OPNsense Forum
International Forums => German - Deutsch => Topic started by: Imrazor on March 03, 2018, 10:09:29 pm
-
Hallo zusammen!
Ich hoffe, hier kann mir jemand "Licht ins Dunkle" bringen. Ich bin momentan am Umstellen meines Netzwerkes und würde mich zukünftig gerne mit einem nagelneuen Gigaset C430A GO direkt bei meinem VOIP Anbieter anmelden - ohne Fritzbox dazwischen. Dazu habe ich noch das ein oder andere Verstädnisproblem bzgl. VLAN-Tagging.
Aber der Reihe nach:
Ich bin bei einem örtlichen, lokalem Internetprovider (unsere Stadtwerke hier), von denen ich seit mehreren Jahren eine FTTH-Leitung habe.
Die Konfig sieht momentan noch so aus:
ONT (Glasfasermodem) --> Fritzbox --> TP-Link TL-SG3424P --> Endgeräte
|
v
Analog-Telefon
Das Telefon hing bisher an der Fritzbox über den analogen Anschluss, die VOIP-Verbindung zum Anbieter wurde direkt von der FB aufgebaut. Die Konfiguration des Anschlusses bzw. der FB erfolgt remote durch den Anbieter. Seit der freien Routerwahl müssen sie auch die Zugangsdaten rausrücken, was sie auch getan haben.
Im Endeffekt ist es so, dass keine Einwahl in das Internet im klassischen Sinne erfolgt, sondern der Fritzbox auf einem LAN-Port per DHCP vom Provider eine öffentliche IP-Adresse zugewiesen wird. VOIP läuft über das VLAN 40.
Nachdem mir die FB aber schon lange ein Dorn im Auge ist (aus verschiedenen Gründen) habe ich vor, diese "sterben zu lassen" und durch eine OPNsense "Homemade-Appliance" zu ersetzen. Ich benötigte die FB eben nur noch für das Telefon, WLAN und dergleichen wir sowieso über Unifi APs erledigt.
Bis die Hardware (Supermicro X11SBA-LN4F) für OPNsense bei mir eintrifft, wollte ich mir schon mal darüber Gedanken machen, wie ich das Gigaset über mein internes LAN zur Verbindung mit den Anbieter über VLAN 40 bewegen kann.
Zukünftig soll es also wie folgt aussehen:
ONT (Glasfasermodem) --> OPNsense --> TP-Link TL-SG3424P --> Endgeräte (darunter das Gigaset C430A Go)
Neben den spärlichen SIP-Daten habe ich eben nur den Hinweis, dass VLAN 40 und eine Voice Payload Size von 20ms eingestellt werden muss.
Dazu habe ich jetzt ein paar Fragen, wäre super, wenn mir jemand auf die Sprünge helfen könnte:
1. Wo muss ich überall die Information bzgl. VLAN-Tagging setzen?
Muss ich es im Gigaset-Menü setzen und/oder am Switch-Port an dem das Telefon angeschlossen ist?
2.Muss der Uplink vom Switch zu OPNsense als Trunkport konfiguriert werden, damit sowohl der normale LAN-Datenverkehr, als auch der VOIP-Datenverkehr im VLAN 40 richtig an OPNsense geleitet wird?
3. Welche Einstellungen am WAN Port bzw. an der Firewall von OPNsense müssen getroffen werden, damit sowohl normaler Datenverkehr, als auch VOIP über VLAN40 richtig ins Providernetzwerk gelangt?
Schon mal vielen Dank für die Hilfe und sorry, falls ich etwas falsch verstanden habe, was VLAN angeht bin ich noch nicht wirklich fit.
Grüße
Imrazor aka Andreas
-
Hallo Imrazor,
zu deinen Fragen:
zu 1.: Nur in der Sense Taggen.
zu 2.: Nein.
zu 3.: Der weitere Post:
Die OPNsense wird so in dein Netzwerk eingespannt:
ONT (Glasfasermodem) --(WAN-IF-VLAN-TAG> OPNsense --(LAN-IF)> TP-Link TL-SG3424P --> Endgeräte
|
v
Gigaset C430A GO
Ich denke mal, das die normale Internetverbindung von dir Untagged vom "Glasfasermodem" weitergegeben wird. Und du dann auf VLAN 40 das Telefonnetz findest.
Was du auf jeden Fall machen musst ist dem Gigaset eine feste IP im LAN Netz der Sense zu geben.
