2x Telekom VDSL50 ALLIP + VOIP+PFSENSE + 1 Telefonanlage



  • Hallo zusammen

    ich habe hier 2 Telekom ALL IP Anschlüsse (VDSL50 - Deutschlandlan) - jeweils mit 4 Telefonnummern und 2 Sprachkanälen - das "STANDARD Programm halt.

    Aktuell sind 2 Fritzboxen dran die das VOIP via ISDN entsprechend 2x an die TK Anlage übergeben.

    Das ganzen Konstrukt soll durch einen PFSENSE ersetzt werden.

    Nun meine Frage:

    Die VOIP Kanäle und Nummern sind laut AUssage Telekom Anschlussgebunden - also nur über den entsprechenden DSL Anschluss zu erreichen.
    Kann ich der nachgeschalteten Auerswals / PFSense orgendwie beibringen dass Sip Account 1-4 über Anschluss 1 geroutet werden soll und SIP Account 5-8 über den 2.  Anscluss ?

    Oder gibt es hier einen besseren/einfacheren Weg ?

    CU
    GTR



  • Bevor Du das umbaust, schau Dir mal die WAN-Seite der beiden Fritösen an!
    Vermutlich haben die Telekom-seitig das gleiche Gateway und liegen selbst auch im gleichen Subnet. Dann hätte eine pfSense das Problem, dass sie die Anschlüsse gar nicht unterscheiden und linksrum oder rechtrum routen könnte, denn das wären für sie identisch Routen.
    Wenn dem so ist, dann müsstest Du mindestens vor einen der Anschlüsse ein Transit-Netzwerk schalten, damit die pfSense differenzieren kann.
    Erst danach kannst Du überhaupt über das Routing der Auerswald nachdenken!



  • Hi

    danke für deinen Post - das ist ja sch…. - daran hab ich nicht gedacht wobei mieine Kenntnisse nicht soooo tief sind.

    Was meinst du mit "Transit Netwerk" - kannst du mir das kurz beschreiben wie sowas in der Praxis ausschaut ?

    CU
    GTR



  • Du baust ein zusätzliches Netzwerk zwischen Modem und pfSense zumindest für ein WAN.
    https://de.wikipedia.org/wiki/Transitverkehr_(Netzwerk)



  • Hallo

    danke für den Link und die Infos - da wäre ich volle kanne in eine Falle gelaufen und hätte es erst gemerkt wenn es zu spät gewesen wäre …

    Wie würdest du das in meinem Konkreten Beispiel lösen ?

    Soll ich hier einfach einen Router vorschalten  ?

    CU
    GTR



  • Moin,
    was spricht gegen die Fritten, außer dass es Fritten sind.

    Nach meiner Meinung tust Du dir in diesem Setup keinen Gefallen wenn Du die Fritten ablöst.
    Lass die Kisten das VoIP in ISDN wandeln und schalte hinter die Fritz!Boxen eine pfsense.

    Nur mal ins unreine gedacht:

    • Bei VDSL mit BNG Anschlüssen der Telekom MÜSSEN die Rufnummern über die jeweiligen DSL Leitungen genutzt werden. Der Aufwand dies in der Auerswald zu "taggen" und in der pf zu verwursten steht in keinem Verhältnis. Ich weiß auch nicht ob die Auerswald die Pakete der einzelnen SIP Konten entsprechend markieren kann (z.B. mit unterschiedlichem QoS).

    • Sollte die Farbe der Boxen doch so extrem stören ;D , dann schau dir mal den Lancom 883/884 an. Dieser kann auch VoIP auf 2 bzw. 4 ISDN Ports umsetzen UND ist in der Lage die Konten/Pakete  entsprechend zu taggen und weiterzuleiten. Dazu benötigst Du aber auch noch ein zusätzliches Modem (ein Modem ist im LC verbaut)

    • Andere Alternative Sprech mit der Telekom und lass die alle Rufnummern auf einen Anschluss schalten, oder ziehe mit den Rufnummern zu einem anderen VoIP Anbieter um. Den meisten ist es egal wie Du an Gespräche kommst.

    Nur so ein Gedanke …..

