PfSense + Telekom Hybrid

michaeljk

Hallo,

da bei uns in nächster Zeit kein (V)DSL Ausbau geplant ist, prüfe ich derzeit den Wechsel auf einen Hybrid-Anschluss. Laut Telekom wäre bei uns Hybrid M möglich. Zur Zeit haben wir an der pfSense ein ALLNET-DSL Modem (normaler 16 MBit DSL-IP Anschluss) am WAN-Port hängen, dazu LAN und DMZ Port (letzterer aber quasi ungenutzt).

Gibt es bereits Erfahrungen in Bezug auf Telekom Hybrid mit pfSense? Mir ist bewusst das ich dann vermutlich den Speedport-Router einsetzen muss, somit würde es am Schluss auf ein Double-NAT hinauslaufen. Klappen in diesem Zusammenhang auch Portweiterleitungen wie bisher, kann man das anständig im Speedport konfigurieren oder gibt es da Besonderheiten?

Insbesondere bin ich noch unschlüssig, ob ich den bestehenden IP-Anschluss auf einen Hybrid umwandeln sollte oder einen komplett neuen Anschluss schalten lasse, der dann mit dem Speedport-Router an einem zweiten WAN-Anschluss bei der pfSense angeklemmt wird. Wir haben hier intern einige VOIP-Telefone (sipgate) im Einsatz und ich möchte natürlich vermeiden, das nach der Umstellung auf Hybrid dort nichts mehr zuverlässig funktioniert. Mein Gedanke bei Multi-WAN war daher, bestimmte Hosts anhand der IP-Adresse immer über den Speedport zu routen und alle übrigen Geräte wie bisher über den DSL-Anschluss. Eine Komplettumstellung auf Hybrid wäre aber wohl einfacher und kostengünstiger.

Was meint ihr, welche Option dahingehend am sinnvollsten wäre? Hat jemand von euch bereits Hybrid im Einsatz und kann etwas zur Geschwindigkeit/Zuverlässigkeit sagen?

Grüsse,

Michael

comtel

Hi Michael,
habe ich hier so laufen!

Der Speedport Hybrid wird bei mir nur für den Internetzugang benutzt.
Leider muss man natürlich die Portfreigabe im Speedport vornehmen und dann in der pfSense.
Aber Achtung! Der Speedport kann nur UDP und TCP Portfreigaben…
IPSec VPN funktioniert, nur über NAT Port 4500
OpenVPN keine Probleme.
Geschwindigkeit ist echt super, habe einen DSL 6000 Anschluss und mit LTE auf 100 / 40 angehoben.

Anbei ein aktueller Speedtest (Ookla)
102,78MBit/s -//- 42,3MBit/s -//- PING 26ms

michaeljk

Das klingt doch schonmal ganz gut. Portfreigaben benötige ich momentan nur eine, da bleibt natürlich die Frage ob ich zukünftig für die VOIP-Telefone noch die Ports einzeln durchschleifen muss. Die Möglichkeit einer DMZ oder eines "Exposed Host" wie bei den Fritzboxen gibt es bei den Speedports aber nicht, oder?

Was passiert eigentlich, wenn die Tarifumstellung auf Hybrid bei einem vorhandenen Anschluss beauftragt wird - funktioniert der normale DSL-Zugang mit den bisherigen Zugangsdaten weiterhin nach der Umstellung (natürlich dann ohne LTE) ? Mir geht es nur darum Ausfälle zu vermeiden, notfalls könnte ich dann ein pfSense-Backup vorher ziehen oder wieder einspielen. Wie sieht die Umschaltung auf LTE denn in der Praxis aus, springt das automatisch ein sobald größere Downloads/Uploads starten oder gibt es da noch weitere Kriterien?

comtel

Moin Moin,
ich würde sagen, es wird kurzfristig ausfallen. Da deine DSL-Leitung auf DSL-RAM umgeschaltet wird. Bedeutet, du hast sage ich mal vorher z.B. DSL 6000 / 600 bei der Umstellung auf Hybrid wird dann auf RAM Annex J (Reine DSL Leitung) umgestellt, dann hast du von ca 6000-16000 im Download und im Upload von ca. 600-2300. Hierbei kommt es immer auf die Entfernung zum Telekom Verteiler an.
Im Normalfall wird nur umgeschaltet, hier sollte es eine Service- Unterbrechung von wenigen Minuten geben.
Danach kommt es auf dein Modem / Router an, ob dieser auch Annex J als DSL- Profil kann.