Am besten legst du dir dazu auch einen Alias an, damit du nicht immer die IP händisch eintragen musst.
Im Interface Einrichtungssetup erstellst du auf dem Netzwerkinterface welches "WAN" sein soll 2 Segmente:
Phy Int. 1:
WAN-IF (Untagged) => DHCP
OPT1 (TAG 40) => DHCP
"OPT1" Kannst du nachher noch VOIP-Stadwerke etc. nennen.
Phy Int. 2:
LAN-IF (Untagged) => IP_deiner_Wahl/24
Damit VOIP funktioniert musst du jetzt noch entsprechende Firewall Regeln erstellen. Und die NAT Regel. So einen ähnlichen Fall wie deinen hatten wir schonmal hier: https://forum.opnsense.org/index.php?topic=6997.msg30801#msg30801 (https://forum.opnsense.org/index.php?topic=6997.0)
Sollte sich auf die gleiche weise lösen lassen. Ohne Sip Proxy. Der ist für ein Endgerät überdimensioniert. Zudem ist VOIP bei dir ohnehin im Privat VLAN deines ISPs.
Beste Grüsse
NR
-
Hallo NR,
danke für die schnelle Rückmeldung.
Eine Verständnisfrage habe ich noch dazu: Wie weiß OPNsense, welche Datenpakete vom Gigeset stammen und, dass diese ins VLAN40 sollen, damit sie richtig zum Provider weitergeleitet werden?
Das Telefon soll ja am Switch hängen, da es irgendwo im Haus stehen wird und der LAN-Port am Auftesllungsort entsprechend auf den Switch aufgeptacht ist.
Erfolgt dies über die NAT-/Firewall-Regeln?
Ich freue mich jedenfalls schon die Fritzbox zu eliminieren :-D
Grüße
Imrazor
-
Hallo NR,
danke für die schnelle Rückmeldung.
Eine Verständnisfrage habe ich noch dazu: Wie weiß OPNsense, welche Datenpakete vom Gigeset stammen und, dass diese ins VLAN40 sollen, damit sie richtig zum Provider weitergeleitet werden?
Das Telefon soll ja am Switch hängen, da es irgendwo im Haus stehen wird und der LAN-Port am Auftesllungsort entsprechend auf den Switch aufgeptacht ist.
Erfolgt dies über die NAT-/Firewall-Regeln?
Ich freue mich jedenfalls schon die Fritzbox zu eliminieren :-D
Grüße
Imrazor
Ja das läuft nachher entweder über eine Firewallregel die für das VOIP Telefon den auf VLAN 40 befindlichen Gateway erzwingt, oder sofern es in VLAN 40 kein Gateway geben sollte läuft das über Routing. Laufen tut das aber in jedem Fall.
Ob du auf VLAN 40 ein Gateway bekommst siehst du nachher in der DHCP-Antwort.
Oder du hängst Testweise einen PC an das Modem und stellst dort in der Netzwerkkarte VLAN 40 ein, da siehst du das dann ebenfalls.
-
Hallo NR,
mittlerweile läuft die OPNsense Appliance, auch wenn ich etwas zu kämpfen hatte, bis ich meine Webseite aus dem eigenen LAN wieder erreichen konnte - puh, das war ein Act.
Aber das VoIP krieg ich nicht zum laufen, ich kriege am Gigaset nur "Anmeldung bei Provider nicht erfolgreich". Das Telefon selbst habe ich mit allen Infos gefüttert, die ich hab - sind ja nicht viele. Dazu noch eine feste IP-Adresse verpasst.
In OPNsense habe ich folgendes gemacht:
Schnittstellen -> Andere Typen -> VLAN -> Hinzufügen ->WAN-Schnittstelle gewählt, VLAN 40 eingestellt und PCP5 (Providervorgabe)
Danach Schnittstelle -> Zuweisungen -> neue Schnittstelle mit dem Netzwerkport "VLAN 40 auf igb1" (WAN)
Und danach habe ich, wie in deinem anderen Post geschrieben, die Regeln erstellt und bei NAT -> Ausgehend auf Hybrid gestellt und folgendes eingestellt:
Schnittstelle Quelle Quellport Ziel Zielport NAT Adresse NAT Port
VLAN40 Gigaset jeder jeder jeder Schnittstellenadresse jeder
Danach habe ich noch die Portweiterleitungen für die Port 5060 und 5004-5020 erstelt nach deinen Vorgaben.
Hast du irgendeine Idee?
