Hallo zusammen,
mich treibt das Thema VoIP bei meinem Glasfaser-Anschluss mittlerweile wirklich zur Verzweifelung, daher hoffe ich auf eure Hilfe. Ich habe gefühlt jedes Tutorial und jeden Post abgearbeitet, doch komme ich nicht zu einem funktionierenden Telefon. Die Fritz!Box kann für die dort hinterlegten Nummern keine Registrierung vornehmen. Die "Lampen" neben den Rufnummern werden nicht grün.
Da in den besagten Posts nie erwähnt wurde, dass der Provider eventuell getrennte VLANs für Daten und Telefonie bereitstellt oder dass es um PPPoE geht, könnte hierin das Problem liegen. Vielleicht folgte ich schlicht den falschen Herangehensweisen?
Der Reihe nach:
- es geht um einen FFTH-Anschluss
- die Fritz!Box wurde nach den Werkseinstellungen konfiguriert, in dem man sich auf einer bestimmten Internetseite einwählen musste. Anschließend wurden die Internet- und Telefonie-Einstellungen auf die Box geschrieben
- über je ein VLAN wird jeweils das Internet (VLAN 101) und das Telefonieren (VLAN 201) realisiert
- für das Internet und das Telefonieren liegen mir unterschiedliche Benutzernamen und Kennwörter vor
- aus den Werkseinstellungen der Fritz!Box heraus, ist es nicht möglich die eigenen Rufnummern einzutragen. Man ist also darauf angewiesen, das Setup mit der Internetseite einmalig abzuschließen
- ob man eins zu eins die Informationen von 1und1 bzw. Versatel für meinen Anschluss verwenden kann, dabei bin ich mir unsicher. Es geht hier um einen Anschluss, den ich über einen lokalen Internetanbieter abgeschlossen habe. In den Zugangsdaten und dem Initial-Setup ist aber immer wieder Versatel zu lesen
Aktuell ist der Aufbau wie folgt:Das Glasfaserkabel kommt im Keller an und geht auf einen Hausanschlusskasten. Von da aus geht ein Glasfaserkabel zum ONT. Ein Huawei Modem, auf das kein Zugriff meinerseits besteht. Vom Huawei Modem aus geht ein Netzwerkkabel zur Fritz!Box auf Port 1. Die Fritz!Box ist auf Port 2 mit dem Switch verbunden. Die Fritz!Box ist als Router konfiguriert und über ihr läuft das WLAN im Mesh, als auch das Telefon via DECT und VoIP.
Zukünftiger Aufbau:Ich habe auf einem Mini PC - einem Intel Celeron N5105, mit 4 Netzwerkanschlüssen, OPNsense installiert.
Vom ONT aus soll das Netzwerkkabel zu Port 2 der OPNsense gehen. Auf Port 1 der OPNsense ist diese mit dem LAN-Switch verbunden. Die Fritz!Box wird von
Router auf
IP-Client umgestellt. Eine Verbindung mit dem ONT liegt für sie nicht mehr an. Lediglich auf Port 1 wird sie mit dem Switch verbunden. Zur Vereinfachung erhält die Fritz!Box eine statische IP (192.168.1.5).
Da lediglich auf IP-Client umgestellt wird, erwarte ich, dass die Fritz!Box die immer noch hinterlegten Rufnummern registrieren kann und ein Telefonieren möglich ist, nachdem entsprechende Einstellungen in der OPNsense gesetzt wurden.
Die Aufgabe der Fritz!Box soll lediglich auf das Thema WLAN und Telefonieren beschränkt werden. DHCP bspw. läuft ebenso auf der OPNsense.
WAN / Internet
:
: PPPoE-Provider
:
.-----+-----.
| ONT | ("HUAWEI Modem")
'--+-----+--'
| |
PPPoE0 | | PPPoE1
VLAN 101 | | VLAN 202
GW 203.0.113.123| | GW 172.16.1.1 / SIP-Proxy 10.0.0.4
.---+-----+--.
| OPNsense |
'-----+------'
|
LAN | 192.168.1.1/24
|
.-----+------.
| LAN-Switch | (TP-Link Managed Switch TL-SG2218)
'---+---+----'
| | + VLAN 201
.----' '----. |
| | |
.----+----. .-----+--+--.
| Clients | | Fritz!Box |
'---------' '-----------'
192.168.1.5/24
In den quasi Werkseinstellungen der OPNsense habe ich zwei entsprechende VLANs angelegt. Das 101er und das 201er.
Anschließend über "Interfaces: Point-to-Point: Devices" habe ich jeweils ein Interface angelegt, mit dem Link Type "PPPoE" und dem entsprechenden VLAN-Interface.
Während ich auf dem WAN keine IP-Adresszuordnung erhielt (Dashboard Interfaces), wurde mir nach der Zuordnung (Assignment) des PPPoE-Devices mit der VLAN 101 dort eine öffentliche IP zugeteilt und ich mein Internet funktionierte über die OPNsense und im gesamten LAN-Netzwerk. Was mich wunderte war, dass für das entsprechende PPPoE-Devices mit der VLAN 201 keine IP zugeordnet wurde. Ich schob es aber darauf, dass vielleicht nur im Fall eines aufgebauten Telefonats eine IP bzw. Verbindung hergestellt wird. Was mich hier ebenfalls wunderte war, dass aus dem WAN_VoIP mit 0.0.0.0:68 eine Verbindung nach außen blockiert wurde, die auf eine 255.255.255..:69 ging..
Identifier: opt2
Device: vlan0.201
Description: WAN_VoIP
Was mir nebenbei nicht ganz klar war, war die Einstellung zu "Block private networks" und "Block bogon networks". Für das WAN Interface ist es entsprechend aktiviert. Sollte ich es in den entsprechenden VLANs ebenso aktivieren?
Verbindungsinformationen
- VoIP-Accounts
- SIP-Realm: versatel.sip
- SIP-Proxy: 10.0.0.4
- SIP-Registrar: versatel.sip
- SIP-Proxy-Port (optional): 5060
- Benutzerkennung
- Passwort
- Internet-Zugang
Wenn ich in OPNsense einen Post oder Tutorial ausprobiert habe, dann wurde zuvor OPNsense zurückgesetzt, damit wirklich keine alten Regeln oder ähnliches hier zu Problemen führt. Bevor ich die Fritz!Box in den IP-Client Modus gesetzt habe, sicherte ich die Box, um schnell wieder den alten Stand einzuspielen. Da das Telefon regelmäßig über den Tag in Gebrauch ist, verlagerte ich meine Aktivitäten immer auf die Abendstunden.
Hi,
keine Ahnung ob es dir hilft, denn bei mir ist der Aufbau gänzlich anders - aber vieleicht mal als Anregung:
Bei mir ist die FritzBox Internetrouter und Telefonanlage, dann die OPNSENSE und dahinter mein Netzwerk.
Aus dem Netzwerk heraus registriere ich SoftPhones als SIP Clients an der FB (also nicht am Provider),
Aus der OPN geht alles mit Outbound/Hide -NAT raus, damit die Pakete den Absender OPN haben.
Aber
-SIP Sprachübertragung läuft über RPC und in diesen Paketen steht der Absender hart drin. (zusätzlich zum TCP/IP Header)
Es nützt also kein Outbound-NAT da die FB versucht die RPC Pakete an die Netzadresse von hinter der OPN zu senden
Daher musste ich eine Route FB zu "Netz hinter der OPN" auf den WAN port der OPN setzen UND "block private network" DEaktivieren.
Logisch existiert zwischen FB und OPN ein Netz aus dem privaten Bereich, also musste ich die Blockade von privaten Netzwerken lösen, um den Empfang zu erlauben.....
Hallo Baender,
ich weiß nichtn ob dir das hier hilft und vor allem die dort verlinkte Anleitung:
https://forum.opnsense.org/index.php?topic=26928.msg130482
wie dort beschrieben, brauchst das Forwarding aber nicht unbedingt.
Ich habe eben bei einer Fritzbox geschaut:
unter
Zugangsdaten sind folgende Radiobuttons aktiviert:
- Anschluss an externes Modem oder Router
und
- Vorhandene Internetverbindung mitbenutzen (WLAN Mesh / IP-Client-Modus)
Die Fritzbox kann Telefonie machen und WLAN anbieten.
Ich bin nicht bei 1&1, hab aber grob ähnliche Settings wie dein Vorhaben: Modem -> Opnsense -> SW ->...
Aber die Opnsense muss zu erst richtig installiert werden.
Wenn man AdGuard oder seine Verwandte hat, muss man mehr Acht auf die den DNS-Einstellungen geben.
Zunächst mal scheint ja der Internet-Zugriff zu funktionieren, indem Du das WAN per PPPoE nutzt.
Nach allem, was ich über Versatel SIP gelesen habe, scheint dies nur über den Anschluss selbst zu funktionieren. Beispielsweise wird "versatel.sip" als SIP-Registrar im öffentlichen Internet gar nicht aufgelöst.
IP-technisch ist es offenbar ein nicht-routebares 10er Netz, das nicht über die WAN-Verbindung, sondern über eine zweite PPPoE-Verbindung läuft, die über ein separates VLAN aufgebaut werden muss, Du bekommst also ein "WAN"- und ein "TELEFONIE"-Interface.
Das müsste sich so auswirken, dass Du am TELEFONIE-Interface eine IP aus dem Range 10... zugeteilt bekommst und dass der Traffic für dieses Netz dann eben nicht über das WAN, sondern hierüber läuft. Vorab: Zumindest für TELEFONIE, darf "block private networks" natürlich nicht eingeschaltet sein.
Offen sind da mindestens zwei Punkte:
1. Die "Verbindungsinformationen" für SIP sind für die Telefonie-Accounts der Fritzbox, aber was sind die Credentials für die zweite PPPoE-Verbindung? Offenbar bekommst Du ja bislang keine IP dort.
2. Wie musst Du den DNS einstellen, damit die Fritzbox im internen Netz "versatel.sip" findet? Vermutlich wird das in den Versatel-DNS eingesteuert, per 8.8.8.8 würde das aber z.B. nicht funktionieren.
P.S.: Deine Überschrift passt nicht, wie das bei 1&1 bzw. bei der Telekom geht, hat mit Deinem Problem eher wenig zu tun.
Hallo meyergru, hallo alle,
vielen Dank für deine/eure Nachricht(en). Ich habe das Gefühl, dass dein Post in die richtige Richtung geht. Danke auch bisher an alle anderen Poster, aber gerade bei den geteilten Informationen findet man - wie ich zuvor auch in den Recherchen, immer nur Informationen zu PPPoE, bei dem entweder kein VLAN und VoIP verwendet wird oder VLAN zwar verwendet wird, jedoch VoIP nicht thematisiert wird.
