Gelöst: Fritz!Box mit VoIP HINTER OPNsense - VLAN je für Daten und VoIP

[Baender]

Hallo zusammen,

mich treibt das Thema VoIP bei meinem Glasfaser-Anschluss mittlerweile wirklich zur Verzweifelung, daher hoffe ich auf eure Hilfe. Ich habe gefühlt jedes Tutorial und jeden Post abgearbeitet, doch komme ich nicht zu einem funktionierenden Telefon. Die Fritz!Box kann für die dort hinterlegten Nummern keine Registrierung vornehmen. Die "Lampen" neben den Rufnummern werden nicht grün.

Da in den besagten Posts nie erwähnt wurde, dass der Provider eventuell getrennte VLANs für Daten und Telefonie bereitstellt oder dass es um PPPoE geht, könnte hierin das Problem liegen. Vielleicht folgte ich schlicht den falschen Herangehensweisen?

Der Reihe nach:

• es geht um einen FFTH-Anschluss
• die Fritz!Box wurde nach den Werkseinstellungen konfiguriert, in dem man sich auf einer bestimmten Internetseite einwählen musste. Anschließend wurden die Internet- und Telefonie-Einstellungen auf die Box geschrieben
• über je ein VLAN wird jeweils das Internet (VLAN 101) und das Telefonieren (VLAN 201) realisiert
• für das Internet und das Telefonieren liegen mir unterschiedliche Benutzernamen und Kennwörter vor
• aus den Werkseinstellungen der Fritz!Box heraus, ist es nicht möglich die eigenen Rufnummern einzutragen. Man ist also darauf angewiesen, das Setup mit der Internetseite einmalig abzuschließen
• ob man eins zu eins die Informationen von 1und1 bzw. Versatel für meinen Anschluss verwenden kann, dabei bin ich mir unsicher. Es geht hier um einen Anschluss, den ich über einen lokalen Internetanbieter abgeschlossen habe. In den Zugangsdaten und dem Initial-Setup ist aber immer wieder Versatel zu lesen

Aktuell ist der Aufbau wie folgt:
Das Glasfaserkabel kommt im Keller an und geht auf einen Hausanschlusskasten. Von da aus geht ein Glasfaserkabel zum ONT. Ein Huawei Modem, auf das kein Zugriff meinerseits besteht. Vom Huawei Modem aus geht ein Netzwerkkabel zur Fritz!Box auf Port 1. Die Fritz!Box ist auf Port 2 mit dem Switch verbunden. Die Fritz!Box ist als Router konfiguriert und über ihr läuft das WLAN im Mesh, als auch das Telefon via DECT und VoIP.

Zukünftiger Aufbau:
Ich habe auf einem Mini PC - einem Intel Celeron N5105, mit 4 Netzwerkanschlüssen, OPNsense installiert.
Vom ONT aus soll das Netzwerkkabel zu Port 2 der OPNsense gehen. Auf Port 1 der OPNsense ist diese mit dem LAN-Switch verbunden. Die Fritz!Box wird von Router auf IP-Client umgestellt. Eine Verbindung mit dem ONT liegt für sie nicht mehr an. Lediglich auf Port 1 wird sie mit dem Switch verbunden. Zur Vereinfachung erhält die Fritz!Box eine statische IP (192.168.1.5).
Da lediglich auf IP-Client umgestellt wird, erwarte ich, dass die Fritz!Box die immer noch hinterlegten Rufnummern registrieren kann und ein Telefonieren möglich ist, nachdem entsprechende Einstellungen in der OPNsense gesetzt wurden.
Die Aufgabe der Fritz!Box soll lediglich auf das Thema WLAN und Telefonieren beschränkt werden. DHCP bspw. läuft ebenso auf der OPNsense.

Code Select Expand


             WAN / Internet
                    :
                    : PPPoE-Provider
                    :
              .-----+-----.
              |    ONT    |  ("HUAWEI Modem")
              '--+-----+--'
                 |     |
          PPPoE0 |     | PPPoE1
        VLAN 101 |     | VLAN 202
GW 203.0.113.123|     | GW 172.16.1.1 / SIP-Proxy 10.0.0.4
             .---+-----+--.
             |  OPNsense  |
             '-----+------'
                   |
               LAN | 192.168.1.1/24
                   |
             .-----+------.
             | LAN-Switch | (TP-Link Managed Switch TL-SG2218)
             '---+---+----'
                 |   |       + VLAN 201
            .----'   '----.  |
            |             |  |
       .----+----.  .-----+--+--.
       | Clients |  | Fritz!Box |
       '---------'  '-----------'
                     192.168.1.5/24


Bisherige Versuche:
In den quasi Werkseinstellungen der OPNsense habe ich zwei entsprechende VLANs angelegt. Das 101er und das 201er.
Anschließend über "Interfaces: Point-to-Point: Devices" habe ich jeweils ein Interface angelegt, mit dem Link Type "PPPoE" und dem entsprechenden VLAN-Interface.

