Netcologne VOIP hinter PFSense
-
Hallo zusammen,
Ich versuche verzweifelt eine Fritzbox auf der VOIP laufen soll hinter der PFSense zum laufen zu bringen.
Die PPPOE Einwahl über das VLAN 10 funktioniert , das VLAN 20 für VOIP habe ich auch eingerichtet und bekommen da auch eine IP über DHCP.Wie bekomme ich jetzt die über DHCP bezogene Adresse aus dem VLAN 20 von Netcologne zur Fritzbox?
Wenn jemand eine Idee hat bitte helft mir :)
LG
-
Na Fritzbox ans VLAN20 klemmen….?
-
Die PPPOE Einwahl über das VLAN 10 funktioniert , das VLAN 20 für VOIP habe ich auch eingerichtet und bekommen da auch eine IP über DHCP.
Wie bekomme ich jetzt die über DHCP bezogene Adresse aus dem VLAN 20 von Netcologne zur Fritzbox?Öhm… VLAN20 für VOIP? Du bekommst also auf einem VLAN10 via PPPoE internet und VLAN20 ... was genau für VoIP? Ne eigene Leitung? Und warum dann nicht direkt die Fritzbox ans VLAN20 hängen?
Könntest du das etwas ausführen? :) -
Danke erstmal für die Antworten.
Also über das Vlan 10 habe ich die pppoe einwahl durchgeführt. Das VLAN 20 habe ich auch an die wan Schnittstelle gebunden. Somit bekomme ich also über das VLAN 20 von NetCologne eine ip v4 via DHCP zugewiesen .
Diese adreasse ist aus dem Bereich 10.10.xx.xx.
Der Netcologne sip Proxy Sitz aber im 172.17.66.xx Netz.Was meint ihr mit VLAN 20 an der fb nutzen,
Wie bekomme ich das denn dahin? -
Daten VLAN 10 mit IP-Vergabe via PPPoE (PAP)
Voice VLAN 20 mit IP-Vergabe via DHCPhttps://www.netcologne.de/selbsteinrichten/vdsl
Da hat er wohl recht.
-
Ich schieß dann mal ins blaue.
Das VLAN20 auf WAN Seite ist ein logisches Interface. Es ist als zweiter Internetzugang zu werten, der allerdings nur ins "VoIP-Netz" führt. Erstelle eine Routingregel die besagt, dass das 172.17.66.xx Netz dort zu finden ist. Vorher evtl als Gateway eintragen. Lanseitig und VLAN20_WAN seitig würde ich zunächst allen Traffic zulassen (any any). Wenn die Fritz nur mit dem Netz des Proxys spricht, sollte es das schon gewesen sein, korrekte Fritz-Konfig vorrausgesetzt. Kannst ja mal am WAN (pppoe) sniffen, ob die Fritz noch anderweitig unterwegs ist, um zu telefonieren.
Oder die Fritz hart umleiten: https://forum.pfsense.org/index.php?topic=103272.msg575919#msg575919
Gruß
pfadmin -
Wenn du VLAN 20 auf dem WAN definiert hast und via DHCP eine Adresse bekommst, dann bekommt die ja logischerweise auch ein Gateway. Dann ist das das Default GW des "2. WANs" - und dann ist es auch relativ egal ob das eine 172er Adresse ist oder nicht. Wenn die FB hinter der pfSense steht, muss sie eben entweder via PBR (policy based routes) über WAN2 / VOIP rausgeschickt werden bzw. 1:1 geNATtet werden oder sonstwie auf das zweite WAN konfiguriert werden. Ansonsten wird die natürlich über WAN1 also PPPoE raus wollen und darüber keine VoIP Verbindung hinbekommen.
Das VLAN20 ist dann einfach wie ein zweites WAN zu behandeln, entsprechend gelten alle Sachen die sich auf MultiWAN beziehen :)
Gruß
-
Es funktioniert !!!
PBR brachte den Erfolg.Vielen Dank für eure Hilfe.
