Routing-Mysterium

Started by Paul Beyer, June 21, 2021, 08:15:15 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 21, 2021, 08:15:15 PM
Guten Abend,

in der Regel wird ja zwischen VLANs problemlos geroutet. Leider funktioniert das nicht im Zusammenspiel mit einer Fritzbox. Meine Aufgabe:

Die Fritzbox soll per PPPOE zum Backup-Provider verbinden, der SIP-Accounts zur Verfügung stellt und per GSM-Gateway Telefonate in Mobilnetze routet. Leider weigert sich die Fritzbox, diese Funktionalität bereitzustellen, wenn man sie als IP-Client ins Netz einbindet. Sie besteht darauf, als Router konfiguriert zu sein.

Meine OpnSense macht das zentrale Routung im Netz mit Anbindung an zwei anderen Sites per Wireguard und mehreren VLANs für verschiedene Sicherheitsbedürfnisse. Sie routet über den Hauptprovider ins Internet. Die Verbindung zwischen der Fritzbox und der OpnSense soll über ein separates "VOIP"-VLAN stattfinden. benötigt wird die Verbindung für CTI-Anwendungen, es ist also eine Verbindung vom Office-VLAN zum VOIP-VLAN nötig.

Leider routet die OpnSense nicht in das VLAN mit der Fritzbox. Aktuell wird das VOIP VLAN von der Fritzbox aus mit DHCP versorgt. Gateway ist für diese Geräte allerdings die Schnittstelle der Fritzbox. Möglicherweise ist hier das Problem verborgen. Andersrum habe ich es auch schon versucht. Die Fritzbox selbst weigert sich allerdings in der Konfiguration, andere DHCP Server zu akzeptieren. Sie hat eine feste IP in dem passenden Subnetz.

Auf der OpnSense kann ich von der Schnittstelle des VOIP VLANs aus alle Geräte innerhalb dieses VLANS erreichen (ping). Vom Büro-VLAN erreiche ich allerdings nur die Schnittstelle des VOIP-VLANs. Weiter geht es aber leider nicht.

Ich bin nicht gut im Malen, hoffe daher, dass ich meine Konfiguration gut in Worten beschrieben habe. Was ich möchte ist lediglich, aus einem anderen VLAN aus die Fritzbox zu erreichen. Hat jemand eine Idee?

Viele Grüße,
PB
June 21, 2021, 09:41:36 PM #1
> Auf der OpnSense kann ich von der Schnittstelle des VOIP VLANs aus alle Geräte innerhalb dieses VLANS erreichen (ping). Vom Büro-VLAN erreiche ich allerdings nur die Schnittstelle des VOIP-VLANs. Weiter geht es aber leider nicht.

In diesem Szenario ist doch die 2. FB (VoIP) wie ein zusätzliches WAN zu betrachten, da sie Upstream arbeitet. Zumindest in meinem Verständnis. Daher sollte die Sense in dem Netz eine feste IP haben und die FB2 als GW und dieses GW auch beim Interface selbst ausgewählt haben, damit das Interface als WAN erkannt wird.

Dann müsste man lediglich noch entweder

a) der FB2 via Routen hinzufügen, dass die Netze hinter der Sense auf der IP der Sense im VOIP Netz zu finden sind (also Rückroute anlegen)
oder b) outbound NAT auf dem VOIP Netz konfigurieren (wenn nicht eh schon automatisch aktiv, nachdem das Netz als WAN konfiguriert wurde und die outbound NAT auf auto oder hybrid steht).

Dann müsste die Kommunikation inkl. Rückweg auch funktionieren. Meine Vermutung ist dass die FB2 im Routing Modus  einfach den Rückweg nicht findet, weil sie deine VLAN Netze nicht kennt. Sobald das entweder via NAT oder Routen erledigt wird, sollten die Pakete auch ankommen.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 22, 2021, 08:48:59 AM #2
Moin Paul,

Mein zukünftiges Netzwerk soll so aussehen, wie im Anhang skizziert.

Dort betreibe ich meine Fritz!Box auch als Router. Die IP Adresse des Routers (OPNsense) ist als "exposed Host" in der Fritz!Box eingetragen. Das hat am Anfang nicht funktioniert. Ich musste in der Fritz!Box noch alle Netzwerke hinter dem Router als statisch Routen eintragen: Heimnetz -> Netzwerk -> Netzwerkeinstellungen (Reiter oben) -> IPv4-Routen (ganz unten auf der Seite).

Mit den statischen Routen funktioniert der Zugriff ins Internet über meinen Router jetzt.

Gruß
Thomas
Don't forget to [applaud] those offering time and brainpower to help you!
June 22, 2021, 09:01:01 AM #3
Quote from: thogru on June 22, 2021, 08:48:59 AM
Moin Paul,

Mein zukünftiges Netzwerk soll so aussehen, wie im Anhang skizziert.

Dort betreibe ich meine Fritz!Box auch als Router. Die IP Adresse des Routers (OPNsense) ist als "exposed Host" in der Fritz!Box eingetragen. Das hat am Anfang nicht funktioniert. Ich musste in der Fritz!Box noch alle Netzwerke hinter dem Router als statisch Routen eintragen: Heimnetz -> Netzwerk -> Netzwerkeinstellungen (Reiter oben) -> IPv4-Routen (ganz unten auf der Seite).

Mit den statischen Routen funktioniert der Zugriff ins Internet über meinen Router jetzt.

Gruß
Thomas
Möglich das du auf der OPNsense kein "Ausgehendes NAT" auf dem WAN hast?
Sollte eigentlich da sein, dann kommst du auch ohne das einpflegen von Routen an deine FB
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
June 22, 2021, 11:02:17 AM #4
Hall lfirewall1243,

Meine Fritz!Box arbeitet als Router und macht von daher automatisch ausgehendes NAT. Weil ich doppeltest NAT vermeiden will, macht mein Router gar kein NAT. Das funktioniert soweit ganz.

Ob ich die Fritz!Box auf "Modem-Betrieb" umstellen soll, weiß ich nicht, weil ich zwingend die VoIP Funktionen der Fritz!Box benötige. Wahrscheinlich werde ich das nicht ausprobieren, weil es funktioniert und es mich ziemlich genervt hat, immer wieder auf mein Festnetz Telefon zu verzichten.

Gruß
Thomas
Don't forget to [applaud] those offering time and brainpower to help you!
June 22, 2021, 11:54:59 AM #5
Hallo allerseits,

Das Stichwort Gateway hat mich zur Lösung geführt. Ich habe für das VLAN, in dem die Fritzbox hängt ein Gateway angelegt. Jetzt funktioniert es wie gewünscht. Vielen Dank für die vielen Tipps und Denkanstöße,

Paul
Print
Go Up Pages1
User actions