Während ich auf dem WAN keine IP-Adresszuordnung erhielt (Dashboard Interfaces), wurde mir nach der Zuordnung (Assignment) des PPPoE-Devices mit der VLAN 101 dort eine öffentliche IP zugeteilt und ich mein Internet funktionierte über die OPNsense und im gesamten LAN-Netzwerk. Was mich wunderte war, dass für das entsprechende PPPoE-Devices mit der VLAN 201 keine IP zugeordnet wurde. Ich schob es aber darauf, dass vielleicht nur im Fall eines aufgebauten Telefonats eine IP bzw. Verbindung hergestellt wird. Was mich hier ebenfalls wunderte war, dass aus dem WAN_VoIP mit 0.0.0.0:68 eine Verbindung nach außen blockiert wurde, die auf eine 255.255.255..:69 ging..

Code Select Expand


Identifier: opt2
Device: vlan0.201
Description: WAN_VoIP


Was mir nebenbei nicht ganz klar war, war die Einstellung zu "Block private networks" und "Block bogon networks". Für das WAN Interface ist es entsprechend aktiviert. Sollte ich es in den entsprechenden VLANs ebenso aktivieren?

Verbindungsinformationen

• VoIP-Accounts


• SIP-Realm: versatel.sip
• SIP-Proxy: 10.0.0.4
• SIP-Registrar: versatel.sip
• SIP-Proxy-Port (optional): 5060
• Benutzerkennung
• Passwort
• Internet-Zugang


• Benutzerkennung
• Passwort

Wenn ich in OPNsense einen Post oder Tutorial ausprobiert habe, dann wurde zuvor OPNsense zurückgesetzt, damit wirklich keine alten Regeln oder ähnliches hier zu Problemen führt. Bevor ich die Fritz!Box in den IP-Client Modus gesetzt habe, sicherte ich die Box, um schnell wieder den alten Stand einzuspielen. Da das Telefon regelmäßig über den Tag in Gebrauch ist, verlagerte ich meine Aktivitäten immer auf die Abendstunden.

[Kharim]

Hi,

keine Ahnung ob es dir hilft, denn bei mir ist der Aufbau gänzlich anders - aber vieleicht mal als Anregung:

Bei mir ist die FritzBox Internetrouter und Telefonanlage, dann die OPNSENSE und dahinter mein Netzwerk.
Aus dem Netzwerk heraus registriere ich SoftPhones als SIP Clients an der FB (also nicht am Provider),
Aus der OPN geht alles mit Outbound/Hide -NAT raus, damit die Pakete den Absender OPN haben.

Aber
-SIP Sprachübertragung läuft über RPC und in diesen Paketen steht der Absender hart drin. (zusätzlich zum TCP/IP Header)
    Es nützt also kein Outbound-NAT da die FB versucht die RPC Pakete an die Netzadresse von hinter der OPN zu senden
Daher musste ich eine Route FB zu "Netz hinter der OPN" auf den WAN port der OPN setzen UND "block private network" DEaktivieren.
Logisch existiert zwischen FB und OPN ein Netz aus dem privaten Bereich, also musste ich die Blockade von privaten Netzwerken lösen, um den Empfang zu erlauben.....

[frgzn]

Hallo Baender,

ich weiß nichtn ob dir das hier hilft und vor allem die dort verlinkte Anleitung:

https://forum.opnsense.org/index.php?topic=26928.msg130482

wie dort beschrieben, brauchst das Forwarding aber nicht unbedingt.

Ich habe eben bei einer Fritzbox geschaut:

unter Zugangsdaten sind folgende Radiobuttons aktiviert:

• Anschluss an externes Modem oder Router

und

• Vorhandene Internetverbindung mitbenutzen (WLAN Mesh / IP-Client-Modus)

Die Fritzbox kann Telefonie machen und WLAN anbieten.

Ich bin nicht bei 1&1, hab aber grob ähnliche Settings wie dein Vorhaben: Modem -> Opnsense -> SW ->...

Aber die Opnsense muss zu erst richtig installiert werden.
Wenn man AdGuard oder seine Verwandte hat, muss man mehr Acht auf die  den DNS-Einstellungen geben.

[meyergru]

Zunächst mal scheint ja der Internet-Zugriff zu funktionieren, indem Du das WAN per PPPoE nutzt.

