Messages

Leider nicht.
Da ich meinen Anschluss nun für das Home Office benötige, bin ich auf Kabel Vodafone gewechselt und nutze nur noch eine FritzBox mit 10 /18er Netz, WireGuard kann die auch und ich muss nicht basteln. Mir fehlt für die OPNsense einfach die Zeit.

Die Frage ist ja, ob du SIPROXD benötigst. Bei mir lief es komplett ohne. Ich hatte lediglich Port 5060 und die RTP-Ports auf meine Telefonanlage weitergeleitet und die IPs auf die des Providers begrenzt, womit die Firewall der Telefonanlage sauber blieb. Da du mehrere Clients anmelden möchtest, würde ich vermuten, dass du eigentlich gar nichts einstellen solltest, außer vielleicht die DNS-Server deines ISP in der OPNsense.

Und was bringen die Telefone als Fehlermeldung? Falls diese nicht zu sehen sind, dann probiere Zoiper, da kannst du glaube ich eh e Meldung sehen.
Portweiterleitungen würde ich vorerst entfernen und den DNS-Server des Providers suchen und diesen in die Konfiguration eintragen.

Was funktioniert bei Dir denn nicht?
Für 1&1 habe ich Siproxd am Ende nicht gebraucht.
RTP kam durch, nachdem ich die DNS von 1&1 (ggf. bei anderen Anbietern ähnlich) in der Konfiguration der OPNsense eingetragen habe. Muss man halt im Hinterkopf behalten, wenn in Tutorials, wie z.B. Multi-WAN, der DNS angepasst werden soll.

Daran scheitert es nicht und meine Sense lief ja lange. Ist ja nur ein Beispiel der Doku, womit es einfacher geht und nicht
, woran es scheitert.
Genervt hat, dass die Sperrlisten unter Unbound DNS den Start teils um mehrere Minuten verzögert haben, dass WireGuard einmal kurz lief und danach nie wieder und niemand einen Fehler in der Konfig finden konnte, das anscheinend der Bug mit dem WAN-Failover, wenn ein WAN auf DHCP steht, seit 2 Jahren nicht behoben wurde und eben, dass man am Ball bleiben muss. Ich habe mit meinen VLANs, Captive Portal, Telefonanlage an 1&1, Site2Site VPN zu einer Fritte alles störungsfrei hinbekommen, der Weg dorthin war jedoch manchmal steinig.
Ich nehme an, dass ich damit schon mehr realisiert habe, als die meisten anderen Hobbyuser und es scheitert ganz sicher nicht daran, dass ich kein Image auf einen Stick bekomme. Gucke dir die vorgeschlagene Software für Windows an, dann gucke dir Rufus für Windows an und entscheide für dich, was einfacher erscheint. Macs habe ich nur auf der Arbeit.

Das waren auch meine Überlegungen. Leider spielt der Faktor Zeit bei mir momentan eine große Rolle, weshalb ich wohl tatsächlich von der OPNsense wieder auf eine FritzBox umsteigen werde. Macht im ersten Moment Arbeit alles wieder zurück zu stellen, am Ende des Tages ist es jedoch wahrscheinlich pflegeleichter.
Eigene VLANs sind schön, wenn man sich daran gewöhnt hat, aber leider zählt momentan die Einfachheit. Leider ist mir das erst klargeworden, als ich die OPNsense auf die neue Hardware umziehen wollte und schon wieder Fragezeichen auf der Stirn hatte, da ich mich damit zu selten beschäftigen kann.
Geht schon bei der Vorbereitung eines Sticks zur Installation los. Warum wird da nicht etwas einfacheres wie z.B. RUFUS vorgeschlagen, um den Stick vorzubereiten?
Wenn man drin ist, dann geht die OPNsense relativ gut, allerdings muss man am Ball bleiben, was ich momentan nicht kann.

Die Fragen sind ja, welche Vorteile ich durch PBX und OPNsense habe.
Ich habe eben mit einem Bekannten die Gesprächsqualität per FritzFon-App per WLAN durch einen VPN getestet. Qualität war sehr gut, nicht vergleichbar mit dem, was vor ca. 10 Jahren war, weshalb ich die PBX angeschafft habe.