Nachtrag: An der VLAN40 Schnittstelle war DHCP nicht aktiviert. Jetzt bekomme ich immerhin eine IP-Adresse und ein Gateway geliefert.
Bei den Firewall-Regeln für die VLAN40-Schnittstelle habe ich jetzt als Gateway das VLAN40_DHCP Gateway zugewiesen. Ist das so richtig?
Gebracht hat's allerdings auch nichts ;-)
-
Hallo NR,
mittlerweile läuft die OPNsense Appliance, auch wenn ich etwas zu kämpfen hatte, bis ich meine Webseite aus dem eigenen LAN wieder erreichen konnte - puh, das war ein Act.
Aber das VoIP krieg ich nicht zum laufen, ich kriege am Gigaset nur "Anmeldung bei Provider nicht erfolgreich". Das Telefon selbst habe ich mit allen Infos gefüttert, die ich hab - sind ja nicht viele. Dazu noch eine feste IP-Adresse verpasst.
In OPNsense habe ich folgendes gemacht:
Schnittstellen -> Andere Typen -> VLAN -> Hinzufügen ->WAN-Schnittstelle gewählt, VLAN 40 eingestellt und PCP5 (Providervorgabe)
Danach Schnittstelle -> Zuweisungen -> neue Schnittstelle mit dem Netzwerkport "VLAN 40 auf igb1" (WAN)
Und danach habe ich, wie in deinem anderen Post geschrieben, die Regeln erstellt und bei NAT -> Ausgehend auf Hybrid gestellt und folgendes eingestellt:
Schnittstelle Quelle Quellport Ziel Zielport NAT Adresse NAT Port
VLAN40 Gigaset jeder jeder jeder Schnittstellenadresse jeder
Danach habe ich noch die Portweiterleitungen für die Port 5060 und 5004-5020 erstelt nach deinen Vorgaben.
Hast du irgendeine Idee?
Nachtrag: An der VLAN40 Schnittstelle war DHCP nicht aktiviert. Jetzt bekomme ich immerhin eine IP-Adresse und ein Gateway geliefert.
Bei den Firewall-Regeln für die VLAN40-Schnittstelle habe ich jetzt als Gateway das VLAN40_DHCP Gateway zugewiesen. Ist das so richtig?
Gebracht hat's allerdings auch nichts ;-)
Es könnte jetzt daran liegen, das der DNS Name von dem VOIP-Server deines Providers vielleicht nicht aufgelöst wird.
Dein Telefon solltest du dafür in der Firewallregel in der es ausgehenden Zugriff hat, auf VLAN40 voll Zugriff geben. Ausgehend alle Ports erlauben.
Zusätzlich trägst du in dein Telefon den DNS-Server ein, den du auf VLAN40 per DHCP mitgeteilt bekommen hast. Damit sollte sich dein Telefon zumindest schon einmal bei deinem Provider anmelden können.
Du hättest das Telefon zwar nicht mittels Firewallregel auf das VLAN40 Gateway fixieren müssen, letztlich ist das aber auch nicht schlimm und so lange sich dein Telefon beim Provider noch nicht angemeldet hat kannst du das auch so lassen.
Zusätzlich solltest du schauen ob auf der VLAN40 Schnittstelle villeicht das Blocken von Bogon und Privaten Netzen eingeschaltet ist. Das muss aus sein.
-
Danke für deine Rückmeldung, dann muss mal rausfinden, ob mir auf dem VLAN ein DNS Server geliefert wird. Momentan ist im Telefon als DNS ja noch die OPNsense eingestellt, kann die das nicht über den vom Provider mitgeteilten DNS auflösen? Macht sie doch im LAN auch oder?
Private Netzte und Bogon werden nicht geblockt, den Haken habe ich schon rausgenommen bzw. kontrolliert.
Nachtrag: Ich bekomme keinen eigenen DNS-Server auf dem VLAN40, jedenfalls wird mir keiner unter Schnittstellen -> Überblick ->Schnittstelle VLAN40 angezeigt.
Das Telefon hat vorhin aber nach dem Einschalten eine neue Firmware bezogen, insofern kommt es anscheinend ins Internet...
-
Dein Telefon soll aber nicht ins Internet, sondern hauptsächlich mit VLAN40 kommunizieren. Zumindest mittels SIP.
Bei der FritzBox läuft das so, das die Zugriff auf beide VLANs hat, aber soweit ich weiß, es vom LAN zwar direkten Zugriff auf das Internet hat, aber keinen direkten Zugriff auf das Voice VLAN in deinem Fall VLAN40.