Den Link https://mg-sky.de/2018/05/11/voip-mit-einer-firtzbox-7490-hinter-opnsense (https://mg-sky.de/2018/05/11/voip-mit-einer-firtzbox-7490-hinter-opnsense) bspw. hatte ich recht früh am Anfang zu diesem Thema bereits durchgearbeitet. Da fragte ich mich bereits, ob die Verwendung von [WAN] eigentlich richtig ist, oder ob es eher das [WAN_VLAN_201] sein müsste. Bei den anderen Informationen im Netz, die man dazu findet, konnte ich nie die dortigen verwendeten Router oder Hardware oder Szenarien auf meinen Fall übertragen. Aber vielleicht lag das nur an meiner Sichtweise und ich habe etwas übersehen?
Quote1. Die "Verbindungsinformationen" für SIP sind für die Telefonie-Accounts der Fritz!Box, aber was sind die Credentials für die zweite PPPoE-Verbindung? Offenbar bekommst Du ja bislang keine IP dort.
In meinem ersten Post schrieb ich unter Verbindungsinformationen "VoIP Accounts" etwas kryptisch "Benutzerkennung, Passwort". Ich habe also auch für den VoIP-Part Zugangsinformationen, welche ich in der Fritz!Box unter dem Punkt sehen kann:
Telefonie > Eigene Rufnummern > Anschlusseinstellungen > Für Internettelefonie eine separate Verbindung nutzen (PVC) > Werden Zugangsdaten benötigt? JA
Diese unterscheiden sich von meinen Zugangsinformationen vom Internet-Part.
QuoteZumindest für TELEFONIE, darf "block private networks" natürlich nicht eingeschaltet sein.
Das könnte der Grund dafür sein, dass ich keine IP bekomme, denn ich habe für die WAN_VLANs erst einmal genau dieselben Einstellungen übernommen, wie ich sie auch im default WAN Interface vorfinde. Sollte ich danach immer noch keine IP bekommen, dann wäre mein Verdacht, dass er mit dem Umstand von zwei Gateways nicht klarkommt. Das würde ich einmal folgendermaßen testen, sobald der Internetanschluss nicht mehr in Nutzung meiner Frau ist. Dann würde ich die OPNsense zurücksetzen und nur das PPPoE für das VoIP komplett anlegen und schauen, ob ich dann eine IP erhalte.
Quote2. Wie musst Du den DNS einstellen, damit die Fritz!Box im internen Netz "versatel.sip" findet? Vermutlich wird das in den Versatel-DNS eingesteuert, per 8.8.8.8 würde das aber z.B. nicht funktionieren.
Puh, ich hoffe, ich beantworte Deine Frage richtig. In der Fritz!Box unter (Internet > Zugangsdaten > DNS-Server) steht ja standardmäßig "Vom Internetanbieter zugewiesene DNSv4-Server verwenden (empfohlen)". Stelle ich dort einen DSN-Server wie etwa dnsforge.de oder mein eigenes Pi-hole mit Unbound ein, dann funktioniert VoIP immer noch. ..so im zweiten Durchdenken wird sich diese Einstellung wohl eh nicht auf das VoIP-Telefonieren auswirken..
Ich vermute daher, dass sich um diese Fragen das ONT-Modem kümmert, auf die ich dann eh keinen Einfluss habe..
QuoteIP-technisch ist es offenbar ein nicht-routebares 10er Netz, das nicht über die WAN-Verbindung, sondern über eine zweite PPPoE-Verbindung läuft
Das ist zu Punkt 2 eine sehr treffende Feststellung. In der Tat sehe ich im Live-View der Firewall, dass die Fritz!Box über das LAN Interface eine Verbindung zur IP 10.0.0.4 (also dem SIP-Proxy) mit Port 5060 aufbaut.
Genau hier vermute ich auch mein Problem. Sobald ich nicht nur für die Daten-PPPoE (VLAN 101) eine IP erhalte, sondern auch für meine VoIP-PPPoE (VLAN 201), müsste ich doch in der Firewall einstellen, dass die Fritz!Box bei bestimmten Verbindungen nicht das Gateway der Daten-Verbindung, sondern der VoIP-Verbindung benutzen muss, oder? Nach ersten Recherchen wäre das doch ein Thema für "Policy based routing", oder? Andernfalls würde er im VLAN 101 den SIP-Proxy kontaktieren wollen, das zweifelsfrei nicht zum Erfolg führen wird.
Grundsätzlich noch einmal zu meinem bisherigen Vorgehen:
- Nach jedem Versuch die OPNsense zurücksetzen
- Assignments (Interfaces) bleiben die Interfaces [LAN] und [WAN] unangetastet so bestehen
- Unter "Other Types" (Interfaces) > VLAN zwei Devices anlegen: (WAN_VLAN_Daten [vlan0.101]) und (WAN_VLAN_VoIP [vlan0.201]). Beide mit Parent [WAN]
- Unter "Point-to-Point" (Interfaces) > Devices jeweils zwei PPPoE Devices anlegen: (Versatel_Daten [pppoe0]) und (Versatel_VoIP [pppoe1]). Das jeweilige Device nutzt als Link Interface eines der zuvor definierten Devices [vlan0.101] bzw. [vlan0.201]
- Unter "Assignments" (Interfaces) füge ich bisher nur das Device (Versatel_Daten [pppoe0]) hinzu. Da ich mir mit nachfolgenden Fragen unsicher bin.
- Nach einiger Zeit sehe ich unter "Dashboard" (Lobby) > Gateways zwei Gateways: WAN_DHCP6 und Versatel_Daten_DHCP. Wobei nur für letzteren eine IP erhalte. Das [WAN] läuft auf eine 0.0.0.0, was jedoch vermutlich so in Ordnung ist.
Nachfolgende Feststellungen und Fragen zur Fritz!Box und dem (Versatel_VoIP [pppoe1]):Grundsätzlich ist mir das Thema Netzwerk, Routing und Firewall neu, vielleicht ist mir es deshalb unklar. Andererseits las ich, dass man hier verschiedene Ansätze wählen kann, was mich aktuell verwirrt. Die Fragen beziehen sich alleinig auf das VoIP mit der Fritz!Box.
- Unter der Fritz!Box Telefonie > Eigene Rufnummern > Anschlusseinstellungen > "Verbindungseinstellungen für DSL/WAN" können folgende Punkte gewählt werden, bzw. sind auch aktuell angehakt:
- "VLAN für Internettelefonie wird benötigt": JA
- "VLAN-ID": 201
- "Für Internettelefonie eine separate Verbindung nutzen (PVC)": JA
- "Werden Zugangsdaten benötigt?": JA
- Benutzername und Kennwort entsprechend dem Schreiben des Anbieters unter Abschnitt VoIP zu entnehmen
Meine Fragen greifen noch mal das Thema Routing auf. Aktuell geht die Fritz!Box anhand der Einstellungen in ein VLAN 201 und authentifiziert sich dort mit dem Benutzernamen und dem Kennwort. Anschließend sind die Rufnummern registriert.
- Sollte OPNsense daher den VoIP-Traffic auf das [WAN] Interface umleiten?
- Wenn ich aus den Fritz!Box Einstellungen den Haken bei "VLAN für Internettelefonie wird benötigt" herausnehme, müsste ich dann den VoIP-Traffic stattdessen auf das (WAN_VLAN_VoIP [vlan0.201]) umleiten?
- Da ich keinerlei Einstellungen zu Telefonie > Eigene Rufnummern ändern kann, wie etwa SIP-Einstellungen oder dass ich grundsätzlich keine Rufnummern selbst hinzufügen kann, macht es vermutlich keinen Sinn überhaupt das (Versatel_VoIP [pppoe1]) Device anzulegen, oder? Zumindest so lange nicht, wie die Fritz!Box der einzige VoIP-Server in meinem Heimnetz ist?
Diese Fragen habe ich auch noch einmal in meiner Netzwerk-Grafik untergebracht. Entsprechend ist dort an der Fritz!Box eine unverbundene Verbindung. Das VLAN 201, welches durch die Einstellung "VLAN für Internettelefonie wird benötigt" sozusagen aktiviert ist und in der OPNsense irgendwie "eingebunden" werden müsste: siehe Frage zu Routing.
EDIT:Wenn ich in der Fritzbox "Werden Zugangsdaten benötigt?" auf Nein stelle (
Wählen Sie diese Option nur dann, wenn Sie für die separate Telefonieverbindung keine Zugangsdaten benötigen.), dann habe ich die Wahl zwischen
- IP-Adresse automatisch über DHCP beziehen
- IP-Adresse manuell festlegen
Ich verstehe das als Chance, dass ich hier nun ein anderes Subnet meines LAN angebe, dass als Gateway den (Versatel_VoIP [pppoe1]) verwendet? Ist da was dran? Wie könnte ich das realisieren?
Angedachtes Netzwerk:
WAN / Internet
:
: PPPoE-Provider
:
.-----+-----.
| ONT | ("HUAWEI Modem")
'--+-----+--'
| |
PPPoE0 | | PPPoE1
VLAN 101 | | VLAN 202
203.0.113.123 | | ???.???.???.???
.---+-----+--.
| OPNsense |
'-----+------'
|
LAN | 192.168.1.1/24
|
.-----+------.
| LAN-Switch | (TP-Link Managed Switch TL-SG2218)
'---+---+----'
| | + VLAN 201
.----' '----. |
| | |
.----+----. .-----+--+--.
| Clients | | Fritz!Box |
'---------' '-----------'
192.168.1.5/24
Jein. Also:
1. Du hast also Credentials für die zweite PPPoE-Verbindung, die Du nutzen kannst. Dort wird Dir vermutlich eine Ich würde unterstellen, dass Du, wenn Du das korrekt konfigurierst und die privaten Netzwerk (zu denen 10... gehört) nicht blockst, zunächst mal eine IP aus dem 10er Range auf TELEFONIE zugewiesen bekommst (und ein Gateway).
2. Dieses Gateway ist nicht problematisch für Deine Fritzbox, falls es nur die Route für das 10er Netz ist. Spezifischere Routen werden immer bevorzugt vor dem Default-Gateway genommen, das sieht man aber dann in der Routingtabelle. Alles was dann an 10... geht, läuft dann über TELEFONIE, der Rest über WAN.
