alias macht das ganze sehr stressfrei.Die Interfaces VOIP und DATA haben keine Regeln zugewiesen bekommen.
-
Hallo @ A_Loeer, hallo @_igor_.
Ich habe es nach einem langen "rumexperimentieren" im Dezember '19 aufgegeben:(
Aber mit den neuen Hinweisen von euch werde ich noch ein Versuch wagen und mich hier zurückmelden.
Reisen Dank für euere Mühe -
Ganz so einfach ists nicht mit nur auf Hybrid umschalten etc. - Das Interface muss auch stimmen. Wenn ihr via VLAN zwei Netze - eines für WAN und eines für VoIP - vom Provider zugeteilt bekommt, müssen die quasi wie zwei getrennte WANs behandelt werden. Ihr müsst dann sicherstellen, dass bspw. das Telefon oder die Telefone (oder die Anlage) eben nicht über das WAN IF rausgeht, sondern über das VoIP Gateway und dazu noch eben mit static Port, damit Port 5060 abgehend (SIP) auch 5060 bleibt und nicht umgeschrieben wird. Ansonsten kommt ihr beim Provider auf der falschen Line an und bekommt keine SIP Anmeldung, weil der euch auf der VOIP Line erwartet.
Grüße
-
Ich weiss ja nicht, ob ihr was falsch verstanden habt, aber mein SIP Anmeldung bei Innogy läuft nach wie vor über das Data VLAN 132, theoretisch ist diese ganze Hybrid NAT und Port Einstellerei garnicht nötig und somit das Voice VLAN obsolet ... zumindest bei Innogy-Highspeed Anschlüssen.
-
Hallo zurück!
Nach der Meldung von JeGr habe ich nochmal alles durchgetestet. (Zudem war mein Telefon wieder mal tot...)
Ich habe jetzt an Schnittstellen:
WAN: PPPOE via em1.10 (VLAN 10)
VOIP: DHCP via em1.20 (VLAN20)Verbindung wird aufgebaut, Internet funktioniert.
Telefon:
Gateways:
WAN: aktiv, IP vom Provider da (die PPPOE-IP), Default-Gateway
VOIP_DHCP: IP vom Provider da (die DHCP-IP)Regeln:
LAN: Regel für die benötigten UDP-Ports angelegt mit VOIP-Gateway; Source ist die Fritzbox.
VOIP: Regel mit any zu any angelegt.
NAT: Outbound-NAT: Quelle Fritzbox, UDP, Interface VOIP
Telefonie: Klingeln da, kein Ton auf beiden Seiten.LAN-Regel geändert: Gateway auf Default gesetzt.
Telefonie: Klingeln da, Gespräch von Fritz --> extern (Handy) funktioniert. Umgekehrt ist nichts zu hören.Outbound-Regel geändert: Interface WAN eingetragen.
Telefonie: Klingeln da, Ton auf beiden Seiten vorhanden.Regeln nochmal geändert:
VOIP: Regel entfernt. Keine Regel mehr zugewiesen!
Telefonie: Alles da, Klingeln und Ton.@A_Loeer: Prinzipiell ist ja mein VLAN 10 das WAN.
VOIP ist irgendwie obsolet. Keine Regeln, zudem hatte ich mit Packet-Capture nie auch nur ein Bit auf der Schnittstelle gesehen. Allerdings "brauche" ich das Interface aktiviert, da ich das VLAN "nur" definiere mit der entsprechenden Schnittstelle.
Wieso ist das Hybrid-NAT obsolet? Ohne es kein Telefon bzw. nur ausgehend Gesprächsübertragung.
Was mach ich dann noch falsch? -
@_igor_ Also in deinem Setup wäre ich davon ausgegangen - sofern das inogy wirklich so mitgeteilt hat - dass VoIP auch nur auf dem VOIP Interface geht, dass also eine Verbindung auf dem WAN abgelehnt wird. Aber vielleicht solltest du da einfach sicherheitshalber nochmal nachfragen, was da genau Phase ist. Ich kenne das nur von anderen Kunden von anderen Providern so, dass bei unterschiedlichen VLANs bzw. extra "VoIP WAN" es wie folgt läuft:
WAN: ganz normal konfigurieren wie benötigt (e.g. PPPoE, DHCP o.ä.)