Was mich nur wundert ist jetzt, das dein Telefon ein Firmware update machen konnte. Und du mir im vorherigen Beitrag geschrieben hast das du in der Firewallregel für dein Telefon, das VLAN40 Gateway erzwungen hast. Normalerweise sollte dein Telefon so kein Firmware update machen können, da über VLAN40 ja kein Internet zur Verfügung steht.
Könntest du nochmal Detailliert die Firewallregeln Posten, evtl mit Bild welche nur für dein Telefon sind. Du könntest in der Windows CMD auch mal mit nslookup testen, ob sich die SIP-Server IP Adresse denn auflösen lässt. Wenn ja ist es kein DNS Problem sondern wahrscheinlich ein Firewall Problem.
-
Genau diese Vermutung habe ich auch, dass das Gigaset nicht 100% an das VLAN40 gebunden ist und es über den normalen WAN-Weg ins Internet kommt. Und sich damit auch nicht über VLAN40 versucht sich zu verbinden.
Ja, ich kann vom LAN aus auf meinem Rechner den Registrar-Server über nslookup auflösen, ich erhalte dann die zugeordnete IP. Auch das hat mich schon stuzig gemacht.
Im Anhang die Screenshots der betreffenden Firewall-Regeln und NAT sowie Portforwarding.
-
Nimm mal bei den LAN Regeln als Ziel "VLAN40 Netzwerk" raus und stelle den auf ANY (*).
Denn so kann dein Telefon nur auf den Adressbereich von VLAN40 zugreifen und nicht auf Netze hinter dem Gateway von VLAN40 zudem solltest du die Firewallregel ganz nach oben schieben. Denn die Regeln werden nach dem erste Treffer Prinzip abgearbeitet, also von oben nach unten. Daher kann dein Telefon auch ein Firmwareupdate machen.
Wenn dein Telefon sich angemeldet hat und du auch telefonieren kannst ohne Probleme, kannst du anfangen die Regeln feiner einzustellen. Das heißt, nur die SIP und RTP Ports gehen per Zwang auf VLAN40 raus, ansonsten kann dein Telefon auf das Internet zugreifen. Soweit ich weiß sollen die ja eine eingebaute rückwärts suche der Rufnummern können wofür ja Internet vonnöten ist.
-
Hatte leider nicht den gewünschten Effekt. Das Telefon liefert immer noch "Anmeldung bei Provider nicht erfolgreich". Dafür kommt es jetzt auch nicht mehr ins "normale" Internet ;-)
Nachtrag 1: Zum testen habe ich mal das Gigaset so eingestellt, dass es die IP dynamisch bezieht und das VLAN-Taggin selbst übernimmt und es direkt an das Glasfasermodem statt dem WAN-Port der OPNsense angesteckt.
Ich bekomme eine IP zugewiesen, aber eine Anmeldung funktioniert auch hier nicht. Mir scheint es fast, als würde es dann an der Gigaset-Konfiguration liegen? Normalerweise sollte er doch ohne FW dazwischen seine Verbindung aufbauen könne, wenn die eingetragenen Daten stimmen...
Nachtrag 2: In der Zwischenzeit habe ich weitere Test unternommen:
1. Ich habe auf meinem Laptop Ekiga (Softphone unter Linux - ich benutze nur Linux) installiert und habe dem Laptop die IP des Gigasets verpasst (das ich vorher natrülich vom Netz genommen habe). Resultat: Ich kann die IPs des VLAN40 pinge, kann den Registrar ngn.telepark-passau.de aber nicht auflösen. Löse ich die Domain vorher auf meinem anderen Rechner zur IP auf und nutze die IP direkt als Registrar, dann erhalte ich von Ekiga die Meldung: "Verweigert, bitte überprüfen Sie, dass Benutzername und Passwort korrekt sind!".
2. Ich habe testweise die Fritbox wieder angeworfen, welche sofort eine Verbindung mit dem Registrar aufbaut und das alte Telefon ging auch sofort. Ich habe also erneut mit den PHP fb_tools die Fritzbox ausgelesen und erhalte genau das Passwort und den Benutzer, den ich bereits hatte und ich im Gigaset bzw. Ekiga eingegeben hätte.
Ich weiß echt nicht mehr weiter. Ich habe dem Support meines Providers eine Mail mit der Gigaset Konfigurationsmaske geschickt, die sagen, das sollte so passen.