Der Speedport Hybrid kann keine Exposed Host Freigaben. Man muss hier immer schön alles einzeln per Hand freigeben. :-(

Die zuschaltung von LTE funktioniert völlig automatisch innerhalb Sekunden. Nach extern hast du immer ein und dieselbe IPv4 Adresse (Der Speedport bündelt alles in VPN Tunneln bis zum Übergabepunkt der Telekom)

VoIP der Telekom und Speedport + pfSense sind keine direkten Freunde :-)
Funktioniert aber.
Ich habe im Speedport Hybrid keine Telefonnummern angemeldet, ich habe eine TK-Anlage an der pfSense hängen und hier alle 10 VoIP MSN registriert. Dann im lokalen Netzwerk IP-Telefone die sich an der TK-Anlage anmelden.

michaeljk

Ich habe bereits einen Annex-J Anschluss (also nur IP-basierendes DSL) hier, von daher denke ich, dass da kein Ausfall zu erwarten wäre. Von der Geschwindigkeit liegt der bei 16MBit/s im Download und 1,5 Mbit/s im Upload, insbesondere aber bei letzterem wäre ein höherer Wert in Verbindung mit LTE dann schön. Die Rufnummern (VOIP) der Telekom nutze ich nicht.

Eine Sache verstehe ich an der LTE-Geschichte aber noch nicht: Wovon hängt es dort technisch ab, welche Maximalgeschwindigkeit (bzw. welchen Hybrid-Tarif) man buchen kann? Laut telefonischer Auskunft bekomme ich lediglich Hybrid M (also mit 50 Mbit/s Download / 10 MBit/s Upload), obwohl mir die LTE-Verfügbarkeitskarte der Telekom einen Wert von 150 Mbit/s anzeigt? Der Hybrid L mit 100 Mbit/s wäre natürlich toll, den scheine ich aber nicht erhalten zu können. Wird bei LTE in den Hybrid-Tarifen auch die Geschwindigkeit (nicht nach Verbrauch, nur die Bandbreite, z.B. 50 Mbit/s) gedrosselt?

comtel

Ja, richtig. Die Telekom verkauft nur 50/10 per Hybrid bei ADSL bis 16000. Es gibt dann aber eine "Option" welche ich buchen konnte. Damit hatte ich dann die Anhebung auf 100/40
Diese Werte schwanken natürlich nach Auslastung der LTE-Zelle
Der Hybrid Traffic wird gaaaaaaaaaanz hinten dran gehängt.
Es gehen alle Kunden im Mobilfunknetz vor.

Ich habe habe ca. 200m zum LTE Standort der Telekom, somit 100% Empfang.
Der Speedport kann aber auch mit externen Antennen versorgt werden.

michaeljk

Hat diese "Option" eine spezielle Bezeichnung? Ich bin dies heute an der Hotline nochmal durchgegangen, dort konnte man aber bisher auch nur Hybrid M mit 50 MBit/s ordern - das habe ich dann auch mal direkt getan. Die Distanz zum Mobilfunkmast ist auch nur wenige hundert Meter. Mir ist allerdings aufgefallen, dass ich im LTE-Band B3 (1800 MHz) deutlich höhere Datenraten bekommen habe, als mit B20 (800 MHz). Dafür empfange ich B3 aber auch nur direkt ganz oben im Dachboden, mal sehen wie das später mit den richtigen Antennen aussieht (habe das nur mit einem Netgear WLAN-Hotspot testen können auf die schnelle).

Gibt es seitens pfSense etwas besonderes zu beachten? Ich würde jetzt mal vermuten, dass die bisherige PPPoE-Konfiguration am WAN-Port abgeändert wird zu DHCP oder einer statischen IP, dann eine Kabelverbindung zum Speedport Hybrid Router. Falls Ports durchgereicht werden müssen, das ganze direkt im Hybrid-Router und in der pfSense-Firewall konfigurieren. Gibt es grosse Geschwindigkeitseinbussen aufgrund des Doppel-NATs?

comtel

Habe gerade mit einem Kollegen gesprochen, dieser sagte mir in manchen Regionen gibt es nur bis zu 50MBit. Ich bin mir nicht sicher was der Speedport kann, 1800MHz auf jeden Fall, ist ja hier verfügbar :-)

Ich habe dem Speedport einfach eine andere IP gegeben (Standard ist ja 192.168.2.0/24), habe DHCP am Speedport deaktiviert und der pfSense eine Feste IP auf dem WAN- Interface gegeben.