Nach allem, was ich über Versatel SIP gelesen habe, scheint dies nur über den Anschluss selbst zu funktionieren. Beispielsweise wird "versatel.sip" als SIP-Registrar im öffentlichen Internet gar nicht aufgelöst.
IP-technisch ist es offenbar ein nicht-routebares 10er Netz, das nicht über die WAN-Verbindung, sondern über eine zweite PPPoE-Verbindung läuft, die über ein separates VLAN aufgebaut werden muss, Du bekommst also ein "WAN"- und ein "TELEFONIE"-Interface.

Das müsste sich so auswirken, dass Du am TELEFONIE-Interface eine IP aus dem Range 10... zugeteilt bekommst und dass der Traffic für dieses Netz dann eben nicht über das WAN, sondern hierüber läuft. Vorab: Zumindest für TELEFONIE, darf "block private networks" natürlich nicht eingeschaltet sein.

Offen sind da mindestens zwei Punkte:

1. Die "Verbindungsinformationen" für SIP sind für die Telefonie-Accounts der Fritzbox, aber was sind die Credentials für die zweite PPPoE-Verbindung? Offenbar bekommst Du ja bislang keine IP dort.

2. Wie musst Du den DNS einstellen, damit die Fritzbox im internen Netz "versatel.sip" findet? Vermutlich wird das in den Versatel-DNS eingesteuert, per 8.8.8.8 würde das aber z.B. nicht funktionieren.

P.S.: Deine Überschrift passt nicht, wie das bei 1&1 bzw. bei der Telekom geht, hat mit Deinem Problem eher wenig zu tun.

[Baender]

Hallo meyergru, hallo alle,

vielen Dank für deine/eure Nachricht(en). Ich habe das Gefühl, dass dein Post in die richtige Richtung geht. Danke auch bisher an alle anderen Poster, aber gerade bei den geteilten Informationen findet man - wie ich zuvor auch in den Recherchen, immer nur Informationen zu PPPoE, bei dem entweder kein VLAN und VoIP verwendet wird oder VLAN zwar verwendet wird, jedoch VoIP nicht thematisiert wird.

Den Link https://mg-sky.de/2018/05/11/voip-mit-einer-firtzbox-7490-hinter-opnsense bspw. hatte ich recht früh am Anfang zu diesem Thema bereits durchgearbeitet. Da fragte ich mich bereits, ob die Verwendung von [WAN] eigentlich richtig ist, oder ob es eher das [WAN_VLAN_201] sein müsste. Bei den anderen Informationen im Netz, die man dazu findet, konnte ich nie die dortigen verwendeten Router oder Hardware oder Szenarien auf meinen Fall übertragen. Aber vielleicht lag das nur an meiner Sichtweise und ich habe etwas übersehen?

1. Die "Verbindungsinformationen" für SIP sind für die Telefonie-Accounts der Fritz!Box, aber was sind die Credentials für die zweite PPPoE-Verbindung? Offenbar bekommst Du ja bislang keine IP dort.

In meinem ersten Post schrieb ich unter Verbindungsinformationen "VoIP Accounts" etwas kryptisch "Benutzerkennung, Passwort". Ich habe also auch für den VoIP-Part Zugangsinformationen, welche ich in der Fritz!Box unter dem Punkt sehen kann:
Telefonie > Eigene Rufnummern > Anschlusseinstellungen > Für Internettelefonie eine separate Verbindung nutzen (PVC) > Werden Zugangsdaten benötigt? JA

Diese unterscheiden sich von meinen Zugangsinformationen vom Internet-Part.

Zumindest für TELEFONIE, darf "block private networks" natürlich nicht eingeschaltet sein.

Das könnte der Grund dafür sein, dass ich keine IP bekomme, denn ich habe für die WAN_VLANs erst einmal genau dieselben Einstellungen übernommen, wie ich sie auch im default WAN Interface vorfinde. Sollte ich danach immer noch keine IP bekommen, dann wäre mein Verdacht, dass er mit dem Umstand von zwei Gateways nicht klarkommt. Das würde ich einmal folgendermaßen testen, sobald der Internetanschluss nicht mehr in Nutzung meiner Frau ist. Dann würde ich die OPNsense zurücksetzen und nur das PPPoE für das VoIP komplett anlegen und schauen, ob ich dann eine IP erhalte.

2. Wie musst Du den DNS einstellen, damit die Fritz!Box im internen Netz "versatel.sip" findet? Vermutlich wird das in den Versatel-DNS eingesteuert, per 8.8.8.8 würde das aber z.B. nicht funktionieren.