Was ja nachwievor komisch ist, ist die Tatsache, dass ich über das VLAN den Registrar-Namen nicht auflösen kann. OK, ohne DNS auf VLAN40 kann es ja nicht gehen, aber wie macht das die Fritzbox??
-
Du hast wirklich viel raus gefunden. :)
Nachtrag 1: Zum testen habe ich mal das Gigaset so eingestellt, dass es die IP dynamisch bezieht und das VLAN-Taggin selbst übernimmt und es direkt an das Glasfasermodem statt dem WAN-Port der OPNsense angesteckt.
Da hätte es sich normalerweise direkt anmelden müssen.
Ich habe auch mal auf der Telepark Passau Seite nachgeschaut, aber die liefern ja gar keine Informationen zu ihrem VOIP Netz. Außer diese Seite: https://www.telepark-passau.de/hilfe-faqs.html (https://www.telepark-passau.de/hilfe-faqs.html)
Und da schreiben sie explizit das VLAN40 nur für deren Telefonie verwendet wird: 6. Suchen Sie nach der Option "Anmeldung immer über eine Internetverbindung" und deaktivieren Sie diese.
Damit würde sich die FritzBox bei deren Server anmelden, auch wenn VLAN0(Dein Internet) nicht zur Verfügung steht, was allerdings aufgrund des DNS-Hostnamens ja nicht gehen kann. Außer die IP ist fest in der FB vorkonfiguriert. Dann geht das natürlich.
Warte mal ab, was dir deren Support schreibt.
Nicht das die an Ihrem Registrar alles abweisen, was nicht den Fritz Box UserAgent mitsendet. Wenn es genau das ist, funktioniert alles was ich dir geraten habe natürlich nicht. Den User Agent vom Gigaset ändern geht glaube ich ja auch nicht.
Oder aber die Daten, die PHP FB_Tools ausgelesen hat stimmen nicht.
Bzgl. Passwort.
-
Ich habe ja die Zugangsdaten per Post nochmals erhalten, Benutzername und Passwort stimmt mit dem überein, was ich aus der FB ausgelesen habe - und die kann sich ja immerhin verbinden.
Komisch ist auch, dass in der FB der Registrar genauso mit Namen eingetragen ist und nicht mit IP. Die FB kann den aber auflösen, wie auch immer. Wenn ich die IP des Resistrars eintrage, sieht man, dass auch Anfragen an den Server rausgehen.
Ich habe gestern nochmal eine Mail an den Support geschickt, ob die irgendwie filtern/blocken. Nach deren Aussage sollte es ja auch ohne FB funktionieren. Wobei der Provider natürlich sehr klein ist und ich der einzige irre, der nicht die Standard-Konfiguration benutzt ;-) Aber die sind recht kompetent und bemüht, deshalb hoffe ich, dass sie nochmal nachsehen, ob das Problem doch auf ihrer Seite liegt.
-
Ich habe jetzt mal mit Siproxd gespielt, nur für's Verständnis:
Siproxd baut die Verbindung zum Registrar auf oder macht das nach wie vor das Telefon?
Ich habe alle konfiguriert, einen Benutzer angelegt, der den Zugangsdaten entspricht, genau wie eine Outbound Domain für den Registrar.
Das Gigaset lässt nur eine komplette Verbindungskonfiguration zu, d.h. ich kann lediglich Siproxd zusätzlich als Outbound Proxy angeben.
Ich krieg immer noch die Meldung, dass die Anmeldung fehlgeschlagen ist, aber unter Current Registrations hat sich wenigestens was getan, das Telefon erreicht zumindest Siproxd. Ist das gut oder schlecht oder trifft das überhaupt eine Aussage??
****:1:1520695207
sip:08XXXXXXXX@192.168.2.25:5060
sip:08XXXXXXXX@10.170.46.XXX
sip:08XXXXXXXX@ngn.telepark-passau.de
-
Ich habe jetzt mal mit Siproxd gespielt, nur für's Verständnis:
Siproxd baut die Verbindung zum Registrar auf oder macht das nach wie vor das Telefon?
Ich habe alle konfiguriert, einen Benutzer angelegt, der den Zugangsdaten entspricht, genau wie eine Outbound Domain für den Registrar.
Das Gigaset lässt nur eine komplette Verbindungskonfiguration zu, d.h. ich kann lediglich Siproxd zusätzlich als Outbound Proxy angeben.
