Dual WAN (DHCP + VLAN) mit einer physikalischen NIC

A_Loeer

Guten Abend alle beisammen!

Ich hatte zuletzt endlich die Umstellung auf den neuen Provider (innogy Highspeed) mit ungefähr 10facher Geschwindigkeit.
Ich habe somit gleich ein Hardware Upgrade durchgeführt, um die Leitung überhaupt ausnutzen zu können.

Folgendes ist nun im Einsatz:

Internet <---> Vigor 165 <---> pfSense VM <---> LAN

Meine Frage ist nun folgende:
innogy nutzt für den Anschluss zwei separate VLANs im Data und VoiP zu trennen.
Diese VLANs sind 132 und 232, auf beiden holt man sich die Adressen per DHCP.
Soweit so gut, Data Leitung läuft wunderbar, wobei aktuell das VLAN vom Vigor übernommen wird.
Bevor ich jedoch komplett das VLAN aufm Vigor deaktiviere, hab ich nach einer Möglichkeit gesucht, ein zweites virtuelles WAN Interface anzulegen ... hier bin ich gescheitert.

Suche ich nach den falschen Begriffen oder geht mein Vorhaben generell nicht auf Grund von fehlender Unterstützung?

mike69

@A_Loeer

Hallo.
Kenne den Anbieter nicht, es sieht jedoch so aus, dass du für VoIP auf dem WAN Interface ein VLAN mit deren VLAN ID fürs telefonieren einrichten musst.
Besser ist, die Sense fürs VLAN zu nutzen, also VLAN ID in der Vigor rausnehmen und in der Sense 2 VLAN auf dem WAN Interface erstellen. Das ist Dir überlassen.

Einfach zwei VLAN auf dem WAN Interface erstellen mit der Beispiel Bezeichnung "WAN-DATA" und "WAN-VOIP", danach die Interfaces unter "Interface Assignments" erstellen und die beiden Interfaces nach Vorgabe des ISP konfigurieren.

Hier ist eine Anleitung zum erstellen von VLAN Konfigurationen.

A_Loeer

@mike69

Vielen Dank für den Stubser in die richtige Richtung!
Das ganze scheint soweit zu funktionieren, ich hab jetzt VLAN 132 (Data) auf WAN assigned und VLAN 232 (Voice) auf OPT1, beide bekommen per DHCP eine IP aus dem richtigen Netz des Providers.
Für mich ist das ganze aber eine völlig neue Denkweise mit den VLANs und Interfaces in die ich erstmal reindenken musste

Somit ist die Sache für mich gelöst!

PS: sorry für die späte Reaktion ... hatte nen Trauerfall in der Familie

mike69

@A_Loeer

Herzliches Beileid.

Aber schön, das es funktioniert .

egn.h7b5

Hallo @A_Loeer,
könntest du deine Lösung genauer beschreiben?
Ich habe auch den Provider und versuche die Fritzbox(von Innogy) durch pfSense zu ersztzen.
Nach der Anleitung vom @mike69 habe ich immerhin beide WAN-ifs auch am laufen, IP-Addressen wurden auch zugeordnet.

Ich bekomme aber keine SIP-Registrierung am IP-Telefon (häng mit am LAN-Port der pfSense).
Sicherlich müsste ich noch Port-Forwarding einrichten?

A_Loeer

Hallo @egn-h7b5,

Leider muss ich zugeben, dass ich auch noch nicht weiter bin als du da mir aktuell noch das IP Telefon selbst fehlt. Vorher wurde das direkt im Archer VR600V gemacht und damit habe ich es auf Grund fehlender Zeit noch garnicht probiert.

A_Loeer

@egn-h7b5

Besser spät als nie ... weiss ja nicht, ob du bereits eine Lösung gefunden hast, aber ich bin mittlerweile mit einem Cisco SPA 112/122 soweit, dass ich mit den alten analogen DECT Telefonen wunderbar telefonieren kann.
Mein Archer VR600V ist leider nicht in der Lage die SIP Registrierung als normaler AP durchzuführen, also musste was anderes her.
Da auch ich auf diverse Probleme bei SIP Anmeldung stieß, habe ich viel mit Wireshark arbeiten müssen, denn der Cisco SPA ist nicht sonderlich gesprächig bei Fehlern.
Hierbei fiel auf, dass sämtlicher SIP Traffic nicht über die VOIP Leitung auf VLAN 232 geht, sondern wie alles andere auch über die Daten Leitung auf VLAN 132.