Puh, ich hoffe, ich beantworte Deine Frage richtig. In der Fritz!Box unter (Internet > Zugangsdaten > DNS-Server) steht ja standardmäßig "Vom Internetanbieter zugewiesene DNSv4-Server verwenden (empfohlen)". Stelle ich dort einen DSN-Server wie etwa dnsforge.de oder mein eigenes Pi-hole mit Unbound ein, dann funktioniert VoIP immer noch. ..so im zweiten Durchdenken wird sich diese Einstellung wohl eh nicht auf das VoIP-Telefonieren auswirken..
Ich vermute daher, dass sich um diese Fragen das ONT-Modem kümmert, auf die ich dann eh keinen Einfluss habe..

IP-technisch ist es offenbar ein nicht-routebares 10er Netz, das nicht über die WAN-Verbindung, sondern über eine zweite PPPoE-Verbindung läuft

Das ist zu Punkt 2 eine sehr treffende Feststellung. In der Tat sehe ich im Live-View der Firewall, dass die Fritz!Box über das LAN Interface eine Verbindung zur IP 10.0.0.4 (also dem SIP-Proxy) mit Port 5060 aufbaut.
Genau hier vermute ich auch mein Problem. Sobald ich nicht nur für die Daten-PPPoE (VLAN 101) eine IP erhalte, sondern auch für meine VoIP-PPPoE (VLAN 201), müsste ich doch in der Firewall einstellen, dass die Fritz!Box bei bestimmten Verbindungen nicht das Gateway der Daten-Verbindung, sondern der VoIP-Verbindung benutzen muss, oder? Nach ersten Recherchen wäre das doch ein Thema für "Policy based routing", oder? Andernfalls würde er im VLAN 101 den SIP-Proxy kontaktieren wollen, das zweifelsfrei nicht zum Erfolg führen wird.

Grundsätzlich noch einmal zu meinem bisherigen Vorgehen:

• Nach jedem Versuch die OPNsense zurücksetzen
• Assignments (Interfaces) bleiben die Interfaces [LAN] und [WAN] unangetastet so bestehen
• Unter "Other Types" (Interfaces) > VLAN zwei Devices anlegen: (WAN_VLAN_Daten [vlan0.101]) und (WAN_VLAN_VoIP [vlan0.201]). Beide mit Parent [WAN]
• Unter "Point-to-Point" (Interfaces) > Devices jeweils zwei PPPoE Devices anlegen: (Versatel_Daten [pppoe0]) und (Versatel_VoIP [pppoe1]). Das jeweilige Device nutzt als Link Interface eines der zuvor definierten Devices [vlan0.101] bzw. [vlan0.201]
• Unter "Assignments" (Interfaces) füge ich bisher nur das Device (Versatel_Daten [pppoe0]) hinzu. Da ich mir mit nachfolgenden Fragen unsicher bin.
• Nach einiger Zeit sehe ich unter "Dashboard" (Lobby) > Gateways zwei Gateways: WAN_DHCP6 und Versatel_Daten_DHCP. Wobei nur für letzteren eine IP erhalte. Das [WAN] läuft auf eine 0.0.0.0, was jedoch vermutlich so in Ordnung ist.

Nachfolgende Feststellungen und Fragen zur Fritz!Box und dem (Versatel_VoIP [pppoe1]):
Grundsätzlich ist mir das Thema Netzwerk, Routing und Firewall neu, vielleicht ist mir es deshalb unklar. Andererseits las ich, dass man hier verschiedene Ansätze wählen kann, was mich aktuell verwirrt. Die Fragen beziehen sich alleinig auf das VoIP mit der Fritz!Box.

• Unter der Fritz!Box Telefonie > Eigene Rufnummern > Anschlusseinstellungen > "Verbindungseinstellungen für DSL/WAN" können folgende Punkte gewählt werden, bzw. sind auch aktuell angehakt:


• "VLAN für Internettelefonie wird benötigt": JA
• "VLAN-ID": 201
• "Für Internettelefonie eine separate Verbindung nutzen (PVC)": JA


• "Werden Zugangsdaten benötigt?": JA
• Benutzername und Kennwort entsprechend dem Schreiben des Anbieters unter Abschnitt VoIP zu entnehmen

Meine Fragen greifen noch mal das Thema Routing auf. Aktuell geht die Fritz!Box anhand der Einstellungen in ein VLAN 201 und authentifiziert sich dort mit dem Benutzernamen und dem Kennwort. Anschließend sind die Rufnummern registriert.