Ich krieg immer noch die Meldung, dass die Anmeldung fehlgeschlagen ist, aber unter Current Registrations hat sich wenigestens was getan, das Telefon erreicht zumindest Siproxd. Ist das gut oder schlecht oder trifft das überhaupt eine Aussage??
****:1:1520695207
sip:08XXXXXXXX@192.168.2.25:5060
sip:08XXXXXXXX@10.170.46.XXX
sip:08XXXXXXXX@ngn.telepark-passau.de
Siproxd funktioniert etwas anders als du es bisher verstanden hast. Das heißt das Siproxd nicht die Anmeldung beim Anbieter für dich erledigt. Das ist auch gar nicht die Aufgabe von einem Proxy. Siproxd dient lediglich als Vermittlungsschicht. Dadurch das Siproxd als Vermittlungsschicht agiert, hat man von aussen (WAN), natürlich keinen direkten Zugriff mehr auf die Telefonanlage oder Endgeräte. Daher kann man Siproxd auch als soetwas wie eine Sicherheitsschicht betrachten. NAT muss so ein VOIP Endpunkt ebenfalls nicht beherrschen, da Siproxd den Sip Header immer so umschreibt, als würde dein VOIP Endpunkt Siproxd selbst sein. Der Users Tab vom Siproxd dient nur dazu, eine Anmeldung direkt an Siproxd zu ermöglichen. Und das nur, falls man unbedingt eine Authentifizierung dort möchte. In fast allen fällen braucht man das nicht. Daher bitte leer lassen.
Gigaset Konfiguration
Zugangsdaten wie gehabt.
Kein VLAN Konfigurieren
Feste IP oder DHCP einstellen
Kein Outbound Proxy
OPNsense Konfiguration
Achtung: Alle vorher gemachten Einstellungen bzgl. Gigaset bitte Löschen, damit es nicht zu Problemen kommt.
Ich habe jetzt mal eine Exemplarische Konfiguration gemacht, für ein "WAN Interface", bei dir musst du allerdings überall wo "WAN_Interface" steht auf das VLAN40 Interface umstellen.
Hier findest du die bebilderte Anleitung: DropBox (https://www.dropbox.com/sh/o5px7n1aww42tl6/AAA2rdF4Gul6NEc8dZmLQDhia?dl=0)
-
Danke für deine Erläuterungen bzgl. Siproxd!
Nach langem Rumprobieren habe ich schlussendlich aufgegeben - naja, mehr oder weniger. Mein Ziel war es primär, OPNsense als Firewall zum Netzbetreiber zu haben. Das Telefon läuft jetzt über die Fritzbox hinter der OPNsense.
Komischerweise kann die Fritzbox mit entsprechenden Firewallregeln und Portforwarding die Verbindung aufbauen - vielleicht liest Telepark wirklich den User Agent aus. Jedenfalls konnte ich mit den gleichen Regel, die ich auf das Telefon direkt geleitet habe, keine Verbindung aufbauen - was ja eigentlich gehen müsste.
Ich hab nur echt keinen Bock mehr, dann soll die dumme Fritzbox halt weiterlaufen ;-)
Hauptsache ich hab' sie nur noch als "Telefonvermittler"...
-
Ich hätte mir von deinem Netzbetreiber allerdings etwas mehr Support erhofft, gerade mit dem hinblick auf Routerfreiheit.
Mir ist vorhin noch etwas eingefallen, da die FritzBox ja hinter OPNsense zu funktionieren scheint, kannst bei der OPNsense unter "http://<OPNsenseIP>/diag_packet_capture.php" mal die Pakete von deiner FritzBox nach VLAN40 aufzeichnen und am PC mit Wireshark auswerten. Allerdings solltest du das Feld Anzahl auf "0" stellen. Denn Filtern kannst du nachher in Wireshark.
Also so, dass du zuerst die Paketaufzeichnung startest, und dann die FritzBox erst mit dem Stromnetz verbindest. Dann bekommst du all die SIP Pakete mit denen sich die FritzBox bei "ngn.telepark-passau.de" anmeldet.
Die musst du allerdings selber auswerten, da dort deine Rufnummer und Zugangsdaten im Klartext drinstehen.
Sollte aber kein Problem darstellen. Bei SIP steht von der FritzBox dann auch der Useragent drin. Zudem sollte für dich interessant sein, wie die FritzBox die Zugangsdaten zusammensetzt, denn es muss sich dabei nicht unbedingt um das handeln was du in die Konfigurationsmaske eingetragen hast.