Geschwindigkeitsmäßig kann ich keine großen Unterschiede feststellen.
Wie gesagt, dass LTE schwankt halt nach Auslastung der Basisstation.

Ich würde mir einen Hybrid Router von AVM wünschen, denke allerdings das wird nix ;-)

michaeljk

Danke für die Rückmeldung :-) Bereits heute (2 Tage nach der Bestellung) ist der neue Router mit SIM-Karte eingetroffen. Dummerweise ist der Umstellungstermin erst am Montag, also heisst es jetzt abwarten. Laut Rücksprache mit der Hotline kann man nach 3 Monaten die Speed-Option wohl ändern lassen, dann führe ich evtl. das Upgrade auf Hybrid L durch (sofern Hybrid M problemlos funktioniert). Was die Auslastung anbelangt so bin ich guter Dinge, ich habe es zumindest bereits tagsüber geschafft problemlos 50 MBit/s im Download zu übertragen - größtes Problem wird erstmal sein, wie ich den Router auf den Dachboden bekomme ;-)

Die Konfiguration auf der pfSense dürfte sehr einfach sein. Kann man eigentlich bestimmte Dienste auf die DSL-Festnetzleitung im Speedport beschränken? Ich hatte da mal etwas gelesen, dass SSH & co Probleme bereiten sollen, oder war dies nur in der Anfangszeit?

comtel

Dann viel Spaß damit :-)

Ja kann man! Hier kann man einstellen was nur über DSL rausgehen soll.
SSH und VPN machen keine Probleme mehr.
Habe nur eine Regel drin welche SIP Traffic über DSL leitet. Dieses machte bei mir Probleme.

michaeljk

Nachdem der Hybrid-Router schon einige Tage hier bereit lag, wurde heute auch endlich der Anschluss geschaltet :-) Ich habe bis jetzt alles geschafft einzustellen, nur eine Sache macht noch Probleme: VOIP :-(

Um die Fehlerquelle zu lokalisieren, hatte ich zunächst alles auf "DSL-Only" umgestellt bzw. über eine Regel alles was von der pfsense kommt bzw. an diese geht über die DSL-Leitung im Speedport geroutet. Ich habe hier einfache Snom-Telefone, darin stehen die jeweiligen Zugangsdaten - als die pfsense noch die PPPoE-Einwahl getätigt hatte, brauchte es dort keine speziellen Portfreigaben oder Firewallregeln, die Telefone liefen auf Anhieb. Jetzt aber besteht das Problem, dass man zwar herausrufen kann, der Angerufene hört auch etwas, aber der Weg zurück funktioniert nicht (bleibt Stumm). Ebenso kommen keine Anrufe rein.

Dementsprechend scheitert es wohl irgendwo noch an der Übergabe der Datenpakete vom Speedport an die pfsense, obwohl ich dort testweise einmal die Ports direkt an die pfsense freigegeben hatte (und in der NAT/Firewall-Konfig natürlich ebenso auf die interne IP). Habe ich irgendwo einen Punkt vergessen?


comtel

Das liegt am NAT - NAT (Hybrid Router, pfSense Netz)
Hier gibt es das Packages siproxd. Das könntest du mal probieren.
Die Regel im Hybrid alles was mit SIP zutun hat über DSL zuleiten habe ich auch drin.
Dann noch stun benutzen und es sollte funktionieren.
Hatte ja ganz zu Anfang schon geschrieben, pfSense und Speedport sind keine direkten Freunde :-)

michaeljk

Mich wundert es allerdings, das die direkten Port-Weiterleitungen auch nicht funktionieren. Einen STUN-Server von sipgate habe ich ebenfalls hier und grade getestet, ebenfalls ohne Erfolg.