• Sollte OPNsense daher den VoIP-Traffic auf das [WAN] Interface umleiten?
• Wenn ich aus den Fritz!Box Einstellungen den Haken bei "VLAN für Internettelefonie wird benötigt" herausnehme, müsste ich dann den VoIP-Traffic stattdessen auf das (WAN_VLAN_VoIP [vlan0.201]) umleiten?
• Da ich keinerlei Einstellungen zu Telefonie > Eigene Rufnummern ändern kann, wie etwa SIP-Einstellungen oder dass ich grundsätzlich keine Rufnummern selbst hinzufügen kann, macht es vermutlich keinen Sinn überhaupt das (Versatel_VoIP [pppoe1]) Device anzulegen, oder? Zumindest so lange nicht, wie die Fritz!Box der einzige VoIP-Server in meinem Heimnetz ist?

Diese Fragen habe ich auch noch einmal in meiner Netzwerk-Grafik untergebracht. Entsprechend ist dort an der Fritz!Box eine unverbundene Verbindung. Das VLAN 201, welches durch die Einstellung "VLAN für Internettelefonie wird benötigt" sozusagen aktiviert ist und in der OPNsense irgendwie "eingebunden" werden müsste: siehe Frage zu Routing.

EDIT:
Wenn ich in der Fritzbox "Werden Zugangsdaten benötigt?" auf Nein stelle (Wählen Sie diese Option nur dann, wenn Sie für die separate Telefonieverbindung keine Zugangsdaten benötigen.), dann habe ich die Wahl zwischen

• IP-Adresse automatisch über DHCP beziehen
• IP-Adresse manuell festlegen

Ich verstehe das als Chance, dass ich hier nun ein anderes Subnet meines LAN angebe, dass als Gateway den (Versatel_VoIP [pppoe1]) verwendet? Ist da was dran? Wie könnte ich das realisieren?

Angedachtes Netzwerk:

Code Select Expand


          WAN / Internet
                 :
                 : PPPoE-Provider
                 :
           .-----+-----.
           |    ONT    |  ("HUAWEI Modem")
           '--+-----+--'
              |     |
       PPPoE0 |     | PPPoE1
     VLAN 101 |     | VLAN 202
203.0.113.123 |     | ???.???.???.???
          .---+-----+--.
          |  OPNsense  |
          '-----+------'
                |
            LAN | 192.168.1.1/24
                |
          .-----+------.
          | LAN-Switch | (TP-Link Managed Switch TL-SG2218)
          '---+---+----'
              |   |       + VLAN 201
         .----'   '----.  | 
         |             |  |
    .----+----.  .-----+--+--.
    | Clients |  | Fritz!Box |
    '---------'  '-----------'
                  192.168.1.5/24



[meyergru]

Jein. Also:

1. Du hast also Credentials für die zweite PPPoE-Verbindung, die Du nutzen kannst. Dort wird Dir vermutlich eine Ich würde unterstellen, dass Du, wenn Du das korrekt konfigurierst und die privaten Netzwerk (zu denen 10... gehört) nicht blockst, zunächst mal eine IP aus dem 10er Range auf TELEFONIE zugewiesen bekommst (und ein Gateway).

2. Dieses Gateway ist nicht problematisch für Deine Fritzbox, falls es nur die Route für das 10er Netz ist. Spezifischere Routen werden immer bevorzugt vor dem Default-Gateway genommen, das sieht man aber dann in der Routingtabelle. Alles was dann an 10... geht, läuft dann über TELEFONIE, der Rest über WAN.

3. Meine Vermutung ist, dass der Registrar versatel.sip auch auf eine IPv4 aus dem 10.... Range aufgelöst wird und die Fritzbox das dann verwendet. Dazu musst Du vermutlich nur die DNS-Server Deines Providers nutzen - wie gesagt, stellst Du etwas anderes ein, wird der Name gar nicht mehr aufgelöst.

4. Wenn die Überschrift des Threads und Deine Grafik richtig sind, willst Du die Fritzbox als reinen IP-Client einsetzen. Die muss von VLAN201 nichts wissen, es reicht, wenn sie den SIP-Traffic richtig geroutet bekommt - den Rest erledigt NAT auf dem TELEFONIE-Interface (da die Fritzbox dann ja eine LAN-Adresse bekommt, die Versatel nicht kennt, also muss sie sich hinter der 10er IP Deiner OpnSense verstecken).
Die beiden VLANs dienen nur dazu, über eine Ethernet-Leitung am WAN-Port zwei logische Netze per PPPoE aufzubauen, eins für WAN, eins für TELEFONIE. Will sagen: Die Fritzbox hängt zunächst mal im LAN. Man kann sie später woanders hintun, für die Funktion ist das aber unerheblich.