Und da das ja mit der FritzBox bei dir so momentan zu funktionieren scheint, solltest du die OPNsense Konfig mal wegsichern, damit du nicht alles händisch immer rücksetzen musst.
-
Naja, mal schaun, ob/was sie zurückschreiben. Am Wochenende haben sie nur ein Team zur Störungsbehebung, der normale Support ist nur unter der Woche besetzt. Aber klar, ich gebe dir schon recht, hinsichtlich Routerfreiheit nicht der Hit. V.a. ist die Dokumentation auf ihrer Seite auch mehr als dürftig, was wohl daran liegt, dass 99,9% der Kunden keine Ambitionen haben, etwas anderes zu betreiben als die Fritz!Box.
Dein Tipp für's Mitschreiben der Pakete ist sehr gut, das werde ich mal versuchen! An Wireshark dachte ich auch schon, wusste aber nicht, wie man mit der OPNsense alle Pakete auf VLAN40 aufzeichnet. Werde ich nach der Arbeit mal testen.
Die OPNsense Konfig habe ich sofort gesichert, als es mit der FB endlich ging ;-)
Nachtrag 1:
Hab es getestet: In den SIP Paketen steht als Benutzer genau der mir bekannte und der SIP-Registrar ist ebenfalls der gleiche. Das Passwort ist allerdings verschlüsselt. Als User-Agent wird natürlich die Fritzbox Kennung (Typ + FW-Stand) übermitelt. Ich sehe da jetzt aber keinen wirklichen Grund, weshalb es mit dem Telefon direkt nicht gehen sollte, außer der User Agent wird geprüft.
Nachtrag 2:
Aus den Paketen erkenne ich, dass die VoIP-Verbindung über einen anderen Provider erledigt wird (Regensburger Telekommunikations GmbH oder auch Glasfaser Ostbayern). Die Informationen dort sind genauso spärlich, aber ich habe einen Blog-Eintrag gefunden, in dessen Kommentare genau mein Problem angeprangert wird. Die Leute haben dein Eindruck, als würde der Provider VoIP an die Fritzbox binden: https://www.timoschindler.de/die-r-kom-und-das-routerwahlrecht/
Wer muss das Routerwahlrecht eigentlich durchsetzen? Die Bundesnetzagentur?
Nachtrag 3:
Hier geht es genau um mein Problem nur beim besagten Provider R-Kom:
https://www.ip-phone-forum.de/threads/c610a-ip-direkt-am-glasfaser-ostbayern-ftth-anschluss.298371/
-
Spielt für dich keine Rolle, wer das durchsetzen muss, dein Ansprechpartner bleibt weiterhin dein Provider, für Routerfreiheit die Bundesnetzagentur, denn die muss die Gesetze ja durchsetzen.
Ich würde deinem Provider die Situation schildern und das du gerne dein Telefon direkt dort Anmelden willst, allerdings mit einem dezenten Hinweis auf Routerfreiheit und das du dich ja auch mal an die Bundesnetzagentur wenden würdest, weil das nachweislich mit den richtigen Zugangsdaten ja nicht funktioniert. Den Packet Trace kannst du ja von deiner FritzBox und deinem Telefon separat mal abspeichern und als Nachweis behalten, falls dein Provider nachher was anderes behaupten sollte.
Im Endeffekt ist alleine mit dem Versuch das Gigaset Telefon ohne die FritzBox da anzumelden erbracht , dass sich nicht an Routerfreiheit gehalten wird. Ansonsten würde ja auch ein Softphone am PC funktionieren ohne FritzBox funktionieren.
---
Du kannst ja nochmal Siproxd testen und da den Useragent der FritzBox, mit FW Stand reinkopieren. Dann siehst du ja ob es daran liegt.
-
Bis jetzt habe ich noch keine Rückmeldung vom Provider, werde sie aber nochmal drauf hinweisen.
Wenn ich die nächsten Tage mal Zeit hab, werde ich auch nochmal die Pakete beim Verbindungsaufbau durch das Gigaset direkt aufzeichnen. Da sollte man ja auch erkennen, weshalb genau die Verbindung nicht zustande kommt...
-
Bei SIP ist es im Allgemeinen so, dass zumindest die Authentifizierungsrequests standardisiert sind.
Das Nummern wählen und Telefonieren, da macht jeder Provider allerdings sein eigenes Ding. So braucht die Telekom zusätzliche SIP Header etc. Aber Anmelden sollte sich eigentlich jedes Telefon können.