Wie ist denn dein Aufbau genau?
Speedport <-> pfSense <-> Fritzbox <-> Telefone ?
Welche Ports hast du denn auf dem Speedport und der pfSense für SIP geöffnet, gab es besondere Einstellungen an der Fritzbox?

comtel

Wichtig ist nur, bitte in den IP-Telefonen den Port ändern mit dem die Telefone die Verbindung raus aufbauen. Standard ist 5060, habe bei meinen z. B. 5065, 5066 usw. eingetragen. Der Speedport macht sonst was ganz komisches, wenn Geräte Port 5060 benutzen.

michaeljk

Leider bin ich in der Sache noch immer nicht weiter gekommen - wie es scheint, kommen wohl die Portweiterleitungen überhaupt nicht an der pfsense an, daher vermute ich derzeit eher noch einen Fehler im Speedport-Router. Im folgenden mal meine Einstellungen im Detail:

Speedport-Router:
Internetverbindungen -> LTE deaktivieren oder Ausnahmen hinzufügen -> Verbindungsmodus -> Nur DSL (um LTE-Probleme vorerst auszuschliessen)
Portfreischaltungen -> Port-Umleitungen und Port-Weiterleitungen:
Gilt für folgendes Gerät: [pfSense ausgewählt]
UDP 6000 -> 6000, UDP 60200-60240 -> 60200-60240

pfSense:
Firewall -> NAT -> Port Forward
Interface WAN, Protocol UDP, Source address + Ports *, Dest. WAN address, Dest Ports 6000, NAT IP 192.168.0.150, NAT Ports 6000
Interface WAN, Protocol UDP, Source address + Ports *, Dest. WAN address, Dest Ports 60200-60240, NAT IP 192.168.0.150, NAT Ports 60200-60240

Interfaces -> WAN -> Block private networks (RFC 1918): Ist derzeit nicht markiert, da der Speedport die 192.168.2.1 nutzt, das WAN-Interface der pfSense die 192.168.2.2. Ist dies korrekt? "Block bogon networks" ist aktiv.

snom Telefon:
STUN-Server ist hinterlegt (stun.sipgate.net:3478)
Outbound-Proxy ist eingetragen (proxy.live.sipgate.de, Port:5060)
Netzwerkidentität (Port): 6000
Dynamischer RTP Port start: 60200
Dynamischer RTP Port stop: 60240

Wenn ich das Telefon von extern anrufe, kommt nach kurzer Zeit ein besetzt (die Verbindung geht scheinbar nicht durch). Rufe ich vom Telefon aus nach extern an, dann wird der Anruf signalisiert und Sprache kommt beim Angerufenen an, nicht jedoch umgekehrt beim snom-Telefon (demnach wohl kein eingehender RTP-Traffic). Bei den Firewall-Rules in der pfsense habe ich für die Ports 6000 und 60200-60240 das Logging aktiviert, sehe aber bei "Status -> System Logs -> Firewall" keine Einträge für die IP 192.168.0.150 (snom). Ich gehe daher davon aus, dass kein Traffic bei der pfSense eintrifft?

Ich habe gleichzeitig noch im Speedport und in der pfSense ein TCP-Portforwarding für einen Rechner auf einem einzelnen Port hinterlegt (HTTP-Traffic), dort funktioniert alles einwandfrei. Testweise habe ich auch mal ein Softphone (Telefon.app unter OS X) installiert - dort werden zwar Anrufe von extern signalisiert, allerdings funktioniert die eingehende Sprachübertragung ebenfalls nicht.

Sorry für den vielen Text, aber nach mehreren Stunden testen von allen möglichen Kombinationen an Einstellungen bin ich leider mit meinem Latein am Ende. Es wäre sehr schade wenn ich den Router zurückschicken müsste, denn alles andere funktioniert bis dato einwandfrei - die Übertragung mit der Hybrid-M Option liegt bei zwischen 50-60 MBit/s im Download und bei um die 10 MBit/s im Upload, obwohl der Router nur 2 Empfangsbalken zeigt und derzeit noch im Erdgeschoss steht :-)

comtel

Ja, der Speedport Hybrid ist echt nicht so schön!!!