3. Meine Vermutung ist, dass der Registrar versatel.sip auch auf eine IPv4 aus dem 10.... Range aufgelöst wird und die Fritzbox das dann verwendet. Dazu musst Du vermutlich nur die DNS-Server Deines Providers nutzen - wie gesagt, stellst Du etwas anderes ein, wird der Name gar nicht mehr aufgelöst.
4. Wenn die Überschrift des Threads und Deine Grafik richtig sind, willst Du die Fritzbox als reinen IP-Client einsetzen. Die muss von VLAN201 nichts wissen, es reicht, wenn sie den SIP-Traffic richtig geroutet bekommt - den Rest erledigt NAT auf dem TELEFONIE-Interface (da die Fritzbox dann ja eine LAN-Adresse bekommt, die Versatel nicht kennt, also muss sie sich hinter der 10er IP Deiner OpnSense verstecken).
Die beiden VLANs dienen nur dazu, über eine Ethernet-Leitung am WAN-Port zwei logische Netze per PPPoE aufzubauen, eins für WAN, eins für TELEFONIE. Will sagen: Die Fritzbox hängt zunächst mal im LAN. Man kann sie später woanders hintun, für die Funktion ist das aber unerheblich.
Moin,
auch mal meinen Senf dazu. Dir Fritz! ist ein tolles Teil, aber aufgrund des Zieles der einfachen Konfigurierbarkeit halt auch nur auf "Standard" ausgelegt.
Und der Standard ist, dass die Fritz! eben direkt am Internet hängt, keine OPNSense davor.
Ich vermute, dass Du den WAN-Port der Fritz nicht angeschlossen hast? In dem Fall kenn die Fritz! wahrscheinlich kein Default Gateway (da ja LAN und sie selbst per Default das Gateway ist). Deshalb kommt sie nicht aufs Internet und kann die VoIP-Sachen nicht anmelden. Ergo: Geht nicht!
Hast Du dagegen nur den WAN-Port angeschlossen, macht die Fritz! ja auf ihrem WAN-Interface ein NAT und die VoIP Geräte "verschwinden" für die OPNSense. Letztere kann dann auch kein Portforwarding (SIP/RTP etc.) fürs telefonieren machen. Zusätzlich verschickt die Fritz! das auf ihrem WAN-Interface ins VLAN 201, dass aber auf dieser Seite der OPNSense unbekannt ist. Ergo: Geht nicht!
Hast Du beides angeschlossen, so kann es erst recht nicht gehen, weill die VoIP Geräte die Fritz! nicht als Gateway nehmen, sondern die OPNSense. Und die Fritz! erneut versucht über ihr WAN (mit NAT und VLAN) zu registrieren. Ergo: Geht erst recht nicht!
Wie könnte eine mögliche Lösung aussehen? Dafür kenne ich die Fritz! zu wenig, aber vielleicht ja so:
In der OPNSense alles, was aus VLAN201 kommt komplett (alle Ports, dedicated Host) auf die lokale IP des Fritz!WAN durchreichen. Auf der Fritz das VLAN auf ein ungenutzes (zB 7 oder 42) VLAN setzen und der OPNSense eben auch dieses VLAN konfigurieren. Und die VoIP Geräte dann in ein weiteres, separates VLAN hinter der Fritz!.
Aber: Das ist Mega-umständlich. In dem Fall würde ich lieber auf die Fritz verzichten und die VoIP Geräte direkt konfigurieren. Wenn Du allerdings die DECt-Funktionalität der Fritz! brauchst, geht es vermutlich nur so. Alternativ kannst Du die Fritz! vielleicht auch direkt zusätzlich noch an das Modem hängen, aber das wird vermutlich nicht klappen.
Grundsätzlich: VLAN=genau ein IP-Adressbereich. Ein Routing innerhalb eines VLANs geht nicht...
Grüße!
/KNEBB
Nein, das ist kein Problem, wenn man die Fritzbox als Lan-Client konfiguriert. Damit ist das ganze Routing usw. abgeschaltet und man kann auch das Modem nicht mehr nutzen. Was bleibt, ist Smart-Home, Telefonie, Switch (=Bridge) und Access Point (allerdings ohne Gastnetz, weil sie keine VLANs kann).
Hier sind insofern nur die vorigen Fritzbox-Einstellungen relevant, um zu sehen, wie man die beiden Verbindungen stattdessen mit OpnSense als Router aufbauen müsste. Die zweite PPPoE-Verbindung für "Sonderzwecke" war früher üblich für IPTV, ist heute aber seltener anzutreffen.
Hallo zusammen,
ein bisschen Zeit ist vergangen, in der ich beim Thema VoIP nicht weiterkam. Mir war es in keiner Weise möglich, für die VoIP-PPPoE eine Verbindung aufzubauen und damit ein VoIP-Gateway zu erstellen. Ich bekam den Verdacht, dass mir das Kennwort für die VoIP-PPPoE vielleicht gar nicht vorliegt.
Der Verdacht war insbesondere darin begründet, dass in der Fritz!Box nach einer von mir angestoßenen Konfiguration Zugangsdaten eingetragen waren, die nicht aus meinen Dokumenten hervorgingen. In den Zugangsinformationen für den Internet-Zugang wird der Benutzername mit ...@adsl-versatel.int aufgeführt. Für den VoIP-Zugang gibt es so eine Angabe nicht. Hier ist der Benutzername die Telefonnummer und vermutlich ist daher das Kennwort dort auch für den SIP-Proxy zu verwenden.
Nochmal zur angestoßenen Konfiguration: In der Fritz!Box ist anschließend unter der Anschlusseinstellung zum Telefonieren als Benutzername ...@adsl-versatel.voip eingetragen. Das geht so nirgends aus den Zugangsinformationen hervor und daher fragte ich mich, ob ich überhaupt selbstständig ohne Fritz!Box eine PPPoE-VoIP-Verbindung aufbauen könnte, so ohne Kenntnis des Benutzers, geschweige denn des Kennworts.
Etwas Licht kam nun ins Dunkel, als jetzt seit einigen Tagen das Telefonieren nicht richtig funktioniert (über die Fritz!Box). Nach den Test-Sessions mit der OPNsense, nehme ich diese anschließend wieder aus meinem Netzwerk und setze die Fritz!Box mit dem vorher erstellten Backup wieder zurück. Ich kam auf die Idee, etwas mit den Zugangsdaten unter Rufnummer in der Fritz!Box zu spielen. Zwar hatte ich die Kombinationen bereits auf der OPNsense durchgeführt, doch vielleicht habe ich etwas übersehen? Ich löschte das Kennwort im Abschnitt Telefonie > Eigene Rufnummern > Anschlusseinstellungen und übernahm diese Einstellung. Das führte natürlich dazu, dass die Rufnummern nicht mehr registriert waren. Anschließend probierte ich alle Kennwörter durch, die aus dem Dokument hervorgingen. In der Tat führte die Eingabe des Kennworts für das Internet dazu, dass die Rufnummern wieder registriert wurden und in den Ereignissen der Fritz!Box die Meldung zu lesen war
Internetverbindung (Telefonie) wurde erfolgreich hergestellt. IP-Adresse: [172.16.X.X], DNS-Server: [dns.versatel-nord.de] und [dns.versatel-west.de], Gateway: [172.16.1.1]Das bringt mich zurück zu deiner Aussage, denn ich bin mir ziemlich sicher, dass ich als Kennwort in der OPNsense auch mal das des Internet-Zugangs eingegeben habe. Danach konnte er jedoch keine Verbindung herstellen.
QuoteDazu musst Du vermutlich nur die DNS-Server Deines Providers nutzen - wie gesagt, stellst Du etwas anderes ein, wird der Name gar nicht mehr aufgelöst.
Oder muss ich etwas hart in die PPPoE-Einstellungen für VoIP hinterlegen? Die ausfüllbaren Felder habe ich nirgends befüllt. Außer Benutzer und Kennwort für den Zugang, trug ich nie etwas irgendwo dort ein..
Es ist tatsächlich so, dass insbesondere die vom ISP gelieferten Boxen oft TR069 (https://de.wikipedia.org/wiki/TR-069) aktiviert haben. Damit kann der Provider notwendige Konfigurationsdaten (und auch Passworte) in der Box ablegen.
Klar ist, dass das mit der OpnSense nicht funktioniert. Wenn also z.B. die Credentials für eine zweite PPPoE-Verbindung (PVC) so eingetragen werden, müsste man das auf der OpnSense von Hand machen. Selbiges gilt für SIP-Zugangsdaten.
Meine Bemerkung zu DNS bezog sich nur darauf, dass man in der OpnSense gerne andere DNS-Server als die vom ISP angebotenen einträgt, z.B. Google oder OpenDNS, teilweise auch mit DoT oder DoH, z.B. weil man mehr Privacy möchte oder deutsche Netzsperren umgehen will. Das darfst Du nicht, denn "versatel.sip" wird von denen nicht aufgelöst und dann würde Deine Fritzbox ihren Registrar nicht erreichen.
Zunächst gilt es aber, 1. das Internet grundsätzlich zum Fliegen zu bekommen und 2. die zweite PPPoE-Verbindung zum Laufen zu kriegen. Die müsste dann als aktiv angezeigt werden.
Von einem beliebigen Client hinter der OpnSense müsste dann (wenn das Routing und NAT zu 10.... funktionieren) auch 10.0.0.4 bzw. "versatel.sip" erreichbar sein.
Mir ist aus @Baender s Schilderung noch nicht ganz klar, ob denn für die zweite PPPoE Verbindung auch ein anderes VLAN benutzt wurde ...
In der Grafik steht es so drin, anscheinend hat die Hauptverbindung VLAN 101 und die zweite VLAN 201.
Hallo Patrick M. Hausen,
wie meyergru schon richtig anmerkt, wurde/wird für die zweite PPPoE-Verbindung ein anderes VLAN benutzt.
Grundsätzlich ist der Aufbau folgender:
- Auf dem WAN Interface 2 VLANs anlegen: VLAN 101 für Daten und VLAN 201 für VoIP
- Auf dem Device des VLAN 101 das PPPoE-Device (PPPoE0), mit den Einwahldaten des Internets anlegen
- Auf dem Device des VLAN 201 das PPPoE-Device (PPPoE1), mit den Einwahldaten des VoIP anlegen
Wie geschrieben, erhalte ich dann auf für PPPoE0 eine IP, bzw. ein Gateway wird erstellt. Für PPPoE1 geschieht dies jedoch nicht. Doch bin ich mir sehr sehr sicher, dass ich dieselben Einwahldaten, sprich Kennwort ausprobiert habe, die mich zumindest aktuell bei der Fitz!Box zum Ziel führen. Daher kam der Verdacht auf, dass ich etwas an der PPPoE1-Verbindung anpassen muss: DNS, IP oder sonst was. Die PPPoE-Verbindungen werden wie gesagt nur mit Benutzernamen und Kennwort gefüllt. Alle anderen Einstellungen bleiben unberührt.
