[aufgelöst] VOIP Konfiguration bei lokalem Internet-Anbieter

[Imrazor]

Hallo zusammen!

Ich hoffe, hier kann mir jemand "Licht ins Dunkle" bringen. Ich bin momentan am Umstellen meines Netzwerkes und würde mich zukünftig gerne mit einem nagelneuen Gigaset C430A GO direkt bei meinem VOIP Anbieter anmelden - ohne Fritzbox dazwischen. Dazu habe ich noch das ein oder andere Verstädnisproblem bzgl. VLAN-Tagging.

Aber der Reihe nach:

Ich bin bei einem örtlichen, lokalem Internetprovider (unsere Stadtwerke hier), von denen ich seit mehreren Jahren eine FTTH-Leitung habe. 
Die Konfig sieht momentan noch so aus:

ONT (Glasfasermodem) --> Fritzbox --> TP-Link TL-SG3424P --> Endgeräte
                                                        |
                                                        v
                                            Analog-Telefon

Das Telefon hing bisher an der Fritzbox über den analogen Anschluss, die VOIP-Verbindung zum Anbieter wurde direkt von der FB aufgebaut. Die Konfiguration des Anschlusses bzw. der FB erfolgt remote durch den Anbieter. Seit der freien Routerwahl müssen sie auch die Zugangsdaten rausrücken, was sie auch getan haben.

Im Endeffekt ist es so, dass keine Einwahl in das Internet im klassischen Sinne erfolgt, sondern der Fritzbox auf einem LAN-Port per DHCP vom Provider eine öffentliche IP-Adresse zugewiesen wird. VOIP läuft über das VLAN 40.

Nachdem mir die FB aber schon lange ein Dorn im Auge ist (aus verschiedenen Gründen) habe ich vor, diese "sterben zu lassen" und durch eine OPNsense "Homemade-Appliance" zu ersetzen. Ich benötigte die FB eben nur noch für das Telefon, WLAN und dergleichen wir sowieso über Unifi APs erledigt.

Bis die Hardware (Supermicro X11SBA-LN4F) für OPNsense bei mir eintrifft, wollte ich mir schon mal darüber Gedanken machen, wie ich das Gigaset über mein internes LAN zur Verbindung mit den Anbieter über VLAN 40 bewegen kann.

Zukünftig soll es also wie folgt aussehen:

ONT (Glasfasermodem) --> OPNsense --> TP-Link TL-SG3424P --> Endgeräte (darunter das Gigaset C430A Go)

Neben den spärlichen SIP-Daten habe ich eben nur den Hinweis, dass VLAN 40 und eine Voice Payload Size von 20ms eingestellt werden muss.

Dazu habe ich jetzt ein paar Fragen, wäre super, wenn mir jemand auf die Sprünge helfen könnte:

1. Wo muss ich überall die Information bzgl. VLAN-Tagging setzen?
Muss ich es im Gigaset-Menü setzen und/oder am Switch-Port an dem das Telefon angeschlossen ist?

2.Muss der Uplink vom Switch zu OPNsense als Trunkport konfiguriert werden, damit sowohl der normale LAN-Datenverkehr, als auch der VOIP-Datenverkehr im VLAN 40 richtig an OPNsense geleitet wird?

3. Welche Einstellungen am WAN Port bzw. an der Firewall von OPNsense müssen getroffen werden, damit sowohl normaler Datenverkehr, als auch VOIP über VLAN40 richtig ins Providernetzwerk gelangt?

Schon mal vielen Dank für die Hilfe und sorry, falls ich etwas falsch verstanden habe, was VLAN angeht bin ich noch nicht wirklich fit.

Grüße
Imrazor aka Andreas
 

[NicholasRush]

Hallo Imrazor,

zu deinen Fragen:

zu 1.: Nur in der Sense Taggen.
zu 2.: Nein.
zu 3.: Der weitere Post:

Die OPNsense wird so in dein Netzwerk eingespannt:

ONT (Glasfasermodem) --(WAN-IF-VLAN-TAG> OPNsense --(LAN-IF)> TP-Link TL-SG3424P --> Endgeräte
                                                                                                                          |
                                                                                                                          v
                                                                                                              Gigaset C430A GO 

Ich denke mal, das die normale Internetverbindung von dir Untagged vom "Glasfasermodem" weitergegeben wird. Und du dann auf VLAN 40 das Telefonnetz findest.