Was passiert wenn du das SIP-Telefon direkt an dem Speedport betreibst? Funktioniert es dann?
Ich kann es morgen (heute schaffe ich es nicht) mal testen bei mir, habe ein Gigaset Pro IP-Telefon und ein SNOM für Testzwecke.

michaeljk

Ich habe heute mal die einfachste aller Varianten getestet: Das Snom-Telefon direkt mit an den Speedport per separatem LAN-Port, somit nicht mehr hinter der pfsense. Jetzt ist das Problem mit der Audioübertragung gelöst (man hört also Sprache von beiden Seiten). Allerdings kann nur das snom-Telefon raustelefonieren, die Anrufsignalisierung nach innen funktioniert noch immer nicht :-(

Habe da bereits viele Kombinationen durch:

• Ohne Portweiterleitungen
• Extra Port für snom (5160 statt 5060), mit und ohne Portforwarding
• LTE komplett deaktiviert
• LTE+DSL und das Snom-Telefon als Ausnahme für LTE eingefügt
• STUN-Server im Telefon eingetragen / entfernt
• Mehrfache Reboots des Telefons
• Einige Reboots des Speedport-Routers

Da das Snom-Telefon auch zuvor an der pfSense (WAN mit PPPoE) mit den normalen Einstellungen perfekt funktionierte, gehe ich davon aus das der Speedport in Sachen NAT / Firewall etwas prinzipiell anders macht. Ich kann mir allerdings nicht vorstellen, das ein VOIP-Telefon direkt am Speedport angestöpselt nicht funktionieren soll, dann würde es auch Probleme mit den ganzen Fritzboxen, Asterisk-Systemen usw. geben.

Edit:
Ich bin einen Schritt weiter aufgrund dieses Topics:
http://www.ip-phone-forum.de/showthread.php?t=282174

Nachdem ich den Servertyp auf "Asterisk" beim snom-Telefon umgestellt hatte, funktionieren nun die Anrufsignalisierungen ebenfalls einwandfrei, als auch die beidseitige Audioübertragung. Wohlgemerkt aber bisher nur am Speedport direkt - ich hatte daraufhin nochmal das Telefon umgestöpselt an die pfsense, dort funktioniert jetzt auch die Anrufsignalisierung, aber die Audioübertragung nach innen geht noch nicht. Testweise nochmal eigene Ports im Forwarding eingetragen auf Speedport & pfSense & snom (UDP 5160 für SIP und 5104-5120 für RTP), brachte aber keine Änderung. Speedport-Router lief in diesem Moment zur Sicherheit auf DSL-Only Betrieb ohne LTE.

-flo- 0

Hast Du im letzten Setup auch nochmal ohne STUN und port forwards probiert?

Lies mal in diesem Post über Symmetric RTP nach. Sofern Du Telekom VoIP nutzt, sollte die Gegenstelle den selben Port für eingehendes Audio verwenden, wie das Snom für ausgehendes Audio. Wenn das so läuft, braucht es keine Port-Forwards, static ports und auch kein STUN, da die Firewall das eingehende Audio im Rahmen einer bereits aufgebauten Verbindung annimmt.

-flo-

michaeljk

Mit "letzten Setup" meintest du mit dem snom-Telefon wieder an der pfsense? Am Speedport funktionieren nun alle Telefone bis jetzt problemlos, allerdings benötigen diese dann einen eigenen LAN-Port, damit ich den Datenverkehr auf den neuen Switch lenken kann (der an der Speedport hängt).

Als VOIP-Anbieter ist hier sipgate Team im Einsatz. Dadurch das die übrigen Telefone jetzt erstmal übergangsweise laufen, kann ich mit einem Gerät in Ruhe an der pfSense testen. Soweit ich mich erinnere hatte ich diese Konstellation aber bereits geprüft:

Internet <-> Speedport <-> pfSense <-> snom

Das war ganz zu Beginn, als die Telefone noch die Standard-Konfiguration hatten. Zu diesem Zeitpunkt musste ich auch in der pfSense in den Firewall/NAT-Regeln keine Einstellungen vornehmen, alle Telefone liefen auf Anhieb. Durch das jetzige schalten hinter den Speedport haben wir aber kein normales NAT mehr sondern ein Doppel-NAT, daher vermute ich das in den RTP-Paketen irgendwo ein falscher Port oder IP-Adresse steckt und dieser daher nicht am Telefon ankommen.

comtel

Also sipgate habe ich gerade getestet. Es funktioniert!
Anbei zwei Sceenshots.

Speedport: Portfreischaltung UDP 7078-7096 -> Auf die pfSense
pfSense: NAT-Regel 7078-7096 auf meine Gigaset N510 IP Pro

Ab da an funktionierte die Sprache.