P. S. Ich habe mal meinen Eingangspost bzgl. des Netzwerk-Diagramms aktualisiert.
Hmmm. Da kommst Du ohne Angaben des Providers wohl nicht weiter. Der muss ja die Zugangsdaten und die Spezifikationen des Zugangs liefern - schließlich besteht ein Deutschland Endgerätefreiheit.
Gemäß TKG §74 hat jeder Diensteanbieter entsprechende Schnittstellenbeschreibungen herauszugeben (https://www.gesetze-im-internet.de/tkg_2021/__74.html).
Bei meinem Provider, M-Net sieht das z.B. so aus (https://www.m-net.de/fileadmin/Service/Downloads/Internet___Telefonie/Schnittstellenbeschreibung-SurfFon.pdf). Die haben sogar für GPON eine Beschreibung (https://www.m-net.de/fileadmin/Service/Downloads/Internet___Telefonie/Schnittstellenbeschreibung_GPON.pdf).
Das bedeutet nicht, dass der ISP Support für kundeneigene Geräte bieten muss - das tut M-Net auch nicht!
Aber auf dem Detaillierungslevel, dass man es verstehen kann, muss es schon sein.
Ansonsten sehe ich nur die Möglichkeit, die Fritzbox doch vor der OpnSense zu belassen.
Hallo zusammen,
heute Abend testete ich noch einmal den Internet- und VoIP-Zugang über die OPNsense. Nach den Erkenntnissen mit der Fritz!Box, hatte ich das Gefühl, als müsse ich jetzt bestimmte Einstellungen setzen und dann würde es funktionieren.
Ich legte also auf dem WAN Interface zwei VLANs an (101 und 201) und auf denen jeweils eine PPPoE-Verbindung. Ich ordnete die PPPoE-Verbindungen zu und aktivierte zuerst die Verbindung für das Internet. Er erstellte direkt das Gateway und ich hatte eine öffentliche IP.
Als nächstes aktivierte ich die PPPoE-Verbindung für das VoIP und er erstellte direkt das Gateway und ich erhielt eine IP. Das Gateway des VoIP ist die 172.16.1.1.
Ich würde ja gerne schreiben, dass ich diesmal X oder Y gemacht hätte, aber das habe ich nicht. Vor dem Test setzte ich die OPNsense wie immer zurück und führte nur diese Schritte aus. Wie immer aktivierte ich bei der Internet-PPPoE "Block private networks" und "Block bogon networks", wohingegen ich bei der VoIP-PPPoE nur "Block bogon networks" aktivierte.
Da ich in den letzten Tagen Probleme mit meinem Telefon hatte, ist meine Vermutung, dass mein Timing einfach schlecht war und vermutlich schon damals einer meiner Versuche hätte klappen müssen.
Jetzt, wo der Teil geklärt ist, würde ich gerne an einem der freien NICs die Fritz!Box anschließen und sie so in ein eigenes Sub-Net verschieben. Als Interface-Name vielleicht [FRITZ_LAN]. Ich würde DHCP darin aktivieren und die Fritz!Box im IP-Client Modus dort hineinhängen.
1. Von der Logik her frage ich mich dann, ob in der Fritz!Box noch die Notwendigkeit besteht anzugeben, dass bitte VLAN 201 genutzt werden soll.
2. In den Anschlusseinstellungen zum Telefon der Fritz!Box kann ich entweder anklicken "Zugangsdaten werden benötigt: Ja" oder ich wähle "Nein" und habe dann die Wahl zwischen DHCP und manuell.
Was würde ich hier angeben? Denn nochmal die Zugangsdaten unter "Zugangsdaten werden benötigt: Ja" wäre doch sinnfrei, wenn ich über OPNsense bereits ein Gateway und eine IP für das PPPoE habe? Bei DHCP andererseits würde ich hier vermuten, dass er sich eigentlich die IP ziehen würde, die ich jetzt in der OPNsense bereits über das VoIP-PPPoE erhalten habe..
Danke für euren Input!
..Ich glaube, ich beantworte mir die Frage zwei gerade selbst.. Dafür ist wahrscheinlich NAT Outbound da, oder?
1. Nein. Das FRITZ_LAN kann ein ganz normales Subnetz/VLAN sein. Das VLAN 201 wird ja nicht "durchgetunnelt", sondern ist nur der Träger für eine PPPoE-Verbindung in ein spezielles, nach außen sonst nicht gerouteten 10er Netzes beim Provider. Eine Netztrennung bei Dir wäre technisch nicht notwendig, aber möglich (ich mache es auch so, aber eher, weil die Fritzbox auch noch andere IoT-Geräte steuert, die bei mir alle im IoT-Netz landen). Die Fritte ist ein dummer LAN-Client, die im Wesentlichen nur noch VoIP macht. Wenn Du es anfangs nicht verkomplizieren willst, lasse sie zunächst im LAN!
2. Die Einstellungen der Fritzbox sind ein bisschen unlogisch. Es ist eben nicht "Zugang über LAN", sondern "anderer Internetanbieter". Das sieht dann so aus wie im Anhang. Sie zieht sich eine ganz normale IP für das jeweilige LAN oder IoT-Netz bei Dir. Die OpnSense sollte dann NAT dafür in das Telefonie-Netz des Providers machen. Die Fritzbox selbst macht hier kein NAT! Sämtliches Routing, NAT und Firewalling übernimmt die OpnSense.
Ich würde mal ausprobieren, welche IP hinter "versatel.sip" steht. Du sagst, das Gateway dort ist die 172.16.1.1, welche IP bekommt die OpnSense denn auf pppoe1 zugewiesen? Es kann sein, dass Du noch eine Route auf das 10er Netz von Versatel über das Gateway 172.16.1.1 einrichten musst, damit Du z.B. versatel.sip oder 10.0.0.4 aus Deinen Netzen erreichen kannst - wohlgemerkt: auf der OpnSense!
Eventuell reagieren die 10er IPs nicht auf Ping, man sollte aber feststellen können, ob UDP Port 5060 offen ist.
Ein Traceroute aus Deinem Netzwerk sollte dann über die OpnSense und 172.16.1.1 ins 10er Netz laufen und eben nicht über Dein Internet-Gateway.
QuoteIch würde mal ausprobieren, welche IP hinter "versatel.sip" steht. Du sagst, das Gateway dort ist die 172.16.1.1, welche IP bekommt die OpnSense denn auf pppoe1 zugewiesen? Es kann sein, dass Du noch eine Route auf das 10er Netz von Versatel über das Gateway 172.16.1.1 einrichten musst, damit Du z.B. versatel.sip oder 10.0.0.4 aus Deinen Netzen erreichen kannst - wohlgemerkt: auf der OpnSense!
Für PPPoE1 bekomme ich bspw. die IP 172.16.33.68. Also in einem anderen Subnet. Ich habe mit Wireshark die Kommunikation mal angeschaut und es sieht so aus, als würde die Fritz!Box mit der IP 172.16.33.68 direkt die 10.0.0.4 über Port 5060 kontaktieren.
Ich würde also die Tage mal die OPNsense wieder anklemmen und eine Route bauen. Oder muss ich vorher noch etwas anderes beachten?
Hallo zusammen,
nach einem neuen Anlauf in 2024 habe ich nun auf beiden PPPoE eine IP.
- PPPoE0 (VLAN 101):
- GW: 203.0.113.123
- IP: 92.206.XX.XX
- PPPoE0 (VLAN 201):
- GW: GW 172.16.XX.XX / SIP-Proxy 10.0.0.4
- IP: 172.16.17.XX
Aktuell habe ich noch keine NATs oder sonstige Regeln eingestellt. Die FritzBox befindet sich im IP Client Modus und erhält von der OPNSense eine IP. Erwartungsgemäß kann die Fritzbox die Rufnummern nicht registrieren.
Wenn ich mir im Firewall Live View die Verbindungen der Fritzbox nach deren Neustart anschaue, habe ich den Verdacht, dass das Interface falsch ist. Da die meisten Tutorials jedoch nur mit einem WAN arbeiten und eben nicht ein WAN_INT und ein WAN_VoIP haben, weiß ich aktuell nicht weiter. Ich vermute, dass ich den Verkehr umleiten muss, und das er aktuell auf dem WAN_INT landet, weil die Automatik-Regeln dafür verantwortlich sind. Was in diesem Fall falsch ist.
Interface Time Source Destination Proto Label
WAN_INT 2024-01-15T21:36:49 92.206.XX.XX:49044 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)Verwendete Einstellungen des Live View:
src=169.254.1.1
dst=169.254.1.1
dst=192.168.1.101
src=192.168.1.101
src=10.0.0.4
dst=10.0.0.4
srcport=5060
dstport=5060
Interface: LAN
Source: die feste IP deiner Fritzbox
Destination: any
Action: permit
Gateway: der Gateway deines VoIP WAN
Wenn das dann mal so weit funktioniert, dass wenigstens das Signaling/Registrierung klappt, dann in den NAT-Regeln auf dem WAN für VoIP noch eine Regel speziell für die Fritzbox mit "Static Ports: YES" anlegen.
Hallo Patrick,
ich habe unter Firewall > Rules > LAN eine neue Regel angelegt:
- Action: Pass (Ich finde kein Permit)
- Interface: LAN
- Direction: in
- Protocol: any
- Source: 192.168.1.5/32
- Destination: any
- Gateway: WAN_VOIP_PPPOE
Bevor ich jedoch mich an die NAT gewagt habe, schaute ich erst einmal in den Live View. Mir fiel wieder auf, dass meine öffentliche WAN_INT IP eine Anfrage an den SIP-Proxy sendete. Von daher greift bei der Fritzbox die Default NAT der "Datenleitung". Das sieht man auch schon im vorangegangenen Post. Ich habe daher erst einmal eine DO NOT NAT für das WAN_INT Interface, für die Fritzbox IP eingestellt:
- Do not NAT: Check
- Interface: WAN_INT
- Procol: UDP
- Source address: 192.168.1.5/32
- Source port: any
Jetzt geht die Fritzbox immerhin schon mal mit Ihrer IP in Richtung SIP-Proxy. Wenngleich das Interface noch falsch ist.