    VG
    HornetX11



  • Hallo

    Na ja - was spricht dagegen - ich schildere mal was aus meiner Sicht dagegen spricht und du kannst mir sehr sehr gerne das "gegenteil" verraten:

    • Port Forwardings müssen von der FB an die PFsense und dann von der PFSENSE nach intern
    • sonst noch was ?

    Irgendwie stört mich die Idee, vor pfsense eine Fritzbox zu setzten - aber evtl sehe ich auch probleme wo keine sind ?

    Gibt es sonst stolpersteine die mir jetzt grad nicht einfallen (außer externes Forwarding) ?

    So Zielsicher wie du das jetzt geschrieben hast bin ich nun noch mehr verunsichert :-)

    CU
    GTR



  • Moin,
    Ich hole diesen Beitrag noch einmal hoch.
    @gtrdriver:

    So Zielsicher wie du das jetzt geschrieben hast bin ich nun noch mehr verunsichert :-)

    Zielsicher: Das sind einfach meine Erfahrungen mit der Telekom und Ihren Mannen.

    Ein bisschen Grundlagen (OHNE erhobenen Zeigefinger)

    Wenn ich dein jetziges Setup anschau dann wurde hier wahrscheinlich von zwei Mehrgeräte Anschlüsse auf zweimal ALL IP (ver)wechselt. Gehe ich richtig in der Annahme das die jeweilige Fritzbox auf ISDN umsetzt und das dann in der Auerswald terminiert wird?

    Wenn dem so ist, hast Du hier bereits das erste Problem:

    • ISDN ist Tackt "gesteuert"!!!!!

    Im alten ISDN werden ALLE Vermittlungsstellen (des jeweiligen Anbieters) mit einem synchronen Tackt versorg. Die Anlage erwartet das auf ALLEN externen ISDN Anschlüssen sich das Signal ZEITGLEICH ändert.

    Bsp. Takt von zwei Anschlüssen über die Zeit (_|–| => Wechsel von LOW auf HIGH und zurück):

    ISDN 1  |--||--||--||--||--||--||--||--||--||--||--||--||--||-

    ISDN 2  |--||--||--||--||--||--||--||--||--||--||--||--||--||-

    Hier erfolgt der Wechsel synchron, darauf ist die Anlage ausgelegt und kommt damit klar.

    Von diesem synchronem Tackt wissen aber die Fritzboxen nichts und können ihn auch nicht erzeugen, da die Geräte unabhängig von einander arbeiten. Hier kann der Takt z.B. so aussehen:

    ISDN 1  |--||--||--||--||--||--||--||--||--||--||--||--||--||-

    ISDN 2 -| |--||--||--||--||--||--||--||--||--||--||--||--||--||-

    Also Zeitlich verschoben.

    Es gibt Anlagen die damit klarkommen, oder man es einstellen kann (z.B. Siemens HiPath, UniFy ...).

    Andere machen hin und wieder Blödsinn bei eingehenden Anrufen, wiederum andere versagen völlig.

    Um dies zu Umgehen gibt es die Möglichkeit ein SIP - ISDN GW mit mehreren ISDN Anschlüssen zu nutzen. Hier kommt der Tackt an allen Anschlüssen wieder synchron (natürlich nur im Bezug auf das lokale Gerät). Damit klappt es auch mit dem ISDN.

    Jetzt kommen die Telekomiker mit Ihrem BNG.

    Hier kommt als zusätzliche Hürde hinzu das die Telekom bei BNG die Rufnummern nur über die jeweilige (DSL)Leitung zulässt, also wieder leitungsgebunden wie im alten ISDN. Für das GW bedeutet das, es muss die jeweiligen SIP Konten über den Entsprechendem DSL Anschluss routen. Dies wird bei den meisten GW im Konto durch tagging entsprechend geregelt. Die Telekom setzt hier auf Lancom 178[1|4]. Kostengünstiger sind die Lancom 883 und 884.

    Ansatz SIP direkt:
    Natürlich kann man 2 Modems auf eine pf aufschalten und das SIP direkt auf die TK Anlage legen (wenn ein SIP Karte vorhanden ist). Bei EINEM ALL IP geht das völlig problemlos, wenn man die Grundlagen (siehe [HowTo] Telekom Voip Einstellungen) beachtet. Kommt nun aber der zweite All IP hinzu muss auch hier das tagging genauso erfolgen wie im oben im GW. Die einen Anlagen können es, andere nicht (Agfeo 45/200IT benötigt z.B. eine 2. Netzwerkkarte!).