Die OPNsense brauche ich dann nur noch für VLAN, alles andere kann die Fritte.

Da fragt man sich dann doch, ob es den Aufwand noch wert ist. Hätte ich mehr Zeit, dann ja, alleine aus Interesse, aber ohne Zeit rechtfertigt der Aufwand den Nutzen nicht.

Variante 3 hatte ich bis jetzt, allerdings mit DSL.

Leider etwas OffT, aber ansonsten endet es in einem Crossposting...
Letztes OffT, da hier angesprochen:

Variante 1:
OPNsense hinter FritzBox ohne Bridged Mode.
VLANs können erhalten bleiben, ggf. wird mit doppeltem NAT oder statischen Routen in der FritzBox gearbeitet. Ohne Bridge Mode bekomme ich nie die externe IP direkt an die OPNsense? VPN etc. in der OPNsense ist per DynDNS jedoch trotzdem möglich?

Variante 2:
OPNsense einstampfen (beinhaltet auch, dass ich 1&1 DSL als Failover abschalte, bzw. vielleicht durch meinen Switch Route und primär nur die Telefonie darüber abwickle, ich würde dann einen LTE-Unlimited Tarif für den Notfall buchen).
Stattdessen kaufe ich mir eine FritzBox (Cable), wodurch ich die SIP-Daten erhalte, möchte ich doch wieder eine eigene Telefonanlage und wäre damit flexibel. Hier könnte es allerdings engere Begrenzungen der Gesprächskanäle und bei der Anzahl der Rufnummern geben, wenn man nicht die Fritte von Kabel Vodafone mietet - das Risiko würde ich jedoch eingehen, Festnetztelefonie wird hier eh nicht permanent genutzt.
VLANs einstampfen (vielleicht hat jemand eine Idee, wie die Adressbereiche simpel erhalten bleiben können und diese auch untereinander kommunizieren können, ggf. Synology als DHCP-Server, Switch kann Layer 2 oder 3?), um der Ordnung meiner IPs nicht zu sehr hinterher zu trauern, würde ich die Clients (IoT-Geräte) dann per Hostnamen anstelle der IP ansprechen.
WLAN-SSIDs minimieren und nur noch ein eigenes WLAN und ein Gast-WLAN einrichten.
Dazu Port 4 der FritzBox als Gast-Netz deklarieren, den Port 4 an den Switch stöpseln und dem Port des Switches einen VLAN-TAG verpassen. Die Ports der Ubiquiti-APs bleiben VLAN Trunks und für die SSID des Gast-WLANs gebe ich entsprechendes VLAN an (ist ja nun auch so), somit müsste ich das Gastnetzwerk der FritzBox sauber trennen und nutzen können.

Meine Geräte halten sich in folgenden VLANs in Grenzen:
Synology (6 Netzwerkkarten) und APs in allen VLANs verfügbar
Heimnetz: Smartphones, Tablets, 4 PCs
Gastnetz: Gäste
VoIP: PBX auf Synology als VM, 1x DECT-Basis, 1x Tischtelefon (Smartphones per Heimnetz & Zoiper)
SmartHome: SmartHome-Zentralen als VM auf Synology, ca. 25 IoT-Geräte (überwiegend Shelly)
Gastnetz-Offen: Gäste ohne Zugangsdaten durch Zustimmung der Nutzungsbesdinungen

Gäste würde ich zusammenfassen und offen lassen, Nutzungsbestimmungen können in der FritzBox als Bedingung zur Nutzung gewählt werden (wie Captive Portal in der OPNsense).

Mein Site2Site-VPN läuft eh zu einer anderen Fritte und die Smartphones können bald direkt per WireGuard an der Fritte angemeldet werden, bis dahin kann WireGuard auf der Synology laufen.

Ich tendiere der Einfachkeit halber, und da meine Zeit immer weniger wird, zu Variante 2. Habt ihr eine unparteiische Einschätzung? Ich habe in Vergangenheit mit Kanonen auf Spatzen geschossen, da es Hobby ist, aber die Zeit wird mit den Kindern nicht mehr ;-)

Vielleicht dann noch eine einfache Möglichkeit ohne zusätzlicher Hardware doch die VLANs beizubehalten (managebarer Switch vorhanden, vielleicht sogar darin einstellbar), Netze müssen untereinander sprechen können, eventuell per DHCP-Server auf der Synology realisierbar? Würde man die Clients dann auch in der Fritte sehen?