[knebb]

Moin,
auch mal meinen Senf dazu. Dir Fritz! ist ein tolles Teil, aber aufgrund des Zieles der einfachen Konfigurierbarkeit halt auch nur auf "Standard" ausgelegt.
Und der Standard ist, dass die Fritz! eben direkt am Internet hängt, keine OPNSense davor.

Ich vermute, dass Du den WAN-Port der Fritz nicht angeschlossen hast? In dem Fall kenn die Fritz! wahrscheinlich kein Default Gateway (da ja LAN und sie selbst per Default das Gateway ist). Deshalb kommt sie nicht aufs Internet und kann die VoIP-Sachen nicht anmelden. Ergo: Geht nicht!
Hast Du dagegen nur den WAN-Port angeschlossen, macht die Fritz! ja auf ihrem WAN-Interface ein NAT und die VoIP Geräte "verschwinden" für die OPNSense. Letztere kann dann auch kein Portforwarding (SIP/RTP etc.) fürs telefonieren machen. Zusätzlich verschickt die Fritz! das auf ihrem WAN-Interface ins VLAN 201, dass aber auf dieser Seite der OPNSense unbekannt ist. Ergo: Geht nicht!
Hast Du beides angeschlossen, so kann es erst recht nicht gehen,  weill die VoIP Geräte die Fritz! nicht als Gateway nehmen, sondern die OPNSense. Und die Fritz! erneut versucht über ihr WAN (mit NAT und VLAN) zu registrieren. Ergo: Geht erst recht nicht!

Wie könnte eine mögliche Lösung aussehen? Dafür kenne ich die Fritz! zu wenig, aber vielleicht ja so:
In der OPNSense alles, was aus VLAN201 kommt komplett (alle Ports, dedicated Host) auf die lokale IP des Fritz!WAN durchreichen. Auf der Fritz das VLAN auf ein ungenutzes (zB 7 oder 42) VLAN setzen und der OPNSense eben auch dieses VLAN konfigurieren. Und die VoIP Geräte dann in ein weiteres, separates VLAN hinter der Fritz!.

Aber: Das ist Mega-umständlich. In dem Fall würde ich lieber auf die Fritz verzichten und die VoIP Geräte direkt konfigurieren. Wenn Du allerdings die DECt-Funktionalität der Fritz! brauchst, geht es vermutlich nur so. Alternativ kannst Du die Fritz! vielleicht auch direkt zusätzlich noch an das Modem hängen, aber das wird vermutlich nicht klappen.



Grundsätzlich: VLAN=genau ein IP-Adressbereich. Ein Routing innerhalb eines VLANs geht nicht...

Grüße!

/KNEBB

[meyergru]

Nein, das ist kein Problem, wenn man die Fritzbox als Lan-Client konfiguriert. Damit ist das ganze Routing usw. abgeschaltet und man kann auch das Modem nicht mehr nutzen. Was bleibt, ist Smart-Home, Telefonie, Switch (=Bridge) und Access Point (allerdings ohne Gastnetz, weil sie keine VLANs kann).

Hier sind insofern nur die vorigen Fritzbox-Einstellungen relevant, um zu sehen, wie man die beiden Verbindungen stattdessen mit OpnSense als Router aufbauen müsste. Die zweite PPPoE-Verbindung für "Sonderzwecke" war früher üblich für IPTV, ist heute aber seltener anzutreffen.

[Baender]

Hallo zusammen,

ein bisschen Zeit ist vergangen, in der ich beim Thema VoIP nicht weiterkam. Mir war es in keiner Weise möglich, für die VoIP-PPPoE eine Verbindung aufzubauen und damit ein VoIP-Gateway zu erstellen. Ich bekam den Verdacht, dass mir das Kennwort für die VoIP-PPPoE vielleicht gar nicht vorliegt.

Der Verdacht war insbesondere darin begründet, dass in der Fritz!Box nach einer von mir angestoßenen Konfiguration Zugangsdaten eingetragen waren, die nicht aus meinen Dokumenten hervorgingen. In den Zugangsinformationen für den Internet-Zugang wird der Benutzername mit ...@adsl-versatel.int aufgeführt. Für den VoIP-Zugang gibt es so eine Angabe nicht. Hier ist der Benutzername die Telefonnummer und vermutlich ist daher das Kennwort dort auch für den SIP-Proxy zu verwenden.

Nochmal zur angestoßenen Konfiguration: In der Fritz!Box ist anschließend unter der Anschlusseinstellung zum Telefonieren als Benutzername ...@adsl-versatel.voip eingetragen. Das geht so nirgends aus den Zugangsinformationen hervor und daher fragte ich mich, ob ich überhaupt selbstständig ohne Fritz!Box eine PPPoE-VoIP-Verbindung aufbauen könnte, so ohne Kenntnis des Benutzers, geschweige denn des Kennworts.