    Sollte, was ich noch nie probieren konnte, es in der Auerswald möglich sein die einzelnen SIP Konten im UDP Stream entsprechend zu taggen kann man die in der pf auswerten. Z.B. könnte man für die ersten zwei Konten ein QoS setzen und für die anderen zwei ein anderes QoS. In den Firewall Regeln kann dort abhängig vom QoS das eine oder andere GW genutzt werden.

    Und nun der Fehlerfall  (meistens Telekom seitig) und die Telekom Hotline(?).

    Versuche einmal einem Telekomiker am Fronlevel dieses Konstrukt zu erklären. Leider ist es dort mit den technischen Kenntnissen nicht allzu weit her.

    OT: Meine gestrige Unterhaltung gipfelte darin das mir erklärt wurde, ein Modem ist nur ein Oberbegriff und ein Router sei die Marke/Modell! Und das nur weil ich mit der entsprechenden Messtechnik an der Leitung war und seitens der Telekom behauptete wurde ein ARGUS (das Test-/Messgerät) könnte nicht wie ein Router verwendet/gemessen  werden.

    Beim 2. Versuch ein ähnliches unterfangen. Beim dritten wurde ich dann endlich zu Messplatz durchgestellt. Und das nur an einem einzelnem ALL IP Anschluss. /OT

    Meine Vorschläge:

    • am einfachsten wäre es, wenn Du zu einem anderem SIP Anbieter wechselt (Easybell, Sipgate …).
      Hier kannst Du ein echtes fail over betreiben. Und die Telekom muss deine Rufnummern auch während der Laufzeit ziehen lassen.

    • Lass die Telekom alle Rufnummern auf einen Anschluss legen. Dann hast Du das tagging  Problem vom Hacken. Ob Du dann die SIP Pakete durch die pf laufen lässt, oder eine VoIP DMZ zwischen einer Fritzbox und der pf "errichtest" ist dann Geschmackssache. Den 2. Anschluss kannst Du dann über ein Modem ohne zusätzliches NAT nutzen. Ein fail over ist hier nicht möglich.

    • Oder nim einen 88[3|4] plus zusätzliches Modem und bereibe diesen anstelle einer der Fritzxen. Hier hast Du dann natürlich ein zusätzliches NAT, welches aber erheblich weniger ärger macht als das SIP hinter die pf zu leiten. Auch hier gibt es eine "leite alles weiter" möglichkeit.

    Ach Ja, ich arbeite für keinen Telekommunikationsdienstleister !!!

    Ich komme aber aus der Entwicklung und bin seit über 20 Jahren als EDV Futzi unterwegs, leider aufgrund von SIP auch wieder in Sachen TK.

    Hoffe ich konnte dich noch etwas mehr verwirren.

    Hornet X11



  • Hi

    erstmal vielen dank für deinen Post !

    Nach den Versuchen vom Wochenende bin ich nun noch mehr verunsichert - ich hab jetzt mal an dem  100er VDSL nen Modem ran - daran den PFsense und daran die Auerswald …

    Prinzipiell läuft das - aber die Gesprächsqualität ist bescheiden ... - warum auch immer - hab auch schon mit dem Auerwswald Support telefoniert aber dort hüllt man sich in schweigen

    Habe dann testweise anstatt der Auerswald ne Fritzbox hinter den pfsense gehängt und daran die Auerswald und schon läuft das sauber (sprachqualität).

    Aber das ist natürlich ein Konstrukt .....

