Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Konstellation PFsense SG-4860, Fritzbox 7490 und Telekom DeutschlandLAN IP VoiceData S

Mitglied: Yannosch

Yannosch (Level 2) - Jetzt verbinden

19.03.2018 um 09:02 Uhr, 2989 Aufrufe, 66 Kommentare, 5 Danke

Hallo zusammen,

ich habe hier eine Fritte die Internetrouter & Telefonanlage für den Telekom DeutschlandLAN IP VoiceData S spielt.

Diese würde ich gerne durch die PFsense SG-4860 ersetzen.

Die Fritte soll dann nurnoch den Job der Telefonanlage übernehmen.

Meine Kernfrage bei dieser Konstellation wäre:
Ist die PFsense dazu geeignet über die Zugangsdaten der Telekom eine PPPOE Verbindung zum ISP herzustellen oder brauche ich noch ein zusätzliches Modem?

Es gibt ja einige Anleitung für genau diese Konstellation im Netz, nur habe ich auch gelesen, dass es bei der PFSense Probleme gibt bei der direkten Herstellung/Anmeldung der Verbindung zum Provider.

Kann mir hier jemand ein Statement dazu geben?

einen guten Wochenstart

Yannosch

66 Antworten
Mitglied: aqui
19.03.2018 um 09:40 Uhr
Die 4860 ist wie immer ein kleiner Intel Rechner. Gibt es in ähnlicher Form auch bei Amazon
https://www.amazon.de/Appliance-VPN-Router-Netzwerksicherheit-Industriel ...
Wie immer haben solche Appliances als Ports reine Ethernet Ports also KEIN integriertes Modem.
Für xDSL Anschlüsse benötigst du also noch ein reines nur Modem.

Empfehlenswert wie immer sind hier Hybridmodems die ADSL und VDSL abdecken wie das Draytek Vigor 130 oder Allnet ALL-BM200VDSL2V usw.
Siehe dazu auch pfSense Tutorial hier im Forum.
Probleme gibt es wie immer keine bei einer direkten Anmeldung per PPPoE.
Viele Laien vergessen schlicht das VLAN Tagging zu aktivieren bei BNG Anschlüssen oder VDSL und scheitern dann an banalen Setup Fehlern.
Kannst du ja (fast) täglich hier mitlesen
Also keine Sorge, das klappt fehlerfrei. PPPoE ist ein weltweiter Standard.
Bitte warten ..
Mitglied: Yannosch
19.03.2018 um 09:59 Uhr
Zitat von aqui:

Die 4860 ist wie immer ein kleiner Intel Rechner. Gibt es in ähnlicher Form auch bei Amazon
https://www.amazon.de/Appliance-VPN-Router-Netzwerksicherheit-Industriel ...
Wie immer haben solche Appliances als Ports reine Ethernet Ports also KEIN integriertes Modem.
Für xDSL Anschlüsse benötigst du also noch ein reines nur Modem.

Schade... ich dachte ich könnte mich auch direkt mit der PFSense anmelden. Zumal es ja sogar in der Beschreibung steht dass die 4860 als Internetrouter eingesetzt werden kann.

Empfehlenswert wie immer sind hier Hybridmodems die ADSL und VDSL abdecken wie das Draytek Vigor 130 oder Allnet ALL-BM200VDSL2V usw.

Okay.. dann scheint ja hier kein Weg dran vorbei zu gehen.

Siehe dazu auch pfSense Tutorial hier im Forum.
Probleme gibt es wie immer keine bei einer direkten Anmeldung per PPPoE.
Viele Laien vergessen schlicht das VLAN Tagging zu aktivieren bei BNG Anschlüssen oder VDSL und scheitern dann an banalen Setup Fehlern.

Telekom muss es ja VLAN7 sein soweit ich weiß.

Kannst du ja (fast) täglich hier mitlesen
Also keine Sorge, das klappt fehlerfrei. PPPoE ist ein weltweiter Standard.

Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Nur aus Interesse: Wenn ich dann Ports auf der PFsense für die Telefonie freigebe, muss ich dass dann aber auch nicht mehr am Dreytek machen oder?

LG Yannosch
Bitte warten ..
Mitglied: aqui
LÖSUNG 19.03.2018, aktualisiert um 10:20 Uhr
Schade... ich dachte ich könnte mich auch direkt mit der PFSense anmelden.
Wie sollte das denn technisch gehen ?! Denk doch mal nach...
Wenn du den Ethernet / LAN Port an deinem PC oder Laptop direkt ohne Modem/Router in die xDSL Buchse deines Providers steckst bekommst du ja auch keine Verbindung weil dort DSL Framing gemacht wird und die andere Seite macht eben eine reine Ethernet Signalisierung !
Wenn du an eine Gasleitung einen Gardena Gartenschlauch anschliesst kannst du damit auch nicht deinen Rasen wässern (Das Wort "sprengen" hab ich jetzt mal bewusst vermieden !).
Du verstehst aber wohl was damit gemeint ist.
Lautspecherkabel der Stereo Anlage nutzen auch Kupferdraht. Dennoch sollte man keinen TAE Stecker daran montieren und in die Telefon Steckdose stecken um Musik zu hören, weil eine ganz andere Signalisierung auf dem Kabel ist.
Prinzip ist vermutlich klar, oder ?

Ein Modem macht eine simple Medienwandlung von Ethernet basierten PPPoE Signalen werden diese auf DSL Framing umgesetzt damit der DSLAM es wieder versteht. Der setzt es dann wieder um auf Ethernet ums im Providernetz zu forwarden. Einfaches Prinzip (eben xDSL) um es über lange Kupferstrecken aus Telefon Klingeldraht zu übertragen.
Telekom muss es ja VLAN7 sein soweit ich weiß.
Wenn du Telekom D meinst ja. Bei ADSL sind aber nur neue BNG Anschlüsse getaggt, ältere ADSL Anschlüsse nicht !
VDSL hat immer einen Tag.
Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Ja, ganz genau !
Kein doppeltes NAT wie bei einer Router Kaskade usw. Die reine Modem Verbindung sollte man technisch immer bevorzugen, da performanter und weniger Stress mit dem doppelten NAT.
Das pfSense Tutorial hier beschreibt das auch im Detail...einfach mal lesen
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
muss ich dass dann aber auch nicht mehr am Dreytek machen oder?
Draytek...soviel Zeit muss sein.
Nein, das musst du nicht. Das Modem ist ein reiner passiver Medienwandler wie schon gesagt und hat NICHTS mit dem IP Forwarding zu tun. Es kennt nichtmal IP....
Um wieder beim Gartenschlauch von oben zu bleiben setzt das quasi Gardena Anschluss z.B. auf den alten Bajonett Anschluss um. Welches Wasser da dann durchfliesst ist völlig egal.
Bitte warten ..
Mitglied: diemilz
LÖSUNG 19.03.2018 um 10:16 Uhr
Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Nur aus Interesse: Wenn ich dann Ports auf der PFsense für die Telefonie freigebe, muss ich dass dann aber auch nicht mehr am Dreytek machen oder?

Nein, der Draytek agiert als reiner Umsetzer zwischen xDSL und Ethernet (ISO Layer 1 und 2). Der Übergabepunkt zwischen WAN (Internet) und LAN (Lokales Netz) ist aber die pfSense.
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 19.03.2018 um 10:16 Uhr
Du kannst dich mit der pfSense anmelden, du musst halt nur ein Modem zwischen Telefondose und Netzwerkport der pfSense stecken.
Wir reden hier wirklich von einem reinem Modem als L1-Medienwandler.
Bitte warten ..
Mitglied: ChriBo
19.03.2018 um 10:21 Uhr
Gibt es in ähnlicher Form auch bei Amazon
https://www.amazon.de/Appliance-VPN-Router-Netzwerksicherheit-Industriel ...
Die verlinkte Appliance ist für pfSense nicht (mehr) zu empfehlen.
Ab Version 2.5 muß der Prozessor AES-NI unterstützen, der verbaute Celeron Prozessor hat diese Unterstützung nicht.