Etwas Licht kam nun ins Dunkel, als jetzt seit einigen Tagen das Telefonieren nicht richtig funktioniert (über die Fritz!Box). Nach den Test-Sessions mit der OPNsense, nehme ich diese anschließend wieder aus meinem Netzwerk und setze die Fritz!Box mit dem vorher erstellten Backup wieder zurück. Ich kam auf die Idee, etwas mit den Zugangsdaten unter Rufnummer in der Fritz!Box zu spielen. Zwar hatte ich die Kombinationen bereits auf der OPNsense durchgeführt, doch vielleicht habe ich etwas übersehen? Ich löschte das Kennwort im Abschnitt Telefonie > Eigene Rufnummern > Anschlusseinstellungen und übernahm diese Einstellung. Das führte natürlich dazu, dass die Rufnummern nicht mehr registriert waren. Anschließend probierte ich alle Kennwörter durch, die aus dem Dokument hervorgingen. In der Tat führte die Eingabe des Kennworts für das Internet dazu, dass die Rufnummern wieder registriert wurden und in den Ereignissen der Fritz!Box die Meldung zu lesen war

Code Select Expand

Internetverbindung (Telefonie) wurde erfolgreich hergestellt. IP-Adresse: [172.16.X.X], DNS-Server: [dns.versatel-nord.de] und [dns.versatel-west.de], Gateway: [172.16.1.1]

Das bringt mich zurück zu deiner Aussage, denn ich bin mir ziemlich sicher, dass ich als Kennwort in der OPNsense auch mal das des Internet-Zugangs eingegeben habe. Danach konnte er jedoch keine Verbindung herstellen.

Dazu musst Du vermutlich nur die DNS-Server Deines Providers nutzen - wie gesagt, stellst Du etwas anderes ein, wird der Name gar nicht mehr aufgelöst.

Oder muss ich etwas hart in die PPPoE-Einstellungen für VoIP hinterlegen? Die ausfüllbaren Felder habe ich nirgends befüllt. Außer Benutzer und Kennwort für den Zugang, trug ich nie etwas irgendwo dort ein..

[meyergru]

Es ist tatsächlich so, dass insbesondere die vom ISP gelieferten Boxen oft TR069 aktiviert haben. Damit kann der Provider notwendige Konfigurationsdaten (und auch Passworte) in der Box ablegen.

Klar ist, dass das mit der OpnSense nicht funktioniert. Wenn also z.B. die Credentials für eine zweite PPPoE-Verbindung (PVC) so eingetragen werden, müsste man das auf der OpnSense von Hand machen. Selbiges gilt für SIP-Zugangsdaten.

Meine Bemerkung zu DNS bezog sich nur darauf, dass man in der OpnSense gerne andere DNS-Server als die vom ISP angebotenen einträgt, z.B. Google oder OpenDNS, teilweise auch mit DoT oder DoH, z.B. weil man mehr Privacy möchte oder deutsche Netzsperren umgehen will. Das darfst Du nicht, denn "versatel.sip" wird von denen nicht aufgelöst und dann würde Deine Fritzbox ihren Registrar nicht erreichen.

Zunächst gilt es aber, 1. das Internet grundsätzlich zum Fliegen zu bekommen und 2. die zweite PPPoE-Verbindung zum Laufen zu kriegen. Die müsste dann als aktiv angezeigt werden.

Von einem beliebigen Client hinter der OpnSense müsste dann (wenn das Routing und NAT zu 10.... funktionieren) auch 10.0.0.4 bzw. "versatel.sip" erreichbar sein.

[Patrick M. Hausen]

Mir ist aus @Baender s Schilderung noch nicht ganz klar, ob denn für die zweite PPPoE Verbindung auch ein anderes VLAN benutzt wurde ...

[meyergru]

In der Grafik steht es so drin, anscheinend hat die Hauptverbindung VLAN 101 und die zweite VLAN 201.

[Baender]

Hallo Patrick M. Hausen,
wie meyergru schon richtig anmerkt, wurde/wird für die zweite PPPoE-Verbindung ein anderes VLAN benutzt.