Für erste Tests hatte ich mal MicroSIP auf Windows hergenommen, was auch auf Anhieb klappte.

_igor_

@egn-h7b5
IP-Forwarding ist nicht notwendig.
Eine Outbound-Regel reicht: Hybrid-NAT aktiviern, dann die Outbound-Regel erstellen.
Interface WAN
IPv4
UDP
Network (IP oder Aiias des IP-Telefons oder der Fritzbox, die die Telefonie übernimmt)
Destination any
Address Interface-Adress
Static Port aktivieren
Fertig

Nur noch Regeln anlegen für LAN (entweder alle zu alle) oder explizit die Ports für SIP: 5060, 7078-7199.
Ich mußte wegen fehlender Tonübertragung bei Netcologne bis Port 42000 freigeben. Eventuell noch Ports 67 und 68 für den "SIP-DNS" eintragen. Alles UDP. Die Ports für VOIP in einem Alias macht das ganze sehr stressfrei.

Die Interfaces VOIP und DATA haben keine Regeln zugewiesen bekommen.

egn.h7b5

Hallo @ A_Loeer, hallo @_igor_.
Ich habe es nach einem langen "rumexperimentieren" im Dezember '19 aufgegeben:(
Aber mit den neuen Hinweisen von euch werde ich noch ein Versuch wagen und mich hier zurückmelden.
Reisen Dank für euere Mühe

JeGr

Ganz so einfach ists nicht mit nur auf Hybrid umschalten etc. - Das Interface muss auch stimmen. Wenn ihr via VLAN zwei Netze - eines für WAN und eines für VoIP - vom Provider zugeteilt bekommt, müssen die quasi wie zwei getrennte WANs behandelt werden. Ihr müsst dann sicherstellen, dass bspw. das Telefon oder die Telefone (oder die Anlage) eben nicht über das WAN IF rausgeht, sondern über das VoIP Gateway und dazu noch eben mit static Port, damit Port 5060 abgehend (SIP) auch 5060 bleibt und nicht umgeschrieben wird. Ansonsten kommt ihr beim Provider auf der falschen Line an und bekommt keine SIP Anmeldung, weil der euch auf der VOIP Line erwartet.

Grüße

A_Loeer

Ich weiss ja nicht, ob ihr was falsch verstanden habt, aber mein SIP Anmeldung bei Innogy läuft nach wie vor über das Data VLAN 132, theoretisch ist diese ganze Hybrid NAT und Port Einstellerei garnicht nötig und somit das Voice VLAN obsolet ... zumindest bei Innogy-Highspeed Anschlüssen.

_igor_

Hallo zurück!
Nach der Meldung von JeGr habe ich nochmal alles durchgetestet. (Zudem war mein Telefon wieder mal tot...)
Ich habe jetzt an Schnittstellen:
WAN: PPPOE via em1.10 (VLAN 10)
VOIP: DHCP via em1.20 (VLAN20)

Verbindung wird aufgebaut, Internet funktioniert.

Telefon:
Gateways:
WAN: aktiv, IP vom Provider da (die PPPOE-IP), Default-Gateway
VOIP_DHCP: IP vom Provider da (die DHCP-IP)

Regeln:
LAN: Regel für die benötigten UDP-Ports angelegt mit VOIP-Gateway; Source ist die Fritzbox.
VOIP: Regel mit any zu any angelegt.
NAT: Outbound-NAT: Quelle Fritzbox, UDP, Interface VOIP
Telefonie: Klingeln da, kein Ton auf beiden Seiten.

LAN-Regel geändert: Gateway auf Default gesetzt.
Telefonie: Klingeln da, Gespräch von Fritz --> extern (Handy) funktioniert. Umgekehrt ist nichts zu hören.

Outbound-Regel geändert: Interface WAN eingetragen.
Telefonie: Klingeln da, Ton auf beiden Seiten vorhanden.

Regeln nochmal geändert:
VOIP: Regel entfernt. Keine Regel mehr zugewiesen!
Telefonie: Alles da, Klingeln und Ton.