Vielen Dank für Euren Input, der mir schon weitergeholfen hat und das Gefühl verleiht, dass ich kurz vor der vorläufigen Finalen Lösung stehe ;-)

Den Controller lasse ich in einer Home Assistant VM als AddOn auf einer Synology laufen, so lässt der sich sehr einfach updaten.
Mit dem Switch von Ubiquiti hatte ich Probleme, überwiegend in der Telefonie, welche mit meinem relativ günstigem ZyXEL-Switch verschwunden sind. Für mich also nur noch APs von Ubiquiti, von anderer Hardware habe ich Abstand genommen.

Die Komfort Option (gibt es nicht mehr?) ist nun anscheinend gleichzusetzen mit der Miete der FritzBoxen.
Falls man einen günstigen SIP-Trunk bekommt, wäre das eventuell auch noch eine Option, dann muss aber die Telefonie in dem Kabelrouter wahrscheinlich deaktiviert werden (wenn das geht), damit Port 5060 durchgereicht wird.

Ich muss mir da für mich Gedanken machen. Es hat alles sein Vor- und Nachteile und ggf. Hürden, die man zuvor nicht erkennt. Mein Vertrag mit der Telefonie läuft noch knapp 1 Jahr bei 1&1.

Die FritzBox hat insoweit etwas mit dem VLANs zu tun, als dass diese keine kann und man dann doch wieder ein zusätzliches Gerät benötigt ;-)

Sicherlich ist es keine top Hardware, jedoch sollte das Board ausreichend sein, die NICs sind Intel und eine kleine SSD kostet nicht viel, habe ich vielleicht auch noch liegen.

Das mit den Unterschieden, die Vodafone macht, ist auch wieder so ein Gewirr. In der Firma (die ich bald wechseln werde und nach Einarbeitung in der neuen ins Home Office gehen werde, weshalb ich zuverlässig Internet benötige), eine Straße weiter, habe ich eine FritzBox Cable gekauft und konnte somit die PBX direkt an dem Cable SIP-Server anmelden, was seit über 2 Jahren ohne größere Probleme funktioniert. Da haben wir aber auch keine Firewall (nicht meine Entscheidung) dahinter und die PBX bekommt fleißig Anfragen aus Russland etc. auf Port 5060, welche bei mir zu Hause gar nicht erst durch die OPNsense kommen.

Momentan liegt meine private Telefonie noch bei 1&1 und muss somit über DSL geroutet werden, allerdings reicht die Bandbreite hier von 1&1 nicht für die zukünftige Arbeit aus, daher der Kabelanschluss.

Das mit der gemieteten Box sagt mir auch irgendwie zu, dann die eigene PBX rauswerfen (die kam aus Neugierde und da die FritzBoxen früher für VoIP per WLAN nicht schnell genug waren, was mittlerweile kein Problem mehr sein sollte, ggf. dann auch auf ein doppeltes NAT eingehen und die OPNsense als Exposed Host einstellen. Die FritzBox kann mittlerweile auch WireGuard (Laborversion) und die OPNsense wäre dann überwiegend für VLANs, wobei ich dann nicht weiß, ob bei WireGuard über die Fritte alle Geräte in den VLANs von außen erreichbar sind.
Verbaut habe ich Ubiquiti APs (PoE) für WLAN. Die VLANs habe ich für:
- Hauptnetz
- VoIP (könnte ich drauf verzichten)
- SmartHome (soll bestehen bleiben, da ich so für jeden Raum einen eigenen Bereich habe)
- Gastnetz
- Gastnetz offen mit Anmeldung über das Captibe Portal (Spielerei)

Die für mich komplizierte Konfiguration der OPNsense (da ich mich selten damit beschäftige (Failover funktioniert nicht, da es wohl einen Bug gibt, wenn ein WAN auf DHCP steht; WireGuard lief nur einmal kurz, Fehler konnte nicht gefunden werden und ich hoffe, dass es nach der Neueinrichtung wieder läuft) raubt mir halt Zeit und Nerven. Aber wenn es dann läuft, dann ist man glücklich und fühlt sich sicherer. Daher muss ich mir momentan halt überlegen, wie ich es nun machen will, da eine Lösung oft zum nächsten Problem führt, seien es Zusatzkosten oder Eigenarten von Vodafone.