Was du auf jeden Fall machen musst ist dem Gigaset eine feste IP im LAN Netz der Sense zu geben.
Am besten legst du dir dazu auch einen Alias an, damit du nicht immer die IP händisch eintragen musst.

Im Interface Einrichtungssetup erstellst du auf dem Netzwerkinterface welches "WAN" sein soll 2 Segmente:

Phy Int. 1:
WAN-IF (Untagged)   => DHCP
OPT1 (TAG 40)          => DHCP

"OPT1" Kannst du nachher noch VOIP-Stadwerke etc. nennen.

Phy Int. 2:
LAN-IF (Untagged)     => IP_deiner_Wahl/24

Damit VOIP funktioniert musst du jetzt noch entsprechende Firewall Regeln erstellen. Und die NAT Regel. So einen ähnlichen Fall wie deinen hatten wir schonmal hier: https://forum.opnsense.org/index.php?topic=6997.msg30801#msg30801

Sollte sich auf die gleiche weise lösen lassen. Ohne Sip Proxy. Der ist für ein Endgerät überdimensioniert. Zudem ist VOIP bei dir ohnehin im Privat VLAN deines ISPs.

Beste Grüsse
NR

[Imrazor]

Hallo NR,

danke für die schnelle Rückmeldung.

Eine Verständnisfrage habe ich noch dazu: Wie weiß OPNsense, welche Datenpakete vom Gigeset stammen und, dass diese ins VLAN40 sollen, damit sie richtig zum Provider weitergeleitet werden?

Das Telefon soll ja am Switch hängen, da es irgendwo im Haus stehen wird und der LAN-Port am Auftesllungsort entsprechend auf den Switch aufgeptacht ist.

Erfolgt dies über die NAT-/Firewall-Regeln?

Ich freue mich jedenfalls schon die Fritzbox zu eliminieren :-D

Grüße
Imrazor

[NicholasRush]

Hallo NR,

danke für die schnelle Rückmeldung.

Eine Verständnisfrage habe ich noch dazu: Wie weiß OPNsense, welche Datenpakete vom Gigeset stammen und, dass diese ins VLAN40 sollen, damit sie richtig zum Provider weitergeleitet werden?

Das Telefon soll ja am Switch hängen, da es irgendwo im Haus stehen wird und der LAN-Port am Auftesllungsort entsprechend auf den Switch aufgeptacht ist.

Erfolgt dies über die NAT-/Firewall-Regeln?

Ich freue mich jedenfalls schon die Fritzbox zu eliminieren :-D

Grüße
Imrazor

Ja das läuft nachher entweder über eine Firewallregel die für das VOIP Telefon den auf VLAN 40 befindlichen Gateway erzwingt, oder sofern es in VLAN 40 kein Gateway geben sollte läuft das über Routing. Laufen tut das aber in jedem Fall.

Ob du auf VLAN 40 ein Gateway bekommst siehst du nachher in der DHCP-Antwort.
Oder du hängst Testweise einen PC an das Modem und stellst dort in der Netzwerkkarte VLAN 40 ein, da siehst du das dann ebenfalls.

[Imrazor]

Hallo NR,

mittlerweile läuft die OPNsense Appliance, auch wenn ich etwas zu kämpfen hatte, bis ich meine Webseite aus dem eigenen LAN wieder erreichen konnte - puh, das war ein Act.

Aber das VoIP krieg ich nicht zum laufen, ich kriege am Gigaset nur "Anmeldung bei Provider nicht erfolgreich". Das Telefon selbst habe ich mit allen Infos gefüttert, die ich hab - sind ja nicht viele. Dazu noch eine feste IP-Adresse verpasst.