@A_Loeer: Prinzipiell ist ja mein VLAN 10 das WAN.
VOIP ist irgendwie obsolet. Keine Regeln, zudem hatte ich mit Packet-Capture nie auch nur ein Bit auf der Schnittstelle gesehen. Allerdings "brauche" ich das Interface aktiviert, da ich das VLAN "nur" definiere mit der entsprechenden Schnittstelle.
Wieso ist das Hybrid-NAT obsolet? Ohne es kein Telefon bzw. nur ausgehend Gesprächsübertragung.
Was mach ich dann noch falsch?

JeGr

@_igor_ Also in deinem Setup wäre ich davon ausgegangen - sofern das inogy wirklich so mitgeteilt hat - dass VoIP auch nur auf dem VOIP Interface geht, dass also eine Verbindung auf dem WAN abgelehnt wird. Aber vielleicht solltest du da einfach sicherheitshalber nochmal nachfragen, was da genau Phase ist. Ich kenne das nur von anderen Kunden von anderen Providern so, dass bei unterschiedlichen VLANs bzw. extra "VoIP WAN" es wie folgt läuft:

WAN: ganz normal konfigurieren wie benötigt (e.g. PPPoE, DHCP o.ä.)
VOIP_WAN: wird auf das VLAN konfiguriert, dass der ISP angibt, meist mit DHCP. Bekommt oft andere externe IP oder sog. private IP aus Providernetz.

LAN oder extra VoIP Netz für Telefonanlage oder Telefone:
Dort wird dann abgehend die Regel(n) so angepasst, dass sie über das Gateway VOIP_WAN rausgehen, damit die TK Anlage bzw. die Telefone auch wirklich nur über VOIP WAN sprechen. Wenn eingehend VOIP benötigt wird/soll, dann wird ein Port Forwarding auf dem VOIP_WAN konfiguriert (5060, 5061, je nachdem was der ISP braucht/will) auf die TK Anlage o.ä. Ausgehend wird in der Outbound NAT entweder im manual oder hybrid Mode eine Regel angelegt, die die VoIP Ports der Providers (unterschiedlich, 5060, 5061, udp/tcp) abgehend mit "static Port" auf VOIP_WAN(!) mappt, nicht auf das WAN. Daher nutzen wir hier fast immer Manual mode, da hier alles nicht gewünschte/unnötige NATting gleich weggelöscht werden kann (im Normalfall will man bspw. nicht, dass LAN -> VoipWAN spricht oder VoIP_LAN > WAN!).

Default Route bleibt eigentlich WAN (nicht automatisch) und daher können alle anderen Regeln (LAN, DMZ etc.) ganz normal mit Gateway "*" (default) angelegt werden. Eigentlich muss nur das VoIP_LAN->VoIP_WAN fix in der Regel konfiguriert werden und ein dazu passendes NAT existieren (mit static port).

Wie das aber im Speziellen Fall bei inogy aussieht, das kann ich nicht wissen, daher besser nochmal genau nachfragen, denn wenn die VoIP Verbindung augenscheinlich über WAN auch aufgebaut werden kann, verstehe ich das ganze Theater mit extra VLAN nicht.

_igor_

@JeGr
Danke für die Erklärung! Das hilft. Allerdings funktioniert das hier nur mit der LAN-Regel für die VOIP-Ports mit GW=WAN und die Outbound-Regel auch mit WAN als IF.
Regel VOIP-Ports via VOIP-GW macht nur ausgehend Gespräche möglich (Tonübertragung).
Die Einstellung der Outbound-Regel ist hier egal, Interface WAN, LAN oder VOIP, keine Änderung.
Nur wenn ich die LAN-Regel & die Outbound-Regel mit WAN anlege, funktioniert alles.
Allerdings habe ich netcologne, nicht innogy. Das Prinzip ist denke ich ähnlich. Mir gehts hier ums Gesamtverständnis, VLANs sind neu für mich.
Beim Packet-Capture laufen die Verbindungen richtig über das VOIP, nicht via PPPOE.
Ach so, die Fritz hat in den Einstellungen für VOIP auch VLAN 20 eingetragen.
Ich denke, daß diese Einstellung dazu beiträgt, daß die Pakete richtig reisen.
Daher ist für mich jetzt erstmal alles gut hier. Ich weiß etwas mehr von der Materie als noch vor einer Woche. Das ist schonmal ein gutes Ergebnis.

volvog

Hab den Beitrag hier gesehen und stehe gerade vor dem gleichen Problem. Ebenfalls NetCologne.
Ich habe 2 Schnittstellen WAN_Daten (VLAN 10) und WAN_VoIP (VLAN 20) angelegt. Beide erhalten eine IP-Adresse vom Provider.
Intern habe ich ebenfalls ein LAN (VLAN 1) und LAN_VoIP (VLAN 20).

