Hallo, nachdem hier ja einige Spezialisten für SIP unterwegs sind, und der Anlass für das Problem tatsächlich der Einbau einer OPNsense ist, versuche ich es erst einmal hier.
Gegeben ist ein Vodafone Kabelanschluss mit Fritzbox vom Provider und Telefonie. Ich hatte ja vor einiger Zeit schon mal mit euch die Szenarien durchgespielt von wegen Bridge Mode, eigenes Kabelmodem, etc. pp.
Wir haben dann den sinnvollen Hinweis beherzigt, die OPNsense hinter die Fritzbox zu hängen. Zunächst ohne doppeltes NAT mit einer statischen Route in der Fritzbox. Das Management-Netz für das Unifi-Geraffel haben wir ebenfalls "draußen" gelassen und einfach zwei neue VLANs in Unifi angelegt und auf getrennte phys. Ports der OPNsense gepatcht. Ihr könnt mir glauben, dass wir diesen Teil im Griff haben ;)
/16er Netze weil der liebe Kollege ein Einfamilienhaus hat und seine Heimautomatisierung etwas eskaliert. Das war auch der Grund für die OPNsense und getrennte Netze etc. pp. Will sagen, es ist wahrscheinlich, dass 254 Adressen nicht ausreichen werden.
NAT auf der OPNsense wie gesagt aus!
▲
│
│
│ Uplink
│
│
┌────────────────┐
│ │
│ │
│ Fritzbox │
│ │
│ │
└────────────────┘
│
│ 192.168.90.1
│ Unifi VLAN: Default (1)
│ Netzwerk: 192.168.90.0/24
│
│ 192.168.90.2
│
┌────── WAN ─────┐
│ │
│ │
──────────────────────────────────── LAN OPNsense IOT ─────────────────────────────────────
│ │
Unifi VLAN: LAN (16) │ │ Unifi VLAN: IOT (17)
Netzwerk: 172.16.0.0/16 └────────────────┘ Netzwerk: 172.17.0.0/16
DHCP Range: 172.16.1.0-172.16.255.254 DHCP Range: 172.17.10.0-172.16.255.254
Auf der Fritzbox haben wir dann eine einzige statische Route angelegt, siehe Bild:
(https://forum.opnsense.org/index.php?action=dlattach;topic=43841.0;attach=39356;image)
Und jetzt kommts: wenn diese Route aktiv ist, funktioniert die Telefonie nicht. Man ruft an, Signalisierung klappt, aber keine Sprachübertragung. Das Telefon ist ein Gigaset DECT-Telefon an der Fritzbox. Es ist also lokal kein SIP im Spiel.
Schaut man in der Fritzbox in das Log unter Telefonie > Eigene Rufnummern > Sprachübertragung, dann sieht ein Anruf so aus:
(https://forum.opnsense.org/index.php?action=dlattach;topic=43841.0;attach=39358;image)
Was ist das für eine IP-Adresse 172.17.8.97? Die existiert in unserem Netz nicht! Bildet so eine Fritzbox die DECT-Telefonie auf nicht dokumentierte private IP-Adressen ab, die sie intern für ... was eigentlich ??? ... verwendet?
Bin diesbezüglich sehr verwirrt. Weiß da jemand was?
Deaktiviert man die Route in der Fritzbox, funktioniert es sofort wieder. Was zur Hölle?
Ein möglicher Workaround ist natürlich, auf dem WAN der OPNsense dann doch NAT zu machen. Oder ein anderes Netz zu wählen? Gibt's da irgendwo eine Doku? Hätte ich die Garantie, dass es mit irgendwas aus 10/8 dauerhaft funktioniert?
Danke im Voraus und Grüße
Patrick
Vielleicht ist in der Fritzbox eine DECT IP Basisstation eingebaut, via Software abgebildet, und benutzt diese IP Addresse einfach für die interne kommunikation. Sehr strange, noch nie so gesehen.
Wenn das stimmt dann könnte man die DECT Telefonie jeder Fritzbox mit dieser Route lahmlegen. Wäre interessant wenn das noch jemand testen würde.
Oder Vodafone nutzt diese IP-Adresse? Na ich bin gespannt, was rauskommt.
@Bob.Dig - Volltreffer!