In OPNsense habe ich folgendes gemacht:

Schnittstellen -> Andere Typen -> VLAN -> Hinzufügen ->WAN-Schnittstelle gewählt, VLAN 40 eingestellt und PCP5 (Providervorgabe)

Danach Schnittstelle -> Zuweisungen -> neue Schnittstelle mit dem Netzwerkport "VLAN 40 auf igb1" (WAN)

Und danach habe ich, wie in deinem anderen Post geschrieben, die Regeln erstellt und bei NAT -> Ausgehend auf Hybrid gestellt und folgendes eingestellt:

Schnittstelle              Quelle           Quellport       Ziel          Zielport       NAT Adresse                     NAT Port     
VLAN40                    Gigaset          jeder             jeder        jeder           Schnittstellenadresse       jeder

Danach habe ich noch die Portweiterleitungen für die Port 5060 und 5004-5020 erstelt nach deinen Vorgaben.

Hast du irgendeine Idee?

Nachtrag: An der VLAN40 Schnittstelle war DHCP nicht aktiviert. Jetzt bekomme ich immerhin eine IP-Adresse und ein Gateway geliefert.

Bei den Firewall-Regeln für die VLAN40-Schnittstelle habe ich jetzt als Gateway das VLAN40_DHCP Gateway zugewiesen. Ist das so richtig?

Gebracht hat's allerdings auch nichts ;-)

[NicholasRush]

Hallo NR,

mittlerweile läuft die OPNsense Appliance, auch wenn ich etwas zu kämpfen hatte, bis ich meine Webseite aus dem eigenen LAN wieder erreichen konnte - puh, das war ein Act.

Aber das VoIP krieg ich nicht zum laufen, ich kriege am Gigaset nur "Anmeldung bei Provider nicht erfolgreich". Das Telefon selbst habe ich mit allen Infos gefüttert, die ich hab - sind ja nicht viele. Dazu noch eine feste IP-Adresse verpasst.

In OPNsense habe ich folgendes gemacht:

Schnittstellen -> Andere Typen -> VLAN -> Hinzufügen ->WAN-Schnittstelle gewählt, VLAN 40 eingestellt und PCP5 (Providervorgabe)

Danach Schnittstelle -> Zuweisungen -> neue Schnittstelle mit dem Netzwerkport "VLAN 40 auf igb1" (WAN)

Und danach habe ich, wie in deinem anderen Post geschrieben, die Regeln erstellt und bei NAT -> Ausgehend auf Hybrid gestellt und folgendes eingestellt:

Schnittstelle              Quelle           Quellport       Ziel          Zielport       NAT Adresse                     NAT Port     
VLAN40                    Gigaset          jeder             jeder        jeder           Schnittstellenadresse       jeder

Danach habe ich noch die Portweiterleitungen für die Port 5060 und 5004-5020 erstelt nach deinen Vorgaben.

Hast du irgendeine Idee?

Nachtrag: An der VLAN40 Schnittstelle war DHCP nicht aktiviert. Jetzt bekomme ich immerhin eine IP-Adresse und ein Gateway geliefert.

Bei den Firewall-Regeln für die VLAN40-Schnittstelle habe ich jetzt als Gateway das VLAN40_DHCP Gateway zugewiesen. Ist das so richtig?

Gebracht hat's allerdings auch nichts ;-)

Es könnte jetzt daran liegen, das der DNS Name von dem VOIP-Server deines Providers vielleicht nicht aufgelöst wird.
Dein Telefon solltest du dafür in der Firewallregel in der es ausgehenden Zugriff hat, auf VLAN40 voll Zugriff geben. Ausgehend alle Ports erlauben.
Zusätzlich trägst du in dein Telefon den DNS-Server ein, den du auf VLAN40 per DHCP mitgeteilt bekommen hast. Damit sollte sich dein Telefon zumindest schon einmal bei deinem Provider anmelden können.

Du hättest das Telefon zwar nicht mittels Firewallregel auf das VLAN40 Gateway fixieren müssen, letztlich ist das aber auch nicht schlimm und so lange sich dein Telefon beim Provider noch nicht angemeldet hat kannst du das auch so lassen.

Zusätzlich solltest du schauen ob auf der VLAN40 Schnittstelle villeicht das Blocken von Bogon und Privaten Netzen eingeschaltet ist. Das muss aus sein.