CH
Bitte warten ..
Mitglied: aqui
19.03.2018, aktualisiert um 10:24 Uhr
Nicht wenn du kein VPN nutzen willst !
AES-NI ist nur im VPN Umfeld relevant wenn man verschlüsseln will (oder muss).
Aber grundlegend hast du Recht. Besser ist in der Regel immer ein Prozessor der diese Unterstützung beinhaltet. Zumal wenn die pfSense Firmware es dann erzwingt.
Bitte warten ..
Mitglied: em-pie
19.03.2018 um 10:24 Uhr
Moin,
Die 4860 ist wie immer ein kleiner Intel Rechner. Gibt es in ähnlicher Form auch bei Amazon
https://www.amazon.de/Appliance-VPN-Router-Netzwerksicherheit-Industriel ...
Wie immer haben solche Appliances als Ports reine Ethernet Ports also KEIN integriertes Modem.
Für xDSL Anschlüsse benötigst du also noch ein reines nur Modem.
Schade... ich dachte ich könnte mich auch direkt mit der PFSense anmelden. Zumal es ja sogar in der Beschreibung steht dass die 4860 als Internetrouter eingesetzt werden kann.
Na das passt ja auch weiterhin. Ein Router ist ein Router, ein Modem ein Modem und eine Fritzbox (mal abgesehen von den 40x0er-Geräten) halt ein ModemRouter, genauso wie die ganzen Speedports, ein Teil der LANCOMs, etc...

Ein Router ist ja dafür da, um Pakete von A nach B zu routen. Ein Modem, um Informationen auf andere Frequenzen hoch-/ runter zu modulieren: https://de.wikipedia.org/wiki/Modem#DSL-Modem

Empfehlenswert wie immer sind hier Hybridmodems die ADSL und VDSL abdecken wie das Draytek Vigor 130 oder Allnet ALL-BM200VDSL2V usw.
Okay.. dann scheint ja hier kein Weg dran vorbei zu gehen.
Korrekt. Hat aber den Vorteil, dass du höchst flexibel bist. Ändert sich mal die WAN-Technologie (z.B. von Kupfer auf Glas), musst du nur die Einwahl an der pfSense anpassen, nicht abber alles von vorn konfigurieren.

Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Korrekt.
Nur aus Interesse: Wenn ich dann Ports auf der PFsense für die Telefonie freigebe, muss ich dass dann aber auch nicht mehr am Dreytek machen oder?
Nee... Das Modem moduliert nur, das Routing/ NAT, Portfreigaben bleiben an der pfSense weiterhin bestehen...

LG Yannosch
Gruß
em-pie
Bitte warten ..
Mitglied: Yannosch
19.03.2018 um 10:27 Uhr
Zitat von aqui:

Schade... ich dachte ich könnte mich auch direkt mit der PFSense anmelden.
Wie sollte das denn technisch gehen ?! Denk doch mal nach...

Technisch gehen indem dort auch ein Modem verbaut ist? Schafft AVM mit der Fritte ja auch. Vom Port als solches ist von außen ja auch kein Unterschied zu sehen. Ob es jetzt ein Modem Port oder Ethernetport ist.

Wenn du den Ethernet / LAN Port an deinem PC oder Laptop direkt ohne Modem/Router in die xDSL Buchse deines Providers steckst bekommst du ja auch keine Verbindung weil dort DSL Framing gemacht wird und die andere Seite macht eben eine reine Ethernet Signalisierung !
Wenn du an eine Gasleitung einen Gardena Gartenschlauch anschliesst kannst du damit auch nicht deinen Rasen wässern (Das Wort "sprengen" hab ich jetzt mal bewusst vermieden !).