    Kann natürlich für einen der beiden VDSL Anschlüsse 2 zusätzliche (oder mehr) Kanäle buchen und dann  alles was VOIP angelangt über die TK anlage laufen lassen -aber wenn ich mir die Sprachqualität so anschaue dann eher nicht


  • Moderator

    Schön dass sich hier inzwischen so viel VoIP Know How tummelt, da kann ich endlich auch mal dazulernen :)

    Was das Konstrukt angeht, was Hornet meinte und das dich so schaudern lässt driver: Das ist doch völlig normaler Standard. Ja manchmal mag man vielleicht kein multiples NAT o.ä. haben, aber das sind theoretische Bedenken. Praktisch tut sich dabei annähernd gar nichts. Es spräche also nichts dagegen, vor der pfSense die beiden Fritten hängen zu lassen, die ihre Anschlüsse bedienen und dann das VoIP auf ISDN umsetzen (o.ä. so wie ich verstanden habe), und dann über die Transfernetze der FBs (bspw. 192.168.178.x und 192.168.179.x) dann einfach die pfSense mit 2 WANs zu beglücken. Einfach, prägnant und der VoIP Part wird von den Kisten davor gemacht, die sich dann nicht mit NAT oder falschen Routen herumschlagen müssen.

    Grüße



  • Hallo nochmals

    erstmal vielen dank für die posts !

    Ich habe noch 2 Fragen zu folgenden Themen:

    1: wie sage ich in einem DUAL-WAN Szenario dass "ALL" VOIP Packete über WAN1 laufen sollen ? (immer vorausgesetzt dass über WAN 1 der VOIP Server erreichbar und authentifizierbar ist)

    2: Ich habe eine Frage zu den Firewall einstellungen für Telekom VoIp gepostet  https://forum.pfsense.org/index.php?topic=120063.0 - evtl kann mir hier noch jemand einen Tipp geben

    CU
    GTR



  • bin gerade etwas verwirrt …

    habe das auch wie JeGr verstanden : VoIP machen die Fritzen und geben das via ISDN an die PBX.

    Dann ist das Mumpitz :
    "1: wie sage ich in einem DUAL-WAN Szenario dass "ALL" VOIP Packete über WAN1 laufen sollen ? (immer vorausgesetzt dass über WAN 1 der VOIP Server erreichbar und authentifizierbar ist)"

    Weil die PBX mit den Fritzen ISDN spricht dann findet VoIP nur von den Fritzen zum Provider statt.
    Wenn Du also nur die Fritte 1 mit VoIP belästigen möchtest ist das eine Frage des ISDN-Routings in deiner PBX.

    Denn dann sollte von intern kein VoIP nach außen statt finden. Oder willst du jetzt alles bunt durchmischen ?



  • Hallo

    ich versuche das nochmals etwas zu entwirren :-)

    Ich betreue hier verschiedene Standorte - an dem einen wo 2 VDSL Anschlüsse sind und 2 FB´s mit ISDN werde ich es so lassen und den PFSENSE hinter die FB klemmen

    Ich habe aber noch einen Standort - da gibt es nur einen VDSL Anschluss mit 4 VOIP Kanälen - da würde ich gerne die Telefonanlage das ganze machen lassen.
    Zuden habe ich an diesem Standort noch einen 2. VDSL Anschluss ohne Telefonie (zumindest wird diese nicht genutzt) - dieser soll für Load Balancing herhalten - also DUAL WAN

    Meine Frage ist nun - wie kann ich sicher stellen dass alle VOIP Packete von der Telefonanlage sicher über den richtigen WAN Anschluss gehen ?

    CU
    GTR


  • Moderator

    Aah, zweiter Standort! Now we're talking :)

    Eigentlich recht einfach. Je nachdem wie du die Anbindung machst (mit 2x PPPoE oder mit 2 vorgeschalteten Routern), hast du ja zwei Gateways für DSL1/DSL2. LoadBalancing (in Maßen) erreichst du durch eine Gateway Gruppe über beide DSL Gateways mit gleichem Tier (Tier 1). Failover über eine Gruppe bei der einer Tier1 und einer Tier 2 ist.

    Erstellst du jetzt Regeln auf dem LAN (bzw. passt die allow any Regel an), kannst du via "Advanced" Button auch das Gateway von "Default" ändern auf das gewünschte. Entweder dein LB oder Failover Gateway über beide Leitungen ODER - im Fall von VoIP - eben gezielt DSL1 auswählen. Wenn du noch dazu das VoIP enabled Gateway als Default einrichtest (also als WAN/DSL1) dann sollte mit dem VoIP eigentlich kaum was schiefgehen.

    Lediglich auf static Port NATting und Co acht geben. :)