[Imrazor]

Danke für deine Rückmeldung, dann muss mal rausfinden, ob mir auf dem VLAN ein DNS Server geliefert wird. Momentan ist im Telefon als DNS ja noch die OPNsense eingestellt, kann die das nicht über den vom Provider mitgeteilten DNS auflösen? Macht sie doch im LAN auch oder?

Private Netzte und Bogon werden nicht geblockt, den Haken habe ich schon rausgenommen bzw. kontrolliert.

Nachtrag: Ich bekomme keinen eigenen DNS-Server auf dem VLAN40, jedenfalls wird mir keiner unter Schnittstellen -> Überblick ->Schnittstelle VLAN40 angezeigt.

Das Telefon hat vorhin aber nach dem Einschalten eine neue Firmware bezogen, insofern kommt es anscheinend ins Internet...

[NicholasRush]

Dein Telefon soll aber nicht ins Internet, sondern hauptsächlich mit VLAN40 kommunizieren. Zumindest mittels SIP.

Bei der FritzBox läuft das so, das die Zugriff auf beide VLANs hat, aber soweit ich weiß, es vom LAN zwar direkten Zugriff auf das Internet hat, aber keinen direkten Zugriff auf das Voice VLAN in deinem Fall VLAN40.

Was mich nur wundert ist jetzt, das dein Telefon ein Firmware update machen konnte. Und du mir im vorherigen Beitrag geschrieben hast das du in der Firewallregel für dein Telefon, das VLAN40 Gateway erzwungen hast. Normalerweise sollte dein Telefon so kein Firmware update machen können, da über VLAN40 ja kein Internet zur Verfügung steht.

Könntest du nochmal Detailliert die Firewallregeln Posten, evtl mit Bild welche nur für dein Telefon sind. Du könntest in der Windows CMD auch mal mit nslookup testen, ob sich die SIP-Server IP Adresse denn auflösen lässt. Wenn ja ist es kein DNS Problem sondern wahrscheinlich ein Firewall Problem.

[Imrazor]

Genau diese Vermutung habe ich auch, dass das Gigaset nicht 100% an das VLAN40 gebunden ist und es über den normalen WAN-Weg ins Internet kommt. Und sich damit auch nicht über VLAN40 versucht sich zu verbinden.

Ja, ich kann vom LAN aus auf meinem Rechner den Registrar-Server über nslookup auflösen, ich erhalte dann die zugeordnete IP. Auch das hat mich schon stuzig gemacht.

Im Anhang die Screenshots der betreffenden Firewall-Regeln und NAT sowie Portforwarding.

[NicholasRush]

Nimm mal bei den LAN Regeln als Ziel "VLAN40 Netzwerk" raus und stelle den auf ANY (*).

Denn so kann dein Telefon nur auf den Adressbereich von VLAN40 zugreifen und nicht auf Netze hinter dem Gateway von VLAN40 zudem solltest du die Firewallregel ganz nach oben schieben. Denn die Regeln werden nach dem erste Treffer Prinzip abgearbeitet, also von oben nach unten. Daher kann dein Telefon auch ein Firmwareupdate machen.

Wenn dein Telefon sich angemeldet hat und du auch telefonieren kannst ohne Probleme, kannst du anfangen die Regeln feiner einzustellen. Das heißt, nur die SIP und RTP Ports gehen per Zwang auf VLAN40 raus, ansonsten kann dein Telefon auf das Internet zugreifen. Soweit ich weiß sollen die ja eine eingebaute rückwärts suche der Rufnummern können wofür ja Internet vonnöten ist.

[Imrazor]

Hatte leider nicht den gewünschten Effekt. Das Telefon liefert immer noch "Anmeldung bei Provider nicht erfolgreich". Dafür kommt es jetzt auch nicht mehr ins "normale" Internet ;-)

Nachtrag 1: Zum testen habe ich mal das Gigaset so eingestellt, dass es die IP dynamisch bezieht und das VLAN-Taggin selbst übernimmt und es direkt an das Glasfasermodem statt dem WAN-Port der OPNsense angesteckt.

