OPNsense Forum
International Forums => German - Deutsch => Topic started by: simpsonetti on March 16, 2023, 07:46:58 pm
-
Moin,
ich bekomme "bald" einen GlasfaserAnschluss der Deutschen Glasfaser mit 1000Mbit down und 500Mbit up.
Ich bin gerade am Überlegen, wie ich zukünftig mein "netz" aufbaue und hier im spziellen nun der Part Internetzugang.
Meine Überlegungen gehen dahin, reicht einen AVM5590 Fiber, auch unter dem Punkt, das darüber die TK-Anlage mit gehandelt werden kann. Natürlich auch die anderen Punkte würden für die FB sprechen.
Nun hat die FB aber ja auch ganz klar Grenzen und die Frage für mich ist nun, soll ich ggf. das mit einer Opnsense mit SFP betreiben, da man hier ja schon einiges mehr einstellen kann. Nun weiß ich aber nicht, wie ich das Thema Telefonie dann betreiben soll. Meine Überlegung dazu geht dann auch, meine Serverinfrastruktur zu ändern, sodass eine VM mit yunohost betrieben wird, da in der Roadmap steht, "FreePBX" wird da implementiert werden. Sollte das nicht so sein, bietet sich an, eine spezielle Asterisk (oder ähnliches) dann als TK-Anlage zu betreiben.
Dann aber müßte ich schauen, wie ich die DECT-Telefone anbinden kann. Die VM hätte keine DECT-BAsis, das müsste ich wiederrum irgedwie aufbauen.
Und das wäre aber wiederum in der FB 5590 ja schon mit drin.
hmmmmmm. Da bin ich echt am grübeln.
Oder ich kombiniere das, das die FB5590 der erste router ist, dort laufen TK usw. drauf, aber sonst wird gleich hinter der FB eine "normale" opnsense laufen (die ich schon habe) und diese dann als exposed host sämtlichen Internettraffic verarbeitet. Einige Server könnte ich dann mit diese variante leicht in einer DMZ dann laufen lassen können.
Das ist gerade echt schwierig und wenn jemand tipps geben kann, wie ihr das regelt, oder regeln wollt, wäre ich euch sehr dankbar.
Danke schon im vorraus.
Gruß Sebastian.
-
Du kannst eine Fritzbox als Client in das LAN hinter der OPNSense hängen und darüber die Telefonie abwickeln, wenn dir die Features einer Fritzbox hier reichen. Das ist sicher komfortabler als Asterisk.
Habe ich hier zuhause - funktioniert bestens. Details der SIP-Konfiguration und der Firewall-Regeln wären natürlich zu klären. Dabei kann ich nicht helfen, meine Leitung ist von der Telekom.
-
Hallo Sebastian,
ich war damals immer auf VPN angewiesen. VOIP war auch ein Thema, aber VPN hatte Priorität.
Deshalb war meine favorisierte Konfiguration:
Vodafone Station ---- OPNsense ---- Switch ---- Fritzbox
(Bridge Mode) (Managed) (WLAN / VOIP)
Heute mit Glasfaser (Movistar) habe ich darauf geachtet, das ein Gerät installiert wurde, welches ebenfalls
als reines "Modem (Bridge-Mode)" arbeiten kann.
Wenn du an eine OPNsense mit SFP-Port denkst, dann solltes du klären, ob es hierzu auch einen entsprechenden
Tranceiver (GPON, weil Einwahl via PPPoE) gibt.
Viele Grüße
Udo
-
Die Einwahl bei neueren DG-Anschlüssen ist nicht PPPoE, sondern DHCP - und zwar nicht per VLAN, sondern untagged.
Die von der DG eingesetzten Nokia-ONTs G-010G-R "verschatten" Ihre Web-Oberfläche, sowie ein GPON-Signal anliegt, man kann auch nicht allzu viel steuern.
Der GPON-Zugang wird anscheinend nur über die MAC des Geräts, nicht per ONT-Passwort gemacht. Man muss also die MAC ggf. durch die DG freischalten lassen. Normalerweise heißt bei denen aber "kundeneigener Router" nur Router, nicht ONT.
Ich lasse das mit deren ONT, einer kleinen J4125-Box und einer nachgeschalteten 7530 für die Telefonie laufen.
-
......"FreePBX" wird da implementiert werden. Sollte das nicht so sein, bietet sich an, eine spezielle Asterisk (oder ähnliches) dann als TK-Anlage zu betreiben.
Dann aber müßte ich schauen, wie ich die DECT-Telefone anbinden kann. Die VM hätte keine DECT-BAsis, das müsste ich wiederrum irgedwie aufbauen.
...
Guten Morgen,
schau dir mal die 3CX Telefonanlage an, die ist für Privatnutzer kostenlos, du kannst sie in einer VM laufen lassen. ALs DECT Sender nehme ich die günstigen Go-Boxen von Gigaset / Siemens. Die kannst du als Nebenstelle einrichten und dann deine DECT-Telefone dort anbinden, machen ich seit 3 Jahre so und die Reichweite ist spitze.