Internet funktioniert und das IP-Telefon hat eine Adresse im 20er Netz.

Was mir jetzt noch nicht ganz klar geworden ist, sind die benötigten (oder eben auch nicht) Regeln in der Firewall...
Ich habe eine Regel definiert:
ERLAUBE alles IPv4 von LAN_VoIP nach WAN_VoIP mit GW WAN_VoIP_DHCP.
Außerdem habe ich eine Regel Outbound NAT:
Für Schnittstelle WAN_VoIP statischer Port auf Schnittstellenadresse für alle Protokolle IPv4 aus 192.168.20.0/24 (VLAN 20)...

Aber noch connected sich mein IP-Phone nicht...?!?

JeGr

@volvog said in Dual WAN (DHCP + VLAN) mit einer physikalischen NIC:

Ich habe 2 Schnittstellen WAN_Daten (VLAN 10) und WAN_VoIP (VLAN 20) angelegt. Beide erhalten eine IP-Adresse vom Provider.
Intern habe ich ebenfalls ein LAN (VLAN 1) und LAN_VoIP (VLAN 20)

Oh das klingt falsch. Du kannst doch nicht 2 VLANs mit gleicher ID aber mit anderem Zweck/Interface auf der Sense auflegen? Das führt doch zu Verwirrung :)

Aber noch connected sich mein IP-Phone nicht...?!?

Dann gibt es andere Probleme denn der Connect oder nicht, spielt noch nicht wirklich mit VoIP/Static Port zusammen. Dann klappt was am Anschluß noch grundlegend nicht, denn static port kommt erst ins Spiel wenn Anrufe wirklich reinkommen, die Anmeldung an SIP klappt meistens auch ohne auch wenns holpern kann.

volvog

Jetzt bin ich irgendwie ausgestiegen...?!?
Wieso mit gleicher ID?
Netcologne verlangt Daten auf VLAN 10 und VoIP auf VLAN 20.
Erstere habe ich als PPPoE angelegt, zweite als DHCP. Das ist doch auch genau das, was oben auch beschrieben wurde, nur mit VLAN 132 und 232 bzw. bei igor als
WAN: PPPOE via em1.10 (VLAN 10)
VOIP: DHCP via em1.20 (VLAN20)

Genau so ist es bei mir auch eingerichtet...

viragomann

@volvog said in Dual WAN (DHCP + VLAN) mit einer physikalischen NIC:

Ich habe 2 Schnittstellen WAN_Daten (VLAN 10) und WAN_VoIP (VLAN 20) angelegt. Beide erhalten eine IP-Adresse vom Provider.
Intern habe ich ebenfalls ein LAN (VLAN 1) und LAN_VoIP (VLAN 20).

Demnach haben doch WAN_VoIP und LAN_VoIP dieselbe VLAN ID.

ERLAUBE alles IPv4 von LAN_VoIP nach WAN_VoIP mit GW WAN_VoIP_DHCP.

"WAN_VoIP" ist lediglich das Subnetz, in dem sich das Interface befindet. Darin befindet sich aber wohl nicht das gewünschte Ziel.
Wenn das Ziel unbekannt ist, musst du "any" dafür angeben.

volvog

Ach so meinst Du das mit gleiche ID...
Aber es sind ja unterschiedliche Netze: WAN bekommt von Netcologne 'ne 10.x.y.z und intern habe ich 'ne 192.168.10...

Ok, das mit der Regel ist ein Argument, die sollte ich mal ändern...

viragomann

@volvog said in Dual WAN (DHCP + VLAN) mit einer physikalischen NIC:

Aber es sind ja unterschiedliche Netze: WAN bekommt von Netcologne 'ne 10.x.y.z und intern habe ich 'ne 192.168.10...

Du meinst, unterschiedliche Interfaces / Netzwerksegmente.
Ja, sollte eigentlich gehen, aber ich denke, das hat @JeGr gemeint.