Also meiner Meinung nach wollen die nicht das andere Geräte ausser die FritzBox eine Verbindung aufbauen können.
Ich bin schon gespannt darauf was dabei rauskommt wenn sich dein Provider bei dir meldet. Wahrscheinlich sind die selbst noch nicht auf die Idee gekommen das ein Kunde sein Gigaset ohne die FritzBox da anmelden könnte/würde.
-
Wahrscheinlich sind die selbst noch nicht auf die Idee gekommen das ein Kunde sein Gigaset ohne die FritzBox da anmelden könnte/würde.
Davon gehe ich auch mal ganz schwer aus. Wobei im IP Telefonie Forum einer geschrieben hat, er hätte von der R-Kom eine Anleitung erhalten, mit der es ging. Blöderweise hat er diese nicht gepostet.
Bin gespannt, was mein Provider sagen wird. Ich glaub ich hab die Kollegen eiskalt erwischt ;-)
-
Der Techniker von TPP hat alles auf ihrer Seite geprüft und konnte den Fehler auch nicht finden. Mit dem Hinweis er möge doch mal bei dem Zulieferer anfragen, kam zurück, dass die meinte, es muss auch mit dem Gigaset funktionieren, da wäre nichts anderes einzustellen.
Also habe ich alles nochmal getestet und siehe da - ohne etwas an der Konfiguration zu ändern funktioniert es auf einmal ohne Fritzbox direkt mit dem Gigaset. Ein Schelm wer böses denkt. Die R-Kom hat hier sicherlich irgendeinen "Haken gesetzt" bzw. die Agent-Abfrage deaktiviert. Anders kann ich es mir jedenfalls nicht vorstellen.
Für mich ist das Thema gelöst, auch wenn ich nicht weiß, was es schlussendlich war.
-
Der Techniker von TPP hat alles auf ihrer Seite geprüft und konnte den Fehler auch nicht finden. Mit dem Hinweis er möge doch mal bei dem Zulieferer anfragen, kam zurück, dass die meinte, es muss auch mit dem Gigaset funktionieren, da wäre nichts anderes einzustellen.
Also habe ich alles nochmal getestet und siehe da - ohne etwas an der Konfiguration zu ändern funktioniert es auf einmal ohne Fritzbox direkt mit dem Gigaset. Ein Schelm wer böses denkt. Die R-Kom hat hier sicherlich irgendeinen "Haken gesetzt" bzw. die Agent-Abfrage deaktiviert. Anders kann ich es mir jedenfalls nicht vorstellen.
Für mich ist das Thema gelöst, auch wenn ich nicht weiß, was es schlussendlich war.
Habe mir schon gedacht das, das so kommt. Wahrscheinlich wollten die auch keine Auseinandersetzung mit der Bundesnetzagentur. Jetzt müsstest du nur einen Bekannten bei dem gleichen Anbieter haben, der das Verifizieren kann das es nun auch ohne FritzBox geht. Und du damit kein Einzelfall bist, der freigeschaltet wurde. Aber Hauptsache es funktioniert jetzt so wie es soll.
Schlussendlich dürfte es tatsächlich am SIP UserAgent und dessen "Versions Header" (Fritz!Box + FWversion) gelegen haben, denn wenn es jetzt auf einmal mit den gleichen Zugangsdaten ohne Änderung geht, haben die einfach die Header Prüfung abgeschaltet.
Denn eine andere Möglichkeit gibt es einfach nicht, das eine Endgerät (FritzBox) zuzulassen, und ein Gigaset zu blocken. Mit den gleichen unveränderten Zugangsdaten.
-
Leider habe ich niemanden im Bekanntenkreis, der sein Internet auch von TPP bezieht.
Falls es jemanden interessiert, ich habe auf meinem Blog ein kleines HowTo geschrieben, wie ich mir meine OPNsense Appliance mit einem Supermicro-Board "gebastelt" und konfiguriert habe. Auch das Thema hier findet sich wieder:
https://www.imrazor.de/howto/selfmade-opnsense-appliance/
-
Wow, sehr schön geschrieben! :)
Das wird anderen dann auch helfen, die in den Thread schauen, selbst wenn es nur darum geht, sein Telefon über die OPNsense zum laufen zu bringen.
Ich werde deinen Blogbeitrag auch noch mal im gepinnten Post zu Siproxd verlinken. Damit er direkt gesehen wird.