Interface Time Source Destination Proto Label
WAN_INT 2024-01-16T08:11:42 192.168.1.5:5060 10.0.0.4:5060 udp let out anything from firewall host itself Kann es sein, dass ich bei deiner Regel statt dem Interface LAN, das Interface WAN_INT nehmen muss? Andernfalls greift die Regel doch nie, wenn ich sage, dass auf dem LAN Interface eine 192.168.1.5 bitte den VoIP Gateway benutzen solle?
Wenn ich nach dem DO not NAT jetzt einfach die WAN_VoIP NAT Regel erstelle, ändert sich natürlich die Source IP der Fritzbox nicht. Sie bleibt auf 192.168.1.5 stehen.
Auch beim NAT kommt es auf die Reihenfolge der Regeln an. Du musst selbstverständlich die speziellere Regel für die Fritzbox vor die Default-Regeln stellen. Außerdem solltest Du NAT entweder auf Manual oder Hybrid Modus stellen, damit keine automatischen Regeln vorgezogen werden.
Kann sein, dass Du noch eine spezielle Route für die Fritzbox über das VoIP-GW brauchst. Das DO NOT NAT hilft m.E. nicht.
Hallo Ihr beiden,
ich habe große Fortschritte gemacht.
Folgende Regeln habe ich erstellt, jedoch sind nicht alle aktiv:
Firewall > Rules > LAN
- Action: Pass)
- Disable this rule: YES
- Interface: LAN
- Direction: in
- Protocol: UDP
- Source: 192.168.1.5/32
- Source port range: SIP_Port (5060:5061)
- Destination: any
- Gateway: WAN_VOIP_PPPOE
Firewall > NAT > Outbound
- Hybrid outbound NAT rule generation
- Interface: WAN_INT
- Protocol: UDP
- Source address: 192.168.1.5/32
- Source port: SIP_Port (5060:5061)
- Destination address: any
- Destination port: any
- Translation / target: WAN_VoIP address
- Log: YES (Log packets that are handled by this rule)
- Static-port: YES
Das Ziel war es ja, dass die Rufnummern wieder registriert sind. Sprich: die grüne Lampe wieder leuchtet.
Patrick, ich hatte dich so verstanden, dass die alleinige Regel unter Rules > LAN schon dafür sorgen würde, dass die Registrierung erfolgen kann. Dem ist nicht so. Vielleicht habe ich dich auch falsch verstanden. Erst die Anlage der NAT-Outbound Regel sorgte dafür, dass die Registrierung wieder erfolgen konnte. Da musste ich auch explizit angeben, dass das Target die WAN_VoIP Adresse sein soll. Das Deaktivieren der LAN Regel bringt auch, was die Registrierung angeht, keine negativen Konsequenzen mit sich. Aktuell frage ich mich daher, was deren Aufgabe ist.
Was mich aktuell etwas irritiert ist der Live View:
1. Wieso wird als Interface WAN_INT angezeigt, wenn gleich der Traffic über das WAN_VoIP verläuft.
2. Liegt das an meinem Haken bei LOG, dass ich zwei Einträge sehe? Wenn ich auf das i drücke beim oberen (let out anything ..) und klicke auf die rid, bringt er mich zu Firewall > Settings > Advanced > "Disable automatic rules which force local services to use the assigned interface gateway.". Das ist wohl gemerkt nicht angehakt.
Interface Time Source Destination Proto Label
▷ WAN_INT 2024-01-17T22:01:04 172.16.XXX.XXX:5060 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
↔ WAN_INT 2024-01-17T22:01:04 192.168.1.5:5060 10.0.0.4:5060 udp nat ruleNatürlich habe ich dann auch gleich das Raustelefonieren ausprobiert. Ich habe mein Handy angerufen. Es klingelte und ich ging ran. Die Verbindung stand, jedoch hörte ich nichts. Was anhand des Live Views natürlich klar war:
Interface Time Source Destination Proto Label
🛇 WAN_VoIP 2024-01-17T21:26:59 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:26:47 203.23.107.15:57036 10.0.0.4:12993 udp let out anything from firewall host itself (force gw)
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:26:35 203.23.107.15:57631 10.0.0.4:12992 udp let out anything from firewall host itself (force gw)
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:25:34 172.16.XXX.XXX:5060 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
↔ WAN_INT 2024-01-17T21:25:34 192.168.1.5:5060 10.0.0.4:5060 udp nat rule
Etwas irritiert hat mich an der Stelle jedoch das Auftauchen der IP 203.23.107.15, hinter der sich meine öffentliche IP der Datenverbindung verbirgt. Ich kann das jedoch noch nicht einordnen. Klar, der Port führt dazu, dass über die WAN_INT genattet wird und nicht über die WAN_VoIP, ob ich das pauschal auf Any umstellen soll, daran habe ich so meine Zweifel. Immerhin ruft die Fritzbox auch ab und an Verbindungen auf, die nicht in das VoIP Netz gehören.
Hallo zusammen,
es geht gemütlich voran. Nach etwas weiterer Recherche konnte ich das Problem, dass das Interface mit WAN_INT angezeigt wird lösen. Weil ich OPNSense mehr oder weniger Out-of-the-Box nutze, waren natürlich unter Firewall: Rules: LAN Default Regeln hinterlegt. Die beiden Default Regeln "Default allow LAN to any rule" und "Default allow LAN IPv6 to any rule" habe ich deaktiviert. Anschließend habe ich zwei neue Regeln erstellt:
Action Pass
Interface LAN
TCP/IP Version IPv4
Protocol TCP/UDP
Source LAN net
Source Port any
Destination LAN address
Destination Port DNS (53)
Description Allow access to the LAN DNS server
Action Pass
Interface LAN
TCP/IP Version IPv4
Protocol any
Source LAN net
Source Port any
Destination / Invert checked
Destination PrivateNetworks (alias containing: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
Destination Port any
Description Allow access to Internet and block access to all local networks
Dazwischen habe ich zwei Regeln einmal für den SIP-Proxy und einmal für die RTP-Ports angelegt. Während die RTP-Ports noch nicht im Live View erscheinen, werden nun endlich die Verbindungen zum SIP-Proxy mit dem richtigen Interface (WAN_VOIP) angezeigt.
Live View:
Interface Time Source Destination Proto Label
LAN > 2024-01-24T22:07:45 192.168.1.5:53805 255.255.255.255:53805 udp Allow access to Internet and block access to all local networks
WAN_VoIP < 2024-01-24T22:06:49 172.16.XXX.XXX:2281 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
LAN > 2024-01-24T22:06:49 192.168.1.5:5060 10.0.0.4:5060 udp [VoIP] Allow access from Fritzbox to SIP proxy
Bisher habe ich keine weiteren Regeln hinzugefügt. Wie du richtig vorausgesagt hast Patrick M. Hausen registriert damit die Fritzbox die Nummern. NAT habe ich noch nicht aktiviert.
Jetzt wüsste ich jedoch gerne, wie es weitergehen muss. Denn wenn ich bspw. von meinem Handy aus das Festnetz anrufe, dann bleibe ich in der Firewall hängen.
Interface Time Source Destination Proto Label
WAN_VoIP > 2024-01-24T21:16:16 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule
WAN_VoIP > 2024-01-24T21:16:01 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule
WAN_VoIP > 2024-01-24T21:15:53 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule
Hallo zusammen,
in der Zwischenzeit konnte ich noch ein paar Tests durchführen und habe nun endlich die OPNsense offiziell in Dienst gestellt. Die Herausforderungen und die nötigen Regeln für die sense, habe ich unten zusammen gefasst:
Der anfängliche, schwere Einstieg:
- Aus dem Informationsblatt des Providers, das dem Willkommensbrief beilag, wurde nicht ersichtlich, welche Anmeldeinformationen für den VoIP-Zugang verwendet werden müssen.
- In der Sense schaffte ich es anfänglich nicht, dass die Fritz!Box auf WAN_VoIP und nicht auf WAN_INT den SIP Proxy kontaktiert
- mir war nicht klar, wie ich die Fritz!Box einrichten müsste, hinsichtlich der Rufnummer-Einstellungen
Die nun funktionierenden Regeln:
- Firewall>Rules>LAN:
- Allow external RTP Port for VoIP
- Action: Pass
- Interface: LAN
- Direction: in
- TCP/IP Version: IPv4
- Protocol: TCP/UDP
- Source: Fritzbox
- Source port range from: RTP_Ports to: RTP_Ports
- Destination: SIP_Proxy
- Destination port range: from: any to: any
- Gateway: WAN_VOIP_PPPOE
- Allow external SIP Proxy for VoIP
- Action: Pass
- Interface: LAN
- Direction: in
- TCP/IP Version: IPv4
- Protocol: TCP/UDP
- Source: Fritzbox
- Source port range from: SIP_Port to: SIP_Port
- Destination: SIP_Proxy
- Destination port range: from: SIP_Port to: SIP_Port
- Gateway: WAN_VOIP_PPPOE
- NAT>Outbound>
VoIP Fritzbox
- Interface: WAN_VOIP
- TCP/IP Version: IPv4
- Protocol: UDP
- Source address: Fritzbox
- Source port : any
- Destination address: any
- Destination port: any
- Translation/target: WAN_VOIP address
- Static-port: yes
- Firewall: NAT: Outbound: Hybrid outbound NAT rule generation
(automatically generated rules are applied after manual rules) - Aliases:
- FritzBox: 192.168.1.5
- SIP_Port: 5060:5061
- RTP_Ports: 7078:7109
- SIP_Proxy: 10.0.0.4
Die Fritzbox habe ich entsprechend eingerichtet:
- Box auf IP-Client Modus umgestellt und ihr eine Adresse via DHCP zugewiesen. Die IP fixiere ich über OPNsense
- Eigene Rufnummern>Anschlusseinstellungen
Telefonieverbindungen:
- Portweiterleitung des Internet-Routers für Telefonie aktiv halten: yes
- Portweiterleitung aktiv halten alle: 30 Sek.