Ich bekomme eine IP zugewiesen, aber eine Anmeldung funktioniert auch hier nicht. Mir scheint es fast, als würde es dann an der Gigaset-Konfiguration liegen? Normalerweise sollte er doch ohne FW dazwischen seine Verbindung aufbauen könne, wenn die eingetragenen Daten stimmen...

Nachtrag 2: In der Zwischenzeit habe ich weitere Test unternommen:
1. Ich habe auf meinem Laptop Ekiga (Softphone unter Linux - ich benutze nur Linux) installiert und habe dem Laptop die IP des Gigasets verpasst (das ich vorher natrülich vom Netz genommen habe). Resultat: Ich kann die IPs des VLAN40 pinge, kann den Registrar ngn.telepark-passau.de aber nicht auflösen. Löse ich die Domain vorher auf meinem anderen Rechner zur IP auf und nutze die IP direkt als Registrar, dann erhalte ich von Ekiga die Meldung: "Verweigert, bitte überprüfen Sie, dass Benutzername und Passwort korrekt sind!".

2. Ich habe testweise die Fritbox wieder angeworfen, welche sofort eine Verbindung mit dem Registrar aufbaut und das alte Telefon ging auch sofort. Ich habe also erneut mit den PHP fb_tools die Fritzbox ausgelesen und erhalte genau das Passwort und den Benutzer, den ich bereits hatte und ich im Gigaset bzw. Ekiga eingegeben hätte.

Ich weiß echt nicht mehr weiter. Ich habe dem Support meines Providers eine Mail mit der Gigaset Konfigurationsmaske geschickt, die sagen, das sollte so passen.

Was ja nachwievor komisch ist, ist die Tatsache, dass ich über das VLAN den Registrar-Namen nicht auflösen kann. OK, ohne DNS auf VLAN40 kann es ja nicht gehen, aber wie macht das die Fritzbox??

[NicholasRush]

Du hast wirklich viel raus gefunden. 

Nachtrag 1: Zum testen habe ich mal das Gigaset so eingestellt, dass es die IP dynamisch bezieht und das VLAN-Taggin selbst übernimmt und es direkt an das Glasfasermodem statt dem WAN-Port der OPNsense angesteckt.

Da hätte es sich normalerweise direkt anmelden müssen.

Ich habe auch mal auf der Telepark Passau Seite nachgeschaut, aber die liefern ja gar keine Informationen zu ihrem VOIP Netz. Außer diese Seite: https://www.telepark-passau.de/hilfe-faqs.html

Und da schreiben sie explizit das VLAN40 nur für deren Telefonie verwendet wird:

6. Suchen Sie nach der Option "Anmeldung immer über eine Internetverbindung" und deaktivieren Sie diese.

Damit würde sich die FritzBox bei deren Server anmelden, auch wenn VLAN0(Dein Internet) nicht zur Verfügung steht, was allerdings aufgrund des DNS-Hostnamens ja nicht gehen kann. Außer die IP ist fest in der FB vorkonfiguriert. Dann geht das natürlich.

Warte mal ab, was dir deren Support schreibt.

Nicht das die an Ihrem Registrar alles abweisen, was nicht den Fritz Box UserAgent mitsendet. Wenn es genau das ist, funktioniert alles was ich dir geraten habe natürlich nicht. Den User Agent vom Gigaset ändern geht glaube ich ja auch nicht.

Oder aber die Daten, die PHP FB_Tools ausgelesen hat stimmen nicht.
Bzgl. Passwort.

[Imrazor]

Ich habe ja die Zugangsdaten per Post nochmals erhalten, Benutzername und Passwort stimmt mit dem überein, was ich aus der FB ausgelesen habe - und die kann sich ja immerhin verbinden.

Komisch ist auch, dass in der FB der Registrar genauso mit Namen eingetragen ist und nicht mit IP. Die FB kann den aber auflösen, wie auch immer. Wenn ich die IP des Resistrars eintrage, sieht man, dass auch Anfragen an den Server rausgehen.