Ich habe das mal mit dem Log meiner eigenen Fritzbox verglichen, die ja hinter einer OPNsense an einem Telekom-Anschluss hängt und zusätzlich eine SIP-Verbindung zu unserer Firmen-Starface hat. Und in dieser Zeile im Log steht da bei jedem Anruf die IP-Adresse vom SIP-Gateway drin!
Heilige Sch...!
Vodafone benutzt 172.16/12 für die Telefonie. Wieviel Pech kann man haben beim Design eines Netzes?
Ich denke, wir machen NAT ... nochmal etwa 80 Shellys umnumerieren ist kein Spaß. Außerdem - wer weiß, ob deren Adressen so bleiben?
Das ist unglücklich konfiguriert. Im Grunde hat ein public SBC eine public IP zu haben, oder man setzt mindestens mal eine Route in die Richtung, die spezifischer als die Default Route ist.
Hi,
meine Fritz!box nimmt Nummern aus 172.17/16 und 10.88/24 für die Telefonie. Ist ein Vodafone Kabelanschluss.
Es sieht so aus, als ob Vodafone nicht das volle 172.16/12 nimmt.
Irgendwann vor einigen Jahren habe schon mal nachgesehen und da waren es auch diese beiden Netze. Es scheint also relativ konstant zu sein.
Gruß
KH
Quote from: bimbar on November 05, 2024, 10:59:06 AM
Das ist unglücklich konfiguriert. Im Grunde hat ein public SBC eine public IP zu haben, oder man setzt mindestens mal eine Route in die Richtung, die spezifischer als die Default Route ist.
Ich probiere mal, ob ich das manuell hinkriege ...
Quote from: Patrick M. Hausen on November 05, 2024, 11:05:10 AM
Quote from: bimbar on November 05, 2024, 10:59:06 AM
Das ist unglücklich konfiguriert. Im Grunde hat ein public SBC eine public IP zu haben, oder man setzt mindestens mal eine Route in die Richtung, die spezifischer als die Default Route ist.
Ich probiere mal, ob ich das manuell hinkriege ...
War eigentlich eher Richtung Unitymedia gemeint :) . Aber ja, vielleicht kannst du das explizit nach WAN routen. Halt blöd, wenn sich die IP ändert.
Zumal das sowieso alles Unitymedia ist und dementsprechend zukünftig potentiell auf richtige Vodafone Infrastruktur migriert werden könnte.
Quote from: bimbar on November 05, 2024, 11:06:54 AM
War eigentlich eher Richtung Unitymedia gemeint :) . Aber ja, vielleicht kannst du das explizit nach WAN routen.
Die Fritzbox weigert sich eine statische Route mit einem Gateway auf ihrem WAN anzunehmen. Mist.
OK, also NAT ...
Danke an alle Mit-Detektive :)
Wie wäre es mit etwas Routing Trickserei um genau dieses Netzwerk auszuklammern?
- 172.17.0.0/24 <- Das soll nicht geroutet werden
https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/
Allowed IPs: 172.16.0.0/12
Disallowed IPs: 172.17.0.0/24
Ergebnis: AllowedIPs = 172.16.0.0/16, 172.17.1.0/24, 172.17.2.0/23, 172.17.4.0/22, 172.17.8.0/21, 172.17.16.0/20, 172.17.32.0/19, 172.17.64.0/18, 172.17.128.0/17, 172.18.0.0/15, 172.20.0.0/14, 172.24.0.0/13
Für das alles jeweils eine Route machen.
Oder wenn es 172.17.0.0/16 sein soll:
AllowedIPs = 172.16.0.0/16, 172.18.0.0/15, 172.20.0.0/14, 172.24.0.0/13
Quote from: Monviech on November 05, 2024, 11:20:42 AM
Wie wäre es mit etwas Routing Trickserei um genau dieses Netzwerk auszuklammern?
- 172.17.0.0/24 <- Das soll nicht geroutet werden
genau da haben wir aber jetzt die IOT-Geräte drin. Also in verschiedenen Bereichen von 172.17.0.0/16 ...
Deshalb: NAT.
Danke fürs Nachhaken, ich hab jetzt die Routen und den DHCP-Pool angepasst. Er hat 172.17.0.x bis 172.17.3.x für feste DHCP-Reservierungen und die gesamte obere Hälfte (/17) als Pool, das sollte reichen ;)
(https://forum.opnsense.org/index.php?action=dlattach;topic=43841.0;attach=39361;image)