- VLAN für Internettelefonie wird benötigt: no
- Für Internettelefonie eine separate Verbindung nutzen (PVC): yes
- Werden Zugangsdaten benötigt?: yes
- Benutzername: vt-*******@adsl-versatel.voip
- Passwort des Internet-Zugangs, welcher unter vt-*******@adsl-versatel.int zu finden ist
Was bei meiner Fritz!Box vielleicht noch hilfreich zu wissen ist: ich habe keine Möglichkeit in die Menüs der Fritz!Box zu kommen, in der der Registrar, STUN, usw. eingestellt werden kann. Das Menü wurde entweder durch die Ersteinrichtung der Box so konfiguriert oder die Box wird bereits so ausgeliefert. Macht jedoch nichts, denn man muss die Box nur einmalig über den vom Provider gewollten Weg einrichten und kann dann die Box auf IP-Client umstellen. Das Einzige, was dann noch zu tun ist, man muss die Zugangsdaten unter Telefonieverbindungen wieder neu eintragen, weil die dabei gelöscht werden. Fertig.
Hi in die Runde :)
Ich hab mich direkt mal angemeldet, weil ich das hier so interessant finde.
Habe das in naher Zukunft auch vor und will exakt das gleiche wie du erreichen, auch mit o2 VoIP telen und gleichzeitig Smarthome via DECT und Wifi in der Box belassen, damit ich nicht noch mehr Hardware anschaffen muss.
Ich habe mal in meine Einstellungen geschaut (eine Fritz 7490 von o2 zur Verfügung gestellt):
Telefonie-Eigene Rufnummern-Rufnummer bearbeiten:
Telefonie Anbieter: o2
Rufnummer Vorwahl: leer Rufnummer: *****14
Zugangsdaten:
SIP Benutzername 492304*****14
SIP Passwort **** <--- Könnte ein Problem werden, kenne ich glaube ich nicht. Aber da müsste ja auch ranzukommen sein.
Weitere Einstellungen zur Verbindung
Anmeldung immer über eine Internetverbindung - UNCHECKED
Internettelefonie-Anbieter kontaktieren über IPv4 und IPv6, IPv4 bevorzugt
Anschlusseinstellungen
Land Deutschland
Landesvorwahl 00 49
Ortsvorwahl 0 2304
Telefonieverbindung
Portweiterleitung des Internet-Routers für Telefonie aktiv halten - UNCHECKED
Verbindungseinstellungen für DSL/WAN
VLAN für Internettelefonie wird benötigt - UNCHECKED
Für Internettelefonie eine separate Verbindung nutzen (PVC) - UNCHECKED
Ich habe 2014 als allererstes Gerät einen blöden o2 Router bekommen.
Der hatte die Zugangssdaten nicht sichtbar, ich wollte aber unbedingt damals ne ältere, nicht gebrandete Fritzbox benutzen.
Im Internet gabs Anleitungen, wie man die Zugangsdaten aus einem Usersetting-Backup extrahiert.
Da habe ich folgende Daten herausbekommen (Achtung, andere Telefonnummer damals und ich hab von damals nur ein Textdokument mit Fragmenten, die mir damals zum Erfolg gereicht hatten):
PPPoE1
Benutzer: 089******08
PW: Selbst definiert
Anschlusseinstellungen weitere: (die 6* sind Teil der 8stelligen Rufnummer, die auf 08 endet)
PPPoE2
3********9-001A2A@alice5-voip.de
nopw
$NOTIFY
$PROXY
sip.alice-voip.de
sip.alice-voip.de
sip.alice-voip.de
sip.alice-voip.de
4989******08
4989******08
089******08ec87c
Internetrufnummer
4989******08
Benutzername
4989******08
Kennwort
089******08ec87c
Registrar
sip.alice-voip.de
Das zu meinen Settings, vielleicht hilft es dir ja noch irgendwelche zusammenhänge festzustellen...
Quote from: Baender on January 24, 2024, 10:21:59 PMes geht gemütlich voran.
Noch zwei Fragen dazu...
Frage 1: Ich hab prinzipiell nichts mit Netzwerktechnik am Hut, aber könnte mich da mit Youtube Tutorials reinfuchsen. Kannst du mir das empfehlen, statt Fritz einen OpnSense aufzubauen oder drehe ich da irgendwann völlig durch? Ich hab noch eine zweite 7490, die ich mal zugeschickt bekommen habe, mit der könnte ich quasi ein Testsystem aufbauen und kann dann zur "normalen" Funktion fix die aktuelle Box einfach wieder an den Strom hängen und alles läuft wieder.
Frage 2: Falls Frage 1 mit Ja beantwortet werden kann: Welchen MiniPC kannst du derzeit empfehlen?
für so ein Setup
fritzbox mit pppoe durchleitung
- opnsense
- 2.5G switch (managed, VLAN)
- Fritz als Client mit allen Funktionen
- Wandkabel 1- noch ein 2.5G Switch - Endgeräte (PC, Dreambox)
- Homeserver (wahlweise kommt der ins Zimmer hinters Wandkabel 1, dann spar ich einen 2.5G Switch und hinter OPNsense kommt nur ein gbit...)
- Wandkabel 2- Guest Network (Arbeit)
- Gäste Wlan AP
Hallo cottec,
willkommen im Forum. Explizit kann ich Dir leider nicht helfen, was deine Verbindungsdaten Informationen angeht. Meinen Vertragsdaten lagen 2019 die Anmeldeinformationen, wie Login und Password sowie eine sehr sehr grobe Übersicht bei. Wie du meinen Posts entnehmen kannst, war trotzdem nicht ganz ersichtlich, was davon und wie es eingetragen werden muss. Da sollte es bei o2 jedoch etwas leichter sein, als bei mir, Hilfe im Internet zu finden.
Grundsätzlich bin ich der Meinung dass du dich auf die Freie Routerwahl stützen kannst, um die Zugangsdaten zu erfragen. Das wirst du sicherlich hartnäckig bleiben müssen. Ich persönlich würde es erst einmal ganz allgemein versuchen, in dem ich schreiben würde, dass ich mir einen eigenen Router eines bekannten Herstellers angeschafft habe und für die Herstellung der Internetverbindung und Telefonie die Zugangsdaten benötige. Da diese nur in unzugänglicher Form im aktuellen Router vorlägen.
Zum Thema, ist das was für mich:
Ich persönlich habe im beruflichen Kontext viel mit Daten und Datenanalyse zu tun und privat habe ich mir vor OPNsense bereits mit Docker und Linux Server beschäftigt und bin seit wahrscheinlich mehr als zehn Jahren privat in Linux statt Windows unterwegs. Erst später kam OPNsense als weiteres Thema "Firewall & Netzwerktechnik" hinzu.
Mich persönlich haben die genannten Themen einfach interessiert und zum Thema Docker bspw. kam ich, weil ich gerne eine Nextcloud aufsetzen wollte.
Zu OPNsense kam ich dann, als ich meinen Nextcloud Server in einem eigenen Subnet platzieren wollte und gerne auch die IOT Geräte jeweils in einem anderen. Bis dahin, hatte ich rudimentär die Möglichkeiten von der Fritzbox mit dem Gast-WLAN genutzt.
Die OPNsense war der Einstieg für mich in das Thema Netzwerktechnik. Dazu kaufte ich mir ein neues Patchfeld, um die Verkabelung zu ändern und einen Netzwerkschrank, um das und alles weitere unterbringen zu können. Dann kaufte ich mir noch ein Managed Switch von TP-Link, um das Thema VLANs abzubilden und erst dann konnte ich mich erst mit der Konfiguration der OPNsense beschäftigen.
Deine Idee eine zweite Fritzbox für das Ausprobieren zu nutzen finde ich gut. So habe ich das damals auch gemacht, als die Fritzbox nur noch für DECT zuständig sein sollte. Das ist gerade was das Einstellen der Firewall usw. angeht echt angenehm. Einfach die normale Fritzbox abklemmen, OPNsense und Testfritzbox dran und dann kann schon der grundsätzliche Zugang, als auch die DECT Thematik getestet werden. Wenns nicht klappt, einfach wieder die normale Fritzbox dran und nächsten Abend probieren. Das erspart Stress im Haushalt, falls man nicht alleine wohnt.
Das einzige, was ich später dann nicht bedacht hatte war, dass ich mit meinen vorhandenen Fritzbox APs keine mehreren WLANs abbilden konnte. Denn ich wollte natürlich alle IOT Geräte jetzt irgendwie in das IOT VLAN bringen und das über WLAN. Parallel jedoch auch ein Gäste-WLAN aufspannen. Ich verkaufte letztlich meinen Fritzbox AP und kaufte stattdessen einen Ubiquiti U6, mit dem all diese Anforderungen möglich sind.
Zur Frage nach der Hardware: ich nutze einen Topton 41XX, mit vier 2.5G NICs. Allerdings möchte ich den perspektivisch wegen des hohen Stromverbrauchs durch einen Intel N100 ersetzen. Sehr wahrscheinlich wieder von Topton, den ich auf aliexpress bestellen werde.
Was mir als Einstieg geholfen hat war der Guide von HomeNetworkGuy.com, der das Zusammenspiel zwischen Managed Switch und OPNsense sehr gut erläutert und schon mal die Grundlage erklärt, damit es lauffähig ist. Danach war aus meiner Sicht nur noch das Thema Firewall Regeln für DECT die größte Herausforderung. Und klar: nichts unüberlegtes tun, da wenn Firewall falsch konfiguriert, ist halt die Tür offen.
Daher mochte ich auch in dem Zusammenhang Videos als Format nicht, denn das ist meist zu schnell und viel zu sehr auf "komm, ich nehme dich kurz mal mit". Da ist wenig Zeit das zu hinterfragen. Denn entweder muss man es erst noch verstehen oder schlimmer noch ist es sogar falsch..
Quote from: Baender on January 15, 2025, 11:53:07 AMZur Frage nach der Hardware: ich nutze einen Topton 41XX, mit vier 2.5G NICs. Allerdings möchte ich den perspektivisch wegen des hohen Stromverbrauchs durch einen Intel N100 ersetzen. Sehr wahrscheinlich wieder von Topton, den ich auf aliexpress bestellen werde.
Stromsparen kannst Du knicken: Nach meiner Erfahrung brauchen die N100 eher etwas mehr als ein J4125. Der N100 ist lediglich ein bisschen schneller. Die TDP-Angabe von 6 Watt ist unrealistisch, es sei denn, Du kannst im BIOS PL1 und PL2 selbst anpassen. Zudem kommen da noch 2-3 Watt für RAM und Chipsatz, 2 Watt für NVME und ca. 1 Watt pro belegtem Port hinzu. Unter 12 Watt geht da praktisch nichts - und das ist Idle. Ich habe alle Generationen durch: J4125, N5105, N6005 und N100. Der J4125 ist nur ein bisschen langsam, im Verbrauch nehmen die sich praktisch nichts, ist eher so, dass der N100 ein bisschen höher liegt.