Ich habe gestern nochmal eine Mail an den Support geschickt, ob die irgendwie filtern/blocken. Nach deren Aussage sollte es ja auch ohne FB funktionieren. Wobei der Provider natürlich sehr klein ist und ich der einzige irre, der nicht die Standard-Konfiguration benutzt ;-) Aber die sind recht kompetent und bemüht, deshalb hoffe ich, dass sie nochmal nachsehen, ob das Problem doch auf ihrer Seite liegt.

[Imrazor]

Ich habe jetzt mal mit Siproxd gespielt, nur für's Verständnis:

Siproxd baut die Verbindung zum Registrar auf oder macht das nach wie vor das Telefon?

Ich habe alle konfiguriert, einen Benutzer angelegt, der den Zugangsdaten entspricht, genau wie eine Outbound Domain für den Registrar.

Das Gigaset lässt nur eine komplette Verbindungskonfiguration zu, d.h. ich kann lediglich Siproxd zusätzlich als Outbound Proxy angeben.

Ich krieg immer noch die Meldung, dass die Anmeldung fehlgeschlagen ist, aber unter Current Registrations hat sich wenigestens was getan, das Telefon erreicht zumindest Siproxd. Ist das gut oder schlecht oder trifft das überhaupt eine Aussage??

****:1:1520695207
sip:08XXXXXXXX@192.168.2.25:5060
sip:08XXXXXXXX@10.170.46.XXX
sip:08XXXXXXXX@ngn.telepark-passau.de

[NicholasRush]

Ich habe jetzt mal mit Siproxd gespielt, nur für's Verständnis:

Siproxd baut die Verbindung zum Registrar auf oder macht das nach wie vor das Telefon?

Ich habe alle konfiguriert, einen Benutzer angelegt, der den Zugangsdaten entspricht, genau wie eine Outbound Domain für den Registrar.

Das Gigaset lässt nur eine komplette Verbindungskonfiguration zu, d.h. ich kann lediglich Siproxd zusätzlich als Outbound Proxy angeben.

Ich krieg immer noch die Meldung, dass die Anmeldung fehlgeschlagen ist, aber unter Current Registrations hat sich wenigestens was getan, das Telefon erreicht zumindest Siproxd. Ist das gut oder schlecht oder trifft das überhaupt eine Aussage??

****:1:1520695207
sip:08XXXXXXXX@192.168.2.25:5060
sip:08XXXXXXXX@10.170.46.XXX
sip:08XXXXXXXX@ngn.telepark-passau.de

Siproxd funktioniert etwas anders als du es bisher verstanden hast. Das heißt das Siproxd nicht die Anmeldung beim Anbieter für dich erledigt. Das ist auch gar nicht die Aufgabe von einem Proxy. Siproxd dient lediglich als Vermittlungsschicht. Dadurch das Siproxd als Vermittlungsschicht agiert, hat man von aussen (WAN), natürlich keinen direkten Zugriff mehr auf die Telefonanlage oder Endgeräte. Daher kann man Siproxd auch als soetwas wie eine Sicherheitsschicht betrachten. NAT muss so ein VOIP Endpunkt ebenfalls nicht beherrschen, da Siproxd den Sip Header immer so umschreibt, als würde dein VOIP Endpunkt Siproxd selbst sein. Der Users Tab vom Siproxd dient nur dazu, eine Anmeldung direkt an Siproxd zu ermöglichen. Und das nur, falls man unbedingt eine Authentifizierung dort möchte. In fast allen fällen braucht man das nicht. Daher bitte leer lassen.

Gigaset Konfiguration

Code: [Select]

Zugangsdaten wie gehabt.
Kein VLAN Konfigurieren
Feste IP oder DHCP einstellen
Kein Outbound Proxy

OPNsense Konfiguration
Achtung: Alle vorher gemachten Einstellungen bzgl. Gigaset bitte Löschen, damit es nicht zu Problemen kommt.

Ich habe jetzt mal eine Exemplarische Konfiguration gemacht, für ein "WAN Interface", bei dir musst du allerdings überall wo "WAN_Interface" steht auf das VLAN40 Interface umstellen.

Hier findest du die bebilderte Anleitung: DropBox