VOIP_WAN: wird auf das VLAN konfiguriert, dass der ISP angibt, meist mit DHCP. Bekommt oft andere externe IP oder sog. private IP aus Providernetz.LAN oder extra VoIP Netz für Telefonanlage oder Telefone:
Dort wird dann abgehend die Regel(n) so angepasst, dass sie über das Gateway VOIP_WAN rausgehen, damit die TK Anlage bzw. die Telefone auch wirklich nur über VOIP WAN sprechen. Wenn eingehend VOIP benötigt wird/soll, dann wird ein Port Forwarding auf dem VOIP_WAN konfiguriert (5060, 5061, je nachdem was der ISP braucht/will) auf die TK Anlage o.ä. Ausgehend wird in der Outbound NAT entweder im manual oder hybrid Mode eine Regel angelegt, die die VoIP Ports der Providers (unterschiedlich, 5060, 5061, udp/tcp) abgehend mit "static Port" auf VOIP_WAN(!) mappt, nicht auf das WAN. Daher nutzen wir hier fast immer Manual mode, da hier alles nicht gewünschte/unnötige NATting gleich weggelöscht werden kann (im Normalfall will man bspw. nicht, dass LAN -> VoipWAN spricht oder VoIP_LAN > WAN!).Default Route bleibt eigentlich WAN (nicht automatisch) und daher können alle anderen Regeln (LAN, DMZ etc.) ganz normal mit Gateway "*" (default) angelegt werden. Eigentlich muss nur das VoIP_LAN->VoIP_WAN fix in der Regel konfiguriert werden und ein dazu passendes NAT existieren (mit static port).
Wie das aber im Speziellen Fall bei inogy aussieht, das kann ich nicht wissen, daher besser nochmal genau nachfragen, denn wenn die VoIP Verbindung augenscheinlich über WAN auch aufgebaut werden kann, verstehe ich das ganze Theater mit extra VLAN nicht.
-
@JeGr
Danke für die Erklärung! Das hilft. Allerdings funktioniert das hier nur mit der LAN-Regel für die VOIP-Ports mit GW=WAN und die Outbound-Regel auch mit WAN als IF.
Regel VOIP-Ports via VOIP-GW macht nur ausgehend Gespräche möglich (Tonübertragung).
Die Einstellung der Outbound-Regel ist hier egal, Interface WAN, LAN oder VOIP, keine Änderung.
Nur wenn ich die LAN-Regel & die Outbound-Regel mit WAN anlege, funktioniert alles.
Allerdings habe ich netcologne, nicht innogy. Das Prinzip ist denke ich ähnlich. Mir gehts hier ums Gesamtverständnis, VLANs sind neu für mich.
Beim Packet-Capture laufen die Verbindungen richtig über das VOIP, nicht via PPPOE.
Ach so, die Fritz hat in den Einstellungen für VOIP auch VLAN 20 eingetragen.
Ich denke, daß diese Einstellung dazu beiträgt, daß die Pakete richtig reisen.
Daher ist für mich jetzt erstmal alles gut hier. Ich weiß etwas mehr von der Materie als noch vor einer Woche. Das ist schonmal ein gutes Ergebnis. -
Hab den Beitrag hier gesehen und stehe gerade vor dem gleichen Problem. Ebenfalls NetCologne.
Ich habe 2 Schnittstellen WAN_Daten (VLAN 10) und WAN_VoIP (VLAN 20) angelegt. Beide erhalten eine IP-Adresse vom Provider.
Intern habe ich ebenfalls ein LAN (VLAN 1) und LAN_VoIP (VLAN 20).Internet funktioniert und das IP-Telefon hat eine Adresse im 20er Netz.
Was mir jetzt noch nicht ganz klar geworden ist, sind die benötigten (oder eben auch nicht) Regeln in der Firewall...
Ich habe eine Regel definiert:
ERLAUBE alles IPv4 von LAN_VoIP nach WAN_VoIP mit GW WAN_VoIP_DHCP.
Außerdem habe ich eine Regel Outbound NAT:
Für Schnittstelle WAN_VoIP statischer Port auf Schnittstellenadresse für alle Protokolle IPv4 aus 192.168.20.0/24 (VLAN 20)...Aber noch connected sich mein IP-Phone nicht...?!?
-
@volvog said in Dual WAN (DHCP + VLAN) mit einer physikalischen NIC:
Ich habe 2 Schnittstellen WAN_Daten (VLAN 10) und WAN_VoIP (VLAN 20) angelegt. Beide erhalten eine IP-Adresse vom Provider.
Intern habe ich ebenfalls ein LAN (VLAN 1) und LAN_VoIP (VLAN 20)Oh das klingt falsch. Du kannst doch nicht 2 VLANs mit gleicher ID aber mit anderem Zweck/Interface auf der Sense auflegen? Das führt doch zu Verwirrung :)
Aber noch connected sich mein IP-Phone nicht...?!?