Oh, das ist krass. Das hätte ich nicht gedacht. Damit kann ich ja meine Upgrade-Pläne begraben.. Mein Netzwerkschrank verbraucht insgesamt 28 Watt, wovon gut 6 Watt für die Lüfter sind. Ich hatte gehofft den Wert weiter reduzieren zu können. Mit im Schrank sind ein 16-Port Managed Switch, das ONT und eine Fritzbox.
Wenn man im Smart Home erstmal die Verbraucher sieht, dann schaut man natürlich auf die höchsten Verbraucher..
Hi :)
Quote from: Baender on January 15, 2025, 11:53:07 AMExplizit kann ich Dir leider nicht helfen, was deine Verbindungsdaten Informationen angeht
Ach so, war eher so gedacht, dir noch mehr wilde o2 Nummern und Adressen um die Ohren zu schmeißen, die dir vielleicht helfen irgendwelche Zusammenhänge herzustellen, die wegen irgendwelcher Unbekannter nicht möglich waren.
Dass ich die Logindaten von o2 kriege setze ich mal voraus :)
Deinen Hintergrund habe ich bei weitem nicht und auch nicht beruflich damit zu tun, ich scheine mir nur selbst immer Schmerzen mit solchen DIY Projekten zufügen zu wollen und bis nachts um 2 daran rumzuspielen, wenn alle andere längst im Bett sind. Keine Ahnung was mit mir nicht stimmt (passenden Smiley hier einfügen...), aber ich habe das Gefühl in meinem Umfeld bin ich der einzige, der sich auch nur ansatzweise Gedanken um Datensicherheit macht.
Wie auch immer, tut ja nichts, wenn ich mir die neue Fritzbox spare und stattdessen Stück für Stück anfange mir ein System zu bauen.
Dann kann ich auch jedes Jahr eine weitere Komponente anschaffen und merke das gar nicht haha.
Quote from: Baender on January 15, 2025, 11:53:07 AMDas einzige, was ich später dann nicht bedacht hatte war, dass ich mit meinen vorhandenen Fritzbox APs keine mehreren WLANs abbilden konnte. Denn ich wollte natürlich alle IOT Geräte jetzt irgendwie in das IOT VLAN bringen und das über WLAN. Parallel jedoch auch ein Gäste-WLAN aufspannen. Ich verkaufte letztlich meinen Fritzbox AP und kaufte stattdessen einen Ubiquiti U6, mit dem all diese Anforderungen möglich sind.
Ich kann aber weiterhin das Guest LAN und Wifi der Fritz nutzen, richtig?
Kommen halt die iots mit ins normale Gäste Wifi bis ich mal nen neuen AP kaufe
Quote from: Baender on January 15, 2025, 11:53:07 AMWas mir als Einstieg geholfen hat war der Guide von HomeNetworkGuy.com (https://homenetworkguy.com/), der das Zusammenspiel zwischen Managed Switch und OPNsense sehr gut erläutert und schon mal die Grundlage erklärt, damit es lauffähig ist.
Cool, da hab ich ein bisschen Abendlektüre ;)
Quote from: cottec on January 15, 2025, 04:54:34 PMIch kann aber weiterhin das Guest LAN und Wifi der Fritz nutzen, richtig?
Mit Fritzbox als LAN-Client hinter der Sense? Dann nein. Dann wird das Gäste-WLAN deaktiviert.
Quote from: Patrick M. Hausen on January 15, 2025, 05:21:29 PMQuote from: cottec on January 15, 2025, 04:54:34 PMIch kann aber weiterhin das Guest LAN und Wifi der Fritz nutzen, richtig?
Mit Fritzbox als LAN-Client hinter der Sense? Dann nein. Dann wird das Gäste-WLAN deaktiviert.
Ah ok, schade, als entweder erwachsenen AP oder Mini AP nur für Gäste/iot
Quote from: cottec on January 15, 2025, 06:51:49 PMAh ok, schade, als entweder erwachsenen AP oder Mini AP nur für Gäste/iot
Das war bei mir ebenfalls die Übergangslösung. Ich hatte die Fritzbox und damals zwei Fritzbox APs. Jeweils einen AP für EG und OG. Eine Zeit lang habe ich beide im EG eingesetzt, damit einer Gäste- und der andere User-WLAN ausstrahlt. Da war natürlich im OG nur mit eingeschränktem Empfang zu rechnen.
Quote from: meyergru on January 15, 2025, 12:24:50 PMQuote from: Baender on January 15, 2025, 11:53:07 AMZur Frage nach der Hardware: ich nutze einen Topton 41XX, mit vier 2.5G NICs. Allerdings möchte ich den perspektivisch wegen des hohen Stromverbrauchs durch einen Intel N100 ersetzen. Sehr wahrscheinlich wieder von Topton, den ich auf aliexpress bestellen werde.
Stromsparen kannst Du knicken: Nach meiner Erfahrung brauchen die N100 eher etwas mehr als ein J4125. Der N100 ist lediglich ein bisschen schneller. Die TDP-Angabe von 6 Watt ist unrealistisch, es sei denn, Du kannst im BIOS PL1 und PL2 selbst anpassen. Zudem kommen da noch 2-3 Watt für RAM und Chipsatz, 2 Watt für NVME und ca. 1 Watt pro belegtem Port hinzu. Unter 12 Watt geht da praktisch nichts - und das ist Idle. Ich habe alle Generationen durch: J4125, N5105, N6005 und N100. Der J4125 ist nur ein bisschen langsam, im Verbrauch nehmen die sich praktisch nichts, ist eher so, dass der N100 ein bisschen höher liegt.
Ah warte mal, ich wollte das eigentlich bestätigen, aber stimmt nicht so ganz, du kriegst den N100 schon extrem tief, du musst halt aber auch dafür sorgen, dass z.B. die NICS keine tiefen Schlafzustände verhindern. Ich hab 10-12W mit 1NVME SSD und 2x 3,5" HDDs im SpinDown (ASRock N100 Board mit DC Ladegerät)
Ohne die HDDs wäre der Verbrauch sicher im Einstelligen Bereich
Quote from: cottec on January 16, 2025, 09:56:26 AMdu kriegst den N100 schon extrem tief, du musst halt aber auch dafür sorgen, dass z.B. die NICS keine tiefen Schlafzustände verhindern.
Da frage ich mich, inwieweit dieser Zustand überhaupt eintreten soll? Ein WAN, ein LAN und zwei LAG NICs. Da sehe ich jetzt nicht wann eine der NICs schlafen gehen sollte. Nach meiner Vorstellung kann es nur ein binärer Zustand sein: Traffic oder kein Traffic und entsprechend Tiefschlaf oder nicht. Kann mir nicht vorstellen, dass die NICs dann zwischen einzelnen Paketen dann einfach schlafen gehen..
Aber da bin ich nicht Experte drin.
Ich persönlich finde alles unter 20 W für eine Appliance grandios und betreibe da keinen weiteren Aufwand :-) Sind gute 40 € im Jahr bei meinem aktuellen Tarif. Muss jeder selbst wissen.
Quote from: cottec on January 16, 2025, 09:56:26 AMAh warte mal, ich wollte das eigentlich bestätigen, aber stimmt nicht so ganz, du kriegst den N100 schon extrem tief, du musst halt aber auch dafür sorgen, dass z.B. die NICS keine tiefen Schlafzustände verhindern. Ich hab 10-12W mit 1NVME SSD und 2x 3,5" HDDs im SpinDown (ASRock N100 Board mit DC Ladegerät)
Ohne die HDDs wäre der Verbrauch sicher im Einstelligen Bereich
Kaum (oder wenn, nur knapp): SATA-HDDs liegen im Idle bei ca. 1 Watt (0,5 - 2 Watt, je nach Typ). Dann wärst Du immer noch bei 9 Watt. Kann sein, dass meiner nie unter 12 Watt geht, weil ich eigentlich nie wirklich "idle" habe - da läuft ja mindestens Monitoring-Traffic.
Außerdem war mein ursprüngliches Argument ein anderes: Es macht keinen
wesentlichen Unterschied (danke für den Hinweis, Patrick!), ob man ein System mit J4125, N5105, N6005 oder N100 ausstattet (alle selbst ausprobiert) - anders als die Datenblätter @Baender haben vermuten lassen, die für den J4125 15 Watt TDP und den N100 6 Watt TDP spezifizieren.
Natürlich würde ich heute einen N100 nehmen, aber wenn die zusätzliche Performance nicht benötigt wird, ist ein Upgrade von J4125 auf N100 rausgeschmissenes Geld, wenn man sich davon Stromkostenersparnis erhofft, denn der Verbrauch liegt eher höher.
Und um die Serie gleich noch zu komplettieren: Ein N100-OpnSense-System kann unter Last auch leicht mal 30 Watt aufnehmen. Dann wird es bei den "kleinen, billigen" Passivgehäusen schon ziemlich heiß, weshalb ich zu den 50€ teureren, besseren Gehäusen rate. Wenn man mehr als 2.5 Gbps (oder 1 Gbps mit IPS oder VPN) benötigt, könnte man theoretisch einen N305 gut brauchen - nur, dass der dann so viel Leistung zieht, dass Passivkühlung nicht reicht. Oder doch nur bei geringer Last - und wozu braucht man dann den N305? Einen Mittelweg gibt es auch nicht: Der N200 ist viel teurer, kaum verfügbar und bringt keine Mehrleistung bei dieser Anwendung.
Also ist man bei > 2.5 Gbps schon bei ganz anderen Systemen angekommen, z.B. Minisforum MS-01 o.ä. Das ist dann aber im Stromverbrauch ein Faktor 2 und beim Preis schon lange.
Quote from: meyergru on January 16, 2025, 11:44:50 AMUnd um die Serie gleich noch zu komplettieren: Ein N100-OpnSense-System kann unter Last auch leicht mal 30 Watt aufnehmen. Dann wird es bei den "kleinen, billigen" Passivgehäusen schon ziemlich heiß, weshalb ich zu den 50€ teureren, besseren Gehäusen rate
Hast du hier konkrete Vorschläge?
Ich will da keine konkreten Produkte empfehlen, es gibt welche mit 2, 4, 5 und 6 Ports.
Vor allem gibt es aber deutliche Unterschiede zwischen den Gehäusen. Man sieht es denen sofort an, was gut kühlt und was nicht (Länge und Anzahl der Kühlrippen, Gesamtoberfläche des Gehäuses).
Die ersten beiden Variante sind die typische Billigversion, die beiden letzten sind besser...