Auch wenn es jetzt doof klingen mag, aber wir kann ich jetzt die Verbindung auf opt 2 legen?
Läuft jetzt alles über die Lan Schnittstelle, würde es aber gerne auf einen eigenen Lan Schnittstelle legen.Ach ja, Ports muste ich weiterleiten 5060 und 7078-7109.
Hatte Einfangs das Problem das ich wenn ich beim raustelefonieren keinen Ton hatte, da hatte ich nur 5060 freigegeben.
Nachdem ich dann die Portrange 7078 - 7109 freigegeben hatte konnte ich auch mit Ton raustelefonieren. -
5060 eingehend solltest du eigentlich nicht brauchen, zumindest ist das nicht so ohne, weil sich potentiell jemand an deiner Box anmelden könnte. Da du aber ein eigenes VLAN dafür hast, ist die Chance da wohl eher gering :)
Auf "opt2" kannst du gar nichts legen ;) das ist eine Bezeichnung. Die jetzt irgendwas zugewiesen ist (oder noch frei ist) - keine Ahnung. Du hast ja aber dein VLAN Tagging wohl auf irgendeinem Interface konfiguriert und bekommst auf dieser Leitung das ganze rein? Dann musst du da vornedran eben noch einen VLAN fähigen Switch schalten, legst da die Colt Leitung auf, konfigurierst dir dann 2 Ports mit VLAN 10 und 20 als untagged und legst dann diese Ports auf WAN und dein zweites gewünschtes physisches Interface auf der pfSense. Ist aber komplett unnötig, denn es wird nicht anders gehandhabt als jetzt als VLAN. Du hast keinen wirklichen Vorteil davon außer das Tagging nicht auf der pfSense machen zu müssen.
Gruß
-
die Ports 7078-7109 brauchst du auch nicht weiterleiten, wenn dein VoIP Client diese Ports statisch setzt. In der /var/flash/voip.cfg muß da is-nat-aware=yes stehen. Außerdem soll in der pfsense die Zuordnung auch auf statisch gesetzt werden und manchmal muß wohl auch scrubbing deaktiviert werden. Sollte im Forum angepinnt sein, wie das zu tun ist.
Die Geschichte mit dem 2. Default Gateway kann ich gerade nicht nachvollziehen. Wohin schickt die pfsense Pakete, die eine Ziel-IP haben, dessen Subnetz nicht an der pfsense direkt anliegt? Welches "Default" soll dann dass echte "default" sein? Über WAN1 oder WAN2?
Gruß
pfadmin -
Die Geschichte mit dem 2. Default Gateway kann ich gerade nicht nachvollziehen.
Welches zweite Default GW? :) Es kann immer nur ein Default GW geben, aber es kann durchaus mehrere Upstream Gateways geben.
Wohin schickt die pfsense Pakete, die eine Ziel-IP haben, dessen Subnetz nicht an der pfsense direkt anliegt?
Das liegt ganz an deinem Setup. Primär natürlich zum Default GW, aber je nachdem auch durchaus möglich, dass das Paket bspw. von einer PBR aufgegriffen und über ein anderes Gateway verschickt wird bzw. als Reply dann via dem GW versendet wird über das es reinkam.
Grüße
-
eben, es kann nur ein default geben. Du schriebst aber
Dann ist das das Default GW des "2. WANs" - und dann ist es …
und da habe ich mich halt gewundert. Aber jetzt stimmt mein Weltbild wieder :-)
Gruß
pfadmin -
Damit war unglücklich formuliert gemeint, dass das zweite WAN bei zugeteiltem Gateway via DHCP auch dieses als "sein Upstream Gateway" nimmt, wenn es Daten vom LAN o.ä. bekommt. Das kommt dadurch, dass das GW fest auf das physische/logische Interface gebunden wird. Zudem gibt es dann automatisch erstellte Reply-To Regeln, die Traffic von diesem Interface auch wieder über dieses zurückliefern :)
Aber ja "default" an der Stelle war doof ausgedrückt.