Ich habe das Gerät noch nicht eingerichtet, kann aber schon folgendes sagen:
- Download scheint voll da zu sein, rund 950.000kbit/s
- Billige SSD-Festplatte (Fastsee) verbaut, unterstützt anscheinend keinen TRIM und verzögert den Start der OPNsense erheblich, da diese 5x versucht diesen zu starten
- Board scheint ebenfalls billig zu sein. BIOS MNC91 1.06 vom 12.03.2020 und keine Ahnung, wie man das uodaten soll
- immer wieder ein Erlebnis, bis man zumindest die Grundfunktion mit Internet am Laufen hat, wenn man es nicht ständig macht. Hürde: Zuweisung der Netzwerkkarten und das Kabelmodem muss immer neu gestartet werden, sobald ich an den LAN-Port eine andere Hardware klemme, sprich eine der beiden OPNsense tausche oder testweise den PC direkt anklemme. Ohne Neustart ist keine Verbindung zum Router möglich...

Nun muss ich mir noch überlegen, was ich nun genau machen werde. Kabel Vodafone denkt sich ja immer mehr Dinge aus, um die Kunden vor Hürden zu stellen. Der Router ist nun im Bridged Mode, jedoch bleibt die Telefonie in dem Router bestehen, so dass sich sicherlich der Port 5060 gekrallt wird und diese Daten gar nicht erst für meine PBX an der OPNsense ankommen werden. Vielleicht kann man das telefonisch deaktivieren lassen...
Ich bin ja schon kurz davor mir eine FritzBox zu bestellen, aber was mache ich dann mit meinen VLANs?

Danke für die Info. Ich habe den einfachen Router genommen, da ich eh in den Bridged Mode wollte und dachte, dass ich durch eine FritzBox dann keinen Vorteil habe. Ich würde dann auch lieber eine kaufen als mieten und habe eine Telefonanlage. Aber gut zu wissen, falls ich auf weitere Probleme stoßen sollte.

Ich habe kurzentschlossen bei einem Angebot bei eBay zugeschlagen, jedoch mit 128GB SSD für 315,-€
Firewall Micro Appliance, Pfsense, Mikrotik, OPNsense, Untangle, VPN, Router PC, Intel Core I5 8265U, HUNSN RM02k, 6 x Intel 2.5GbE I225-V LAN, AES-NI, HDMI, SIM Slot, DDR4 8G RAM, 64G SSD https://amzn.eu/d/iMFcPXy

Das Teil sollte dann hoffentlich performat genug sein. Ich bin gespannt und werde berichten.
Vielen Dank für den Input und das Angebot von @micneu

Moin,
die FritzBox kann im Bridged Mode die Telefonie übernehmen? Die fungiert doch dann eigentlich nur als Modem?
Die Telefonie müsste bei mir über die DSL-Leitung geroutet werden, so lange die Nummern noch bei 1&1 liegen.

Ich informiere mich noch ein wenig und habe das Angebot von micneu im Hinterkopf. Allerdings sind wir heute am Reiseziel angekommen und ich habe nur das Smartphone zum Gucken mit...

Moin,
auf dem Motherboard ist 1x Realtek NIC und dann habe ich noch eine Broadcom PCi-Karre mit 2 NICs verbaut, die als WAN fungieren, was für meine bisher 7/2MBit locker gereicht hat...

Ideal wäre es, wenn eine andere Netzwerkkarte reichen würde, aber es ist anscheinend Prozessor und Netzwerkkarte nicht ideal...

i3 welcher Generation? Würde ja auch nichts bringen, wenn man sich wieder etwas grenzwertiges hinstellt. Stromverbrauch von unter 10W wäre wünschenswert, momentan liege ich glaube ich bei 6W.

Hier noch das Dashboard.