Gruß,
Heiko
-
Bei 3CX gibt es wichtige Änderungen:
https://www.3cx.de/blog/4sc-gratis-abonnements/
-
Bei 3CX gibt es wichtige Änderungen:
https://www.3cx.de/blog/4sc-gratis-abonnements/
Wenn ich es richtig lese, wurde die kostenlose Version teilweise missbraucht und gegen Geld wiederverkauft. Soll aber weiterhin kostenlos sein. Die Frage ist, was mit Accounts passiert die nach dem 1. Januar eingerichtet wurden. Danke für den Hinweis.
-
Ist jemand bei DG und kann mir erklären, was das genau bedeutet? Ist damit spezielle HW gemeint?
Anschlussmodell FibreTwist (NT)
So steht es im WEBif...
-
Das heißt gar nichts, bzw. steht bei DG immer im Kundenportal, wenn ein kundeneigener Router im Spiel ist. Normal stellen sie einen Nokia ONT, wie ich schon schrieb.
Fibretwist NT ist ein spezieller ONT von Genexis (Nokia), der direkt auf den Glasfaser-Abschlusskasten installiert wird (https://genexis.de/produkt/fibertwist). Offenbar hat man den früher mal verbaut.
-
Die Einwahl bei neueren DG-Anschlüssen ist nicht PPPoE, sondern DHCP - und zwar nicht per VLAN, sondern untagged.
Hast du eine Quelle dazu und wie wird das auf der Sense dann konfiguriert? Einfach auf der Schnittstelle dem ONT via DHCP eine IP zuweisen und als standard GW nutzen?
-
Ja, das steht in diversen Anleitungen der DG auf deren Webseite beschrieben, einfach als DHCP-Client konfigurieren und los. Du bekommst dann eine CG-NAT-IP per IPv4 und ein routingfähiges /56er IPv6-Subnetz per DHCPv6.
Ich habe zwei Anschlüsse per OpnSense so laufen.
-
Ja, das steht in diversen Anleitungen der DG auf deren Webseite beschrieben, einfach als DHCP-Client konfigurieren und los. Du bekommst dann eine CG-NAT-IP per IPv4 und ein routingfähiges /56er IPv6-Subnetz per DHCPv6.
Ich habe zwei Anschlüsse per OpnSense so laufen.
Danke für die Info!
-
Die Herausforderung bei DG liegt nicht im Anschluss selbst, sondern bei DS-Lite, denn alles ist nur per IPv6 erreichbar.
Das bedeutet, man muss zunächst mal DynDNS mit IPv6 hinbekommen, inklusive EUI-64, wozu man verstehen muss, wie das für Endgeräte geht, wenn man bestimmte Ports an nachgelagerten Geräten im LAN erreichen will (z.B. IMAP, SMTP o.ä.). Der DynDNS-Dienst muss das auch erstmal können.
Dann noch Firewallregeln mit dynamischen IPv6-Suffixen oder namensbasiert mit HA-Proxy, falls es Web-Zugriffe sind (die vorhandene Anleitung von TheHellSite berücksichtigt aber nur IPv4).
Und das alles hilft auch nur, per IPv6 überhaupt erreichbar zu werden. Manche Mobilfunknetze unterstützen das aber nicht, ebenso viele Firmen- und Hotel-WLANs. Und dann muss man entweder IPv4-zu-IPv6-Tunnel aufbauen oder so etwas wie Cloudflare Tunnel verwenden.
-
Die Herausforderung bei DG liegt nicht im Anschluss selbst, sondern bei DS-Lite, denn alles ist nur per IPv6 erreichbar.
Das bedeutet, man muss zunächst mal DynDNS mit IPv6 hinbekommen, inklusive EUI-64, wozu man verstehen muss, wie das für Endgeräte geht, wenn man bestimmte Ports an nachgelagerten Geräten im LAN erreichen will (z.B. IMAP, SMTP o.ä.). Der DynDNS-Dienst muss das auch erstmal können.
Dann noch Firewallregeln mit dynamischen IPv6-Suffixen oder namensbasiert mit HA-Proxy, falls es Web-Zugriffe sind (die vorhandene Anleitung von TheHellSite berücksichtigt aber nur IPv4).
Und das alles hilft auch nur, per IPv6 überhaupt erreichbar zu werden. Manche Mobilfunknetze unterstützen das aber nicht, ebenso viele Firmen- und Hotel-WLANs. Und dann muss man entweder IPv4-zu-IPv6-Tunnel aufbauen oder so etwas wie Cloudflare Tunnel verwenden.
Wie sieht das bei den Businessanschlüssen aus, uns wurde gesagt, dass wir nativ IPv4 bekämen?
-
Das scheint tarifabhängig zu sein. Wenn man sich das Autonome System der DG ansieht, wird klar, warum das für Privatanschlüsse (DG Home) nicht mal gegen Zusatzgebühren möglich ist: Das größte CIDR-Subnetz der DG ist gerade mal ein /18, hat also 16384 Adressen (siehe https://asnlookup.com/asn/AS60294/). Und davon haben sie auch nur eins.