Ja ist mir alles bewusst.

Du verstehst aber wohl was damit gemeint ist.
Lautspecherkabel der Stereo Anlage nutzen auch Kupferdraht. Dennoch sollte man keinen TAE Stecker daran montieren und in die Telefon Steckdose stecken um Musik zu hören, weil eine ganz andere Signalisierung auf dem Kabel ist.
Prinzip ist vermutlich klar, oder ?

Ist jetzt angekommen - ja !

Ein Modem macht eine simple Medienwandlung von Ethernet basierten PPPoE Signalen werden diese auf DSL Framing umgesetzt damit der DSLAM es wieder versteht. Der setzt es dann wieder um auf Ethernet ums im Providernetz zu forwarden. Einfaches Prinzip (eben xDSL) um es über lange Kupferstrecken aus Telefon Klingeldraht zu übertragen.
Telekom muss es ja VLAN7 sein soweit ich weiß.
Wenn du Telekom D meinst ja. Bei ADSL sind aber nur neue BNG Anschlüsse getaggt, ältere ADSL Anschlüsse nicht !
VDSL hat immer einen Tag.
Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Ja, ganz genau !
Kein doppeltes NAT wie bei einer Router Kaskade usw. Die reine Modem Verbindung sollte man technisch immer bevorzugen, da performanter und weniger Stress mit dem doppelten NAT.
Das pfSense Tutorial hier beschreibt das auch im Detail...einfach mal lesen
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
muss ich dass dann aber auch nicht mehr am Dreytek machen oder?
Draytek...soviel Zeit muss sein.

Habe mir jetzt den Draytek bestellt - danke für die Infos.

Nein, das musst du nicht. Das Modem ist ein reiner passiver Medienwandler wie schon gesagt und hat NICHTS mit dem IP Forwarding zu tun. Es kennt nichtmal IP....
Um wieder beim Gartenschlauch von oben zu bleiben setzt das quasi Gardena Anschluss z.B. auf den alten Bajonett Anschluss um. Welches Wasser da dann durchfliesst ist völlig egal.

Okay super - Danke für eure Hilfe.

Vor der Fritte als reine TK Anlage habe ich jedoch respekt. Aber es gibt ja einige Anleitungen wie die zu konfigurieren ist im Zusammenhang mit der PFsense.

Melde mich nochmal, sollte es Probleme geben.

LG und nochmals Danke für die Infos.

Yannosch
Bitte warten ..
Mitglied: aqui
LÖSUNG 19.03.2018, aktualisiert um 10:44 Uhr
Technisch gehen indem dort auch ein Modem verbaut ist?
Da hast du zweifelsohne erstmal Recht wenn du auf deine kleinen Welt siehst. Aber auch hier hilft mal wieder etwas nachdenken...
pfSense ist weltweit eins der meistgenutzen Firewalls. Die Softwerker arbeiten aber primär nur an der Software, was ja auch Sinn macht.
Weltweit gibt es tausendfach unterschiedliche WAN Anbindungen und Techniken und jedes Land hat, wenn man jetzt mal rein nur auf die xDSL Anbindung sieht, auch nochmal zig unterschiedliche Optionen.
Würde das pfSense Projekt sich jetzt an einen oder mehrere HW Hersteller binden, müsste der tausendfach unterschiedliche HW supporten und auch managen.
Wie stellst du dir das vor in einem Open Source Projekt wo das Gros der Leute ja nix bezahlen will. Wer soll sowas finanzieren und auch noch up to date halten ?
Da liegt es ja also auf der Hand das man eine weltweit genormte Schnittstelle wie Ethernet nimmt und den Anwendern dann die Adaption auf die Länder- oder Regions spezifische