VoIP mit enviaTel ohne FritzBox

[Hunter]

Hallo an Alle,
ich habe seit dieser Woche endlich meinen Gigabit-FTTH-Anschluss von enviaTel ( seit Jahren 16 MBit/s DSL der Telekom ). Ich möchte die mitgelieferte FritzBox gar nicht nutzen und dafür alles an meine Sophos XG210, bespielt mit aktuellem OpnSense, anschliessen ( der/die/das Sophos liefert sozusagen nur die Appliance-Hardware ). Da diese SFP-Ports hat, habe ich auf SFP1 das Glasfaserkabel der enviaTel mit VLAN132 ( WAN ) und VLAN133 ( VoIP ) gesteckt. Ich kann mit voller Geschwindigkeit nun im Web surfen. Das klappt problemlos.

Das Thema VoIP ist allerdings für mich etwas schwieriger zu durchblicken. Ich habe ein Snom Tischtelefon ( D865 ) und eine Snom M900 DECT-Basis mit zwei Snom M85. In FreePBX wollte ich mich ungern einarbeiten, zumal Telefon ohnehin immer mehr durch Smartphone ersetzt wird. Irgendwie ist Asterisk wieder einmal eine ganz andere Welt, wo ich wieder Nächte/Wochen versenken könnte.
Kurzum, ich wollte die drei Snoms direkt mit meinem SIP-Server von enviaTel verbinden. Also habe ich ein eigenes VLAN ( ich nutze mehrere Mikrotik-Router, die mir die VLANs der OpnSense verteilen ) 192.168.20.0/24 für die Snoms genutzt.
Wenn ich das VoIP-VLAN 133 auf ein eigenes Interface lege und dort DHCP aktiviere, bekomme ich schonmal eine 172.x.x.x Adresse vergeben. Er sieht also das SIP-Netz.

Nun meine Fragen als absoluter VoIP-Neuling:

1) sollte ich intern mit einem zweiten VLAN ( 192.168.20.0/24 ) arbeiten oder sollte ich Layer 2 direkt an meinen Netzwerkport durchreichen, wo das Snom steckt ( damit das auch eine 172er-Adresse bekommt? Letzteres gefällt mir nicht so sehr, da ich mir dann die Konfiguration über das Webinterface schwer vorstelle und ich sicherlich noch LDAP-Server für das Telefonbuch zur Verfügung stellen möchte.
2) der enviaTel-Registrar heißt ngn.enviatel.net und ist nicht öffentlich auflösbar. Im VLAN133 bekomme ich die IP aufgelöst.

Hat schon jemand ein ähnliches Konstrukt gehabt ( ohne FritzBox, eigenes VoIP-VLAN, intern mehrere VLANs ) und kann mir Tipps geben? Brauche ich dafür siproxd oder geht das ohne? Wie fange ich an?

Bin für jeglichen Gedanken dankbar.

Hunter

[Tuxtom007]

Ich habe ein Snom Tischtelefon ( D865 ) und eine Snom M900 DECT-Basis mit zwei Snom M85.

Kann man zwei VoIP-Telefone direkt beim Provider anmelden, ich weis es nicht und habs nie probiert.

Bei ist es nun seit kurzen ( Vodafone-Kabel mit SIP ), ich hab ein SNOM-Telefon in ein extra VLAN gepackt, das bekommt DHCP usw. von der OPNSense, allerdings hab ich den DNS für das VLAN auf den von Vodafone gesetzt.
- Aliase angelegt für die SIP-Ports und IP-Adresse des Telefon bzw. jetzt eine Fritzbox
- Ports 5060, 7070-7109, 6078-6079 ( können bei anderen SIP-Providern anders sein )
- Firewall-Rule im VLAN  erlaubt die Ports zum Internet
- outbound NAT-Regel IP der Telefone mit UDP zum Internet mit "Static Port"

vielleicht geht es noch einfacher ( Tips gerne willkommen ), aber das funktioniert bei mir und hab ich mir auch im Netz zusammen gesucht.

[Hunter]

Das Problem bei enviaTel ist für mich, dass der SIP-Server nur im SIP-VLAN133 sichtbar und erreichbar ist. Nicht im "normalen" WAN-Internet. Nun habe ich mir schon eine Regel gebastelt, die den VLAN20( interne Snoms )-Verkehr den Gateway des vlan133 nutzt. Aber irgendwie will es nicht. Ich muss mein internes VLAN20 also mit dem externen VLAN133 verbinden. Oder eben ohne internen DHCP auf VLAN20 dieses einfach mit dem VLAN133 verbinden. Da bekommt das SNOM zwar eine 172.x.x.x-Adresse aus dem Provider-VLAN, registriert sich aber trotzdem nicht. Und mir fehlt die Sachkenntnis, wieso das so ist.

[Tuxtom007]

Und mir fehlt die Sachkenntnis, wieso das so ist.

Da kann ich dir leider auch nicht weiterhelfen, mit SIP-VLAN auf der clientseite hab ich zum Glück bisher nichts zu tun gehabt.

Da muss mal einer der OPNSense-Spezialisten evtl. helfen, ob das funktioniert mit den VLAN-ID zum WAN durchreichen, weil mit mit speziellen VLAN für SIP haben ja etlichen Provider.

Ich hab bei mir am Wochenende das ganze wieder um eine Fritzbox erweitert ( FB 4050 ), weil ich DECT-Telefon anschliessen will.

Die beste Lösung, die ich bisher hatte, war beim Kabel-Internet die Fritzbox vor dem OPNSense und im BridgeModus, dann reicht die ihre WAN-IP an die OPNSense durch und hat selber ne weitere IP für Telefonie.
Dann eine VLAN für Telefon und das auch auf den ersten LAN-Port der Fritzbox und alles war wunderbar.

Ist aber ne Besonderheit der Kabel-Fritzboxen.

[meyergru]

Also ich hatte noch kein solches Konstrukt, aber:

Wenn das SIP-WAN auf 172.x.x.x/y liegt, müsstest Du zunächst mal eine Route dorthin haben, was automatisch der Fall sein wird, wenn das SIP-WAN-Interface eine IP in diesem Subnetz zugewiesen bekommt. Ich würde jetzt mal davon ausgehen, dass ngn.enviatel.net auch auf eine IP in diesem Netz aufgelöst wird, so dass Du diesen Namen in Deinem SNOM als SIP-Gateway eintragen kannst, um das SIP-Gateway zu erreichen. Das sollest Du aber checken. Falls das Gateway nämlich nicht im Subnetz liegt, musst Du ohnehin eine zusätzliche Route für das SIP-Netz anlegen, sonst würde ja das Default (WAN) Gateway genutzt, was kaum funktionieren dürfte.

Nur: Die Route zurück vom Gateway in Dein SIP-LAN würde nicht funktionieren, weil Dein ISP ja keine Route zu 192.168.20.0/24 kennt. Deshalb musst Du outbound NAT für das Interface einrichten, so dass sich alle SIP-Geräte hinter der SIP-WAN-Interface-IP der OpnSense "verstecken".

Am Rande bemerkt klingt 172.x.x.x/y verdächtig nach RFC1918, so dass das auf dem betroffenen Interface nicht geblockt werden darf (Checkbox nicht gesetzt).