Quote from: meyergru on January 16, 2025, 02:46:29 PMes gibt welche mit 2, 4, 5 und 6 Ports.
Wie sieht das mit der Performance aus, wenn so ein Ding auch schon Switch Aufgaben mit übernimmt?
Wäre natürlich praktisch mit 4 ports, dann kann WAN rein, LAN auf Switch raus, Guest LAN raus, FAP raus.
Dann könnte ich mir sogar nen managed Switch sparen...
ich sag mal so, lüfterlos müsste er nicht sein (ich kann auch ein neues Plastikgehäuse drucken und da so nen 20er oder 30er Lüfter mit reinhängen.
Da wo das Ding am Ende steht ist mir minimales Lüftergeräusch egal und deutlich unwichtiger als ne lange Lebensdauer
Quote from: cottec on January 16, 2025, 04:46:14 PMWie sieht das mit der Performance aus, wenn so ein Ding auch schon Switch Aufgaben mit übernimmt?
Schlecht, weil FreeBSD kein Switch ist. Du kannst bei einem Teil mit 6 Ports natürlich 5 als LAN zusammen-bridgen und so tun als sei es eine Fritzbox. Aber jede Fritzbox ist schneller, weil das in der Sense durch den ganzen Stack hoch zum Betriebssystem muss, in Software gebridged wird, und dann wieder raus auf den Draht geht.
Dedizierter Switch regelt, sobald du VLANs willst, sowieso.
Ausnahmen, die ich mir vorstellen kann:
- man macht sowieso praktisch alles drahtlos
- an einem Port der Sense hängt ein AP mit mehreren SSIDs und VLANs - das geht problemlos
- man hat ein oder zwei andere kabelgebundene Geräte, bei denen die Performance egal ist - Drucker z.B. - dann kann man einen phys. Port mit in ein VLAN bridgen ohne Probleme
Sobald ein zweiter AP hinzukommt --> Switch
Es sei denn ... Budget, 1 Gbit/s reicht, man will keine extra Boxen, ... funktionieren tut das alles stabil. Ich hab das Leuten, die gezielt danach gefragt haben, auch schon detailliert skizziert. Oder in einem kleinen Verein im Büro - da lag ein Kabel in die Ecke, wo das NAS (FreeNAS) stand. Also die beiden Ports vom NAS gebridged, Drucker mit an das NAS gehängt, tiptop ohne extra Switch.
Aber FreeBSD ist kein Switch. Unterstützt auch keine SoC-Switch-Hardware.
EDIT: oder hab ich dich jetzt falsch verstanden? 1 Port für LAN, 1 Port für Gäste, 1 Port für IoT - und an jeden ein separater AP - das sind ja keine Switch-Aufgaben. Das wäre ja auf Layer 3 getrennt, damit Routing, und genau dafür ist die OPNsense gebaut. Was sie nicht gut macht, ist 2 oder mehr APs mit identischen VLANs alle an die Sense ohne Switch.HTH,
Patrick
also lieber nen kleinen managed switch direkt dahinter hängen...
Das einzige iot Gerät, das derzeit fest verkabelt ist, ist mein SmartTV.
Und ob ich den gut aussperren kann weiß ich eh nicht. Über Guest Wifi würds ja auf jeden Fall gehen...
Yep - ich mag die alten Edge-Switche von Ubiquiti:
https://techspecs.ui.com/uisp/wired?subcategory=wired-edge-max-switching
Wenn du noch einen bekommst. Lüfterlos, solides Metalgehäuse, tun, was sie sollen. Management per Browser ohne (!) Unifi-Controller. Jeder Switch solo, wenn man nur einen will, also genau richtig.
Bissi größer hab ich gerade und bin schwer begeistert:
https://mikrotik.com/product/crs326_24g_2s_in
Für 2.5 G musst du halt mal gucken ...
Es kommt ja immer drauf an, wieviele Ports man von welchem Typ braucht. Ich finde für Heimanwendungen diesen Switch (https://geizhals.de/zyxel-xgs1210-desktop-gigabit-smart-switch-xgs1210-12-zz0102f-a3088570.html) ziemlich genial. Der ist passiv gekühlt, managebar mit Webinterface und hat 2x2.5 Gbit, die man dann z.B. für einen Server mit mehreren VLANs und für die (V)LAN-Seite der OpnSense einsetzen kann. Die anderen 8 Ports sind dann für Drucker, PCs oder APs.
Außerdem bietet das Ding noch die Möglichkeit, ggf. SFP+-Karten nachzustecken, z.B. für einen Server per DAC oder wenn man noch eine Power-Workstation braucht, die mehr als 1 Gbit braucht.
Wenn man mehr 2.5 Gbit-Ports braucht, kann man auch einfach mehr Ports von der OpnSense nehmen und die VLANs darauf verteilen. Der Switch ist jedenfalls sehr flexibel.
@meyergru sehr cool, ja. Hatte mich mit Zyxel noch nicht beschäftigt. Büro und die meisten Kollegen haben Unifi, ich hab mich dann irgendwann auf Mikrotik eingeschossen. Preis/Leistung und so. Der Unterschied an Komplexität und was man mitbringen muss bei Router OS vs. Unifi Controller ist allerdings gewaltig. Hat mich mehr als ein WE Einarbeitung gekostet, das Zeug.
Genau das war auch mein Problem mit Mikrotik.
Ein Freund hat sich neulich diesen Mikrotik (https://geizhals.de/mikrotik-cloud-router-switch-crs310-desktop-2-5g-smart-switch-crs310-8g-2s-in-a3065240.html) geholt - allerdings quasi als Backbone. Der ist gut aber im Vergleich zum ZyXEL doch sehr komplex (und laut). Ich habe 3 Stunden für ein ziemlich einfaches Setup gebraucht - immer am Rande, mich "rauszukonfigurieren".
Wenn Fragen offen sind - eine der n. User Groups :)
Wenn man die Logik erst einmal verstanden hat, geht es ja, aber verglichen mit anderen Lösungen ist das schon sehr (fast unnötig) kompliziert.
Als Rundum-Sorglos-Lösung finde ich ja Unifi geil - zumindest für Switching und WiFi. Für die Firewall, internen DNS usw. würde ich das immer noch nicht nehmen. Wenn man einen Proxmox-Server hat, kann man auch Unifi Network zur Verwaltung dort laufen lassen. Ist halt nicht ganz billig, dafür aber sehr komfortabel zu bedienen. Das ist der Grund, wieso ich das Zeug nutze. Das, was mich nervt, ist, dass der einzige Switch mit 4 * SFP+ und sonst 2.5 Gbit für mich zu tief ist. Das heißt entweder ein zusätzlicher 8-Port SFP+ oder ein SFP+-Port zu wenig...
Übrigens: Ganz neu dieser Unifi: https://www.omg.de/ubiquiti-networks/unifi/unifi-switch/ubiquiti-flex-2-5g-usw-flex-2-5g-8/a-30311
Sagenhaft für den Preis...
Der Gerät! :-)
ich werde es bei meinen Gehversuchen jetzt so versuchen, dass die Fritz nur noch als Client agiert und sich ausschließlich ums DECT kümmert, sonst nix
Soo, ich bin auch schon ein gutes Stück weiter.
Protectli V1410 und DrayTek Vigor 167 sind am Start und laufen.
Zugriff aus LAN aufs Modem steht auch.
Fettes Dankeschön nochmal für die Inspiration hier überhaupt.
Kommt auch genau zur rechten Zeit, meine Fritz zickt rum...
Egal, VoIP... Tolles Thema...nicht
Internet läuft über WAN und in der Fritzbox hab ich ne grüne Lampe bei der Rufnummer.
Habe zwei Gateways, eins für Interface WAN und eins für WAN_voip
Ich kriege aber nur am WAN eine IP, am WAN_voip nicht
WAN ist Device pppoe0(igc1) zugeordnet, WAN_voip an pppoe1(igc1), beide PPOEs jeweils mit den Benutzerkennungen, die ich von o2 habe.
Aliases
FritzBoxIP: 192.168.100.10
SIP_Ports: 5060:5061
RTP_Ports: 7078:7109
SIP_Servers: sip.alice-voip.de
NAT Out
Interface: WAN_voip
Source: FritzboxIP
source port: udp/*
destination: *
destination port: udp/*
NAT Address: WAN_Voip address
NAT Port: *
Static Port: Yes
Rules LAN
Protocol: TCP/UDP
Source: FritzboxIP
Port: SIP_Ports
Destination: SIP_Servers
Port: SIP_Ports
Gateway: WAN_voip_gateway
Protocol: TCP/UDP
Source: FritzboxIP
Port: RTP_Ports
Destination: SIP_Servers
Port: RTP_Ports
Gateway: WAN_voip_gateway
Der Knackpunkt bei mir war übrigens, dass ich der Fritz von OPNsense aus eine statische IP verpasst habe.
Dabei diktiert die natürlich auch die DNS Server.
Ich habe in der Fritz jetzt selbst die IP vorgegeben und die zwei o2 DNS Server (62.109.121.1 und .2) dort eingetragen.
Die sind auch wohl mächtiger als die, die man bei Zugangsdaten unter DNS einträgt. Bis ich das gemacht habe war die Lampe nicht grün.
Ich nehme an, das hätte sich erledigt, wenn ich die ip in der fritzbox auf dhcp und die dns alle leer lasse und stattdessen das tue?
Services: Unbound DNS: Overrides
domain IP Description
sip.alice-voip.de 62.109.121.2 o2 Voip
sip.alice-voip.de 62.109.121.1 o2 voip
Hab ich jetzt noch nicht getan, da ich immerhin die Lampe habe...
Trotzdem fehlt mir noch die IP, irgendeine Idee?
Oder wird die etwa nur bei einem Telefonat aufgebaut und ich muss das Telefon in die Hand nehmen? :D
edit:
Quote from: Baender on June 20, 2024, 10:04:41 PMAllow external SIP Proxy for VoIP
- Action: Pass
- Interface: LAN
- Direction: in
- TCP/IP Version: IPv4
- Protocol: TCP/UDP
- Source: Fritzbox
- Source port range from: SIP_Port to: SIP_Port
- Destination: SIP_Proxy
- Destination port range: from: SIP_Port to: SIP_Port
- Gateway: WAN_VOIP_PPPOE
Stimmt denn hier eigentlich der Destination Port? Kann/Sollte der nicht auf any stehen?
Noch jemand ne Idee was hier falsch läuft?
Ich habe zwar eine registrierte Nummer, ich kann anrufe annehmen, aber es wird keine Sprache in beide Richtungen übertragen...