Grundsätzlich ist der Aufbau folgender:

• Auf dem WAN Interface 2 VLANs anlegen: VLAN 101 für Daten und VLAN 201 für VoIP
• Auf dem Device des VLAN 101 das PPPoE-Device (PPPoE0), mit den Einwahldaten des Internets anlegen
• Auf dem Device des VLAN 201 das PPPoE-Device (PPPoE1), mit den Einwahldaten des VoIP anlegen

Wie geschrieben, erhalte ich dann auf für PPPoE0 eine IP, bzw. ein Gateway wird erstellt. Für PPPoE1 geschieht dies jedoch nicht. Doch bin ich mir sehr sehr sicher, dass ich dieselben Einwahldaten, sprich Kennwort ausprobiert habe, die mich zumindest aktuell bei der Fitz!Box zum Ziel führen. Daher kam der Verdacht auf, dass ich etwas an der PPPoE1-Verbindung anpassen muss: DNS, IP oder sonst was. Die PPPoE-Verbindungen werden wie gesagt nur mit Benutzernamen und Kennwort gefüllt. Alle anderen Einstellungen bleiben unberührt.

P. S. Ich habe mal meinen Eingangspost bzgl. des Netzwerk-Diagramms aktualisiert.

[meyergru]

Hmmm. Da kommst Du ohne Angaben des Providers wohl nicht weiter. Der muss ja die Zugangsdaten und die Spezifikationen des Zugangs liefern - schließlich besteht ein Deutschland Endgerätefreiheit.

Gemäß TKG §74 hat jeder Diensteanbieter entsprechende Schnittstellenbeschreibungen herauszugeben.

Bei meinem Provider, M-Net sieht das z.B. so aus. Die haben sogar für GPON eine Beschreibung.

Das bedeutet nicht, dass der ISP Support für kundeneigene Geräte bieten muss - das tut M-Net auch nicht!
Aber auf dem Detaillierungslevel, dass man es verstehen kann, muss es schon sein.

Ansonsten sehe ich nur die Möglichkeit, die Fritzbox doch vor der OpnSense zu belassen.

[Baender]

Hallo zusammen,

heute Abend testete ich noch einmal den Internet- und VoIP-Zugang über die OPNsense. Nach den Erkenntnissen mit der Fritz!Box, hatte ich das Gefühl, als müsse ich jetzt bestimmte Einstellungen setzen und dann würde es funktionieren.

Ich legte also auf dem WAN Interface zwei VLANs an (101 und 201) und auf denen jeweils eine PPPoE-Verbindung. Ich ordnete die PPPoE-Verbindungen zu und aktivierte zuerst die Verbindung für das Internet. Er erstellte direkt das Gateway und ich hatte eine öffentliche IP.

Als nächstes aktivierte ich die PPPoE-Verbindung für das VoIP und er erstellte direkt das Gateway und ich erhielt eine IP. Das Gateway des VoIP ist die 172.16.1.1.

Ich würde ja gerne schreiben, dass ich diesmal X oder Y gemacht hätte, aber das habe ich nicht. Vor dem Test setzte ich die OPNsense wie immer zurück und führte nur diese Schritte aus. Wie immer aktivierte ich bei der Internet-PPPoE "Block private networks" und "Block bogon networks", wohingegen ich bei der VoIP-PPPoE nur "Block bogon networks" aktivierte.

Da ich in den letzten Tagen Probleme mit meinem Telefon hatte, ist meine Vermutung, dass mein Timing einfach schlecht war und vermutlich schon damals einer meiner Versuche hätte klappen müssen.

Jetzt, wo der Teil geklärt ist, würde ich gerne an einem der freien NICs die Fritz!Box anschließen und sie so in ein eigenes Sub-Net verschieben. Als Interface-Name vielleicht [FRITZ_LAN]. Ich würde DHCP darin aktivieren und die Fritz!Box im IP-Client Modus dort hineinhängen.

1. Von der Logik her frage ich mich dann, ob in der Fritz!Box noch die Notwendigkeit besteht anzugeben, dass bitte VLAN 201 genutzt werden soll.
2. In den Anschlusseinstellungen zum Telefon der Fritz!Box kann ich entweder anklicken "Zugangsdaten werden benötigt: Ja" oder ich wähle "Nein" und habe dann die Wahl zwischen DHCP und manuell.
Was würde ich hier angeben? Denn nochmal die Zugangsdaten unter "Zugangsdaten werden benötigt: Ja" wäre doch sinnfrei, wenn ich über OPNsense bereits ein Gateway und eine IP für das PPPoE habe? Bei DHCP andererseits würde ich hier vermuten, dass er sich eigentlich die IP ziehen würde, die ich jetzt in der OPNsense bereits über das VoIP-PPPoE erhalten habe..

Danke für euren Input!

..Ich glaube, ich beantworte mir die Frage zwei gerade selbst.. Dafür ist wahrscheinlich NAT Outbound da, oder?