Dann gibt es andere Probleme denn der Connect oder nicht, spielt noch nicht wirklich mit VoIP/Static Port zusammen. Dann klappt was am Anschluß noch grundlegend nicht, denn static port kommt erst ins Spiel wenn Anrufe wirklich reinkommen, die Anmeldung an SIP klappt meistens auch ohne auch wenns holpern kann.
-
Jetzt bin ich irgendwie ausgestiegen...?!?
Wieso mit gleicher ID?
Netcologne verlangt Daten auf VLAN 10 und VoIP auf VLAN 20.
Erstere habe ich als PPPoE angelegt, zweite als DHCP. Das ist doch auch genau das, was oben auch beschrieben wurde, nur mit VLAN 132 und 232 bzw. bei igor als
WAN: PPPOE via em1.10 (VLAN 10)
VOIP: DHCP via em1.20 (VLAN20)Genau so ist es bei mir auch eingerichtet...
-
@volvog said in Dual WAN (DHCP + VLAN) mit einer physikalischen NIC:
Ich habe 2 Schnittstellen WAN_Daten (VLAN 10) und WAN_VoIP (VLAN 20) angelegt. Beide erhalten eine IP-Adresse vom Provider.
Intern habe ich ebenfalls ein LAN (VLAN 1) und LAN_VoIP (VLAN 20).Demnach haben doch WAN_VoIP und LAN_VoIP dieselbe VLAN ID.
ERLAUBE alles IPv4 von LAN_VoIP nach WAN_VoIP mit GW WAN_VoIP_DHCP.
"WAN_VoIP" ist lediglich das Subnetz, in dem sich das Interface befindet. Darin befindet sich aber wohl nicht das gewünschte Ziel.
Wenn das Ziel unbekannt ist, musst du "any" dafür angeben. -
Ach so meinst Du das mit gleiche ID...
Aber es sind ja unterschiedliche Netze: WAN bekommt von Netcologne 'ne 10.x.y.z und intern habe ich 'ne 192.168.10...Ok, das mit der Regel ist ein Argument, die sollte ich mal ändern...
-
@volvog said in Dual WAN (DHCP + VLAN) mit einer physikalischen NIC:
Aber es sind ja unterschiedliche Netze: WAN bekommt von Netcologne 'ne 10.x.y.z und intern habe ich 'ne 192.168.10...
Du meinst, unterschiedliche Interfaces / Netzwerksegmente.
Ja, sollte eigentlich gehen, aber ich denke, das hat @JeGr gemeint. -
Ok, ich hab - zur besseren Unterscheidung, da gebe ich ja Recht - die VLANs intern jetzt auf 11 und 12 geändert...
Mein IP-Phone bekommt jetzt die 192.168.11.20 für Daten sowie die 192.168.12.20 für VoIP. Beide kann ich anpingen.
Ich kann auf dem Phone-Browser surfen, Namensauflösung, etc funktioniert.Aber:
- der PC am PC Port bekommt immer noch eine 192.168.10er Adresse, sollte aber - laut Konfiguration - eine 192.168.199er (Gast-Netz) Adresse erhalten.
- Das SIP-Konto für NetCologne wird nicht registriert...
-
@volvog said in Dual WAN (DHCP + VLAN) mit einer physikalischen NIC:
der PC am PC Port bekommt immer noch eine 192.168.10er Adresse, sollte aber - laut Konfiguration - eine 192.168.199er (Gast-Netz) Adresse erhalten.
Hast du sie erneuert und bekommt er diese wirklich, oder hat er die eben noch. Wenn du da nicht selbst aktiv wirst, behält er die DHCP IP solange als das Lease gültig ist.
Von diesem Gast-Netz hattest du übrigens bislang noch nichts verraten. Ist das ein eigenes Interface, an dem der PC angeschlossen ist?
Und welche Konfiguration sprichst du oben an?Das SIP-Konto für NetCologne wird nicht registriert...
Dafür sind andere Leute zuständig.
-
Nein, ich habe alle Leases erneuert...;-)
Stimmt, da hast Du Recht, falsches Forum.
Ich hatte parallel im anderen Forum die Frage bezüglich des Gast-Netzwerkes an dem IP-Phone gestellt... -
@volvog said in Dual WAN (DHCP + VLAN) mit einer physikalischen NIC:
Stimmt, da hast Du Recht, falsches Forum.
Es gibt schon kompetente Leute hier, allerdings gehör ich da nicht dazu.