Im "noch bezahlbaren" DG Professional heißt es ganz klar, dass es zwar IPv4, aber CG-NAT ist, also nur DS-Lite (siehe Punkt 5.2 hier: https://www.deutsche-glasfaser.de/fileadmin/user_upload/_vcr_/DGP_Leistungsbeschreibung_1y6kBle.pdf).
Für den DG Business gibt es online weder exakte Preis- noch Leistungsinformationen, aber Du musst doch wissen, was Du bestellt hast?
-
[...]
Für den DG Business gibt es online weder exakte Preis- noch Leistungsinformationen, aber Du musst doch wissen, was Du bestellt hast?
Natürlich, einen Company Pro 500 GF Anschluss. Bei uns stand im Vertrag, feste IPv4 Adresse. Ich muss erst ins Büro um nachzusehen, aber soweit ich mich erinnere, stand bei uns jedenfalls nichts von DSLite...
-
Da könnte dann sogar ein /29 dabei sein...
-
Hm mist, bei mir ist das wohl auch ipv6 und "ds-lite". Als Routerempfehlung steht das hier:
Dienst Internet:Der kundeneigene Router muss folgende technische Features/Spezifikationen erfüllen: ·WAN-Interface: 1000/100Base-T RJ-45 Port ·Router WAN-Interface: DHCP-Client, IPv6rd; IPv4/IPv6 Dual Stack
Das heißt ist könnte meine vorhandene könnte evtl reichen, aber ich brauche wohl keine SFP Kiste.
Das heißt, wie kann ich denn (mit IPv6 hatte ich noch nie zu tun) das vergleichbar wie mit IPv4 bauen? Also dyndns, portweiterleitung etc...
-
In Ergänzung dazu:
Ich habe "natürlich" noch weitere AVM Geräte, wie WLAN-repeater.
Ist es möglich als zentrale WLAN-Instanz die opnsense zu nehmen, wenn z.B. eine Anmeldung, oder Vouchers ausgegeben werden sollen? Oder geht das nur AVM intern? Also das Captiv Portal.
Darüber hinaus, was bei AVM ja relativ einfach zu machen ist, ist ein Gäste-WLAN. Gibts dafür eine Anleitung, wie das eingerichtet wird und mit sinnvollen Settings ausgestattet wird?
-
also mit ordentlichen APs kannst du ein gäste wlan einrichten (eigenes VLAN) nutze dazu einfach die forum suche, haben wir mehrfach hier schon behandelt. mit den AVM teilen kannst du das nicht ordentlich umsetzen
-
Wie folgt habe ich es zuhause am laufen und bin ganz zufrieden.
------
| HÜP | (wird durch DG installiert)
------
|
------
| NT | (wird durch DG installiert)
------
| RJ45 <----- Ab hier eigene Installation. Ganz normal LAN.
-------------
| Opensense | (APU Board mit 3 NICs )
-------------
| <----- Ab hier grünes Netz
------------------------------------------
| |
----------
| FB7490 | sonstiges LAN/DLAN/WLAN/GästeWLAN
----------
|
VOIP/WLAN/GästeWLAN
Um von außen rein zu kommen, Habe ich eine VPS am Laufen mit einem Wireguard Tunnel. Die Sense baut die Verbindung zum Server auf und ich komme problemlos ins Heimnetz. Alles über IPV4. Über IPV6 habe ich mir für den Zugriff von außen noch nicht sonderlich Gedanken gemacht.
Bin auch so ganz glücklich mit IPV4. Kostet auch nur knapp 3 Euro im Monat.
Für DMZ hätte ich an der OpenSense noch eine NIC frei. Habe ich bisher aber noch nicht benötigt.
-
Was ich da nicht ganz kapiere: Du hast das GästeWLAN zweimal eingezeichnet.
Läuft die Fritzbox als IP-Client oder als Router mit eigener NAT?
Wenn sie als IP-Client läuft, arbeitet sie als normaler Access Point und das GästeWLAN ist nicht abgetrennt (also alles im "grünen" Netz). Das wäre dann konsistent zum zweiten GästeWLAN rechts, ich nehme an, da steht mindestens noch ein weiterer AP.
Als Router könnte sie zwar das GästeWLAN abtrennen, aber das normale WLAN wäre so auch nicht wirklich im "grünen" Netz.
Wenn man ein Gast-(W)LAN wirklich abtrennen will und mehrere APs braucht, ist die Fritzbox IMHO nicht die ideale Lösung. Ich verwende die FB nur noch als VoIP-Gateway und nutze VLANs und Access Points von Unifi, die dann die WLANs separieren.
-
Hast recht meyergru
Die FB läuft als Client und Gastnetz ist dann nicht machbar.
Ich hatte das offenbar so geplant und habe es dann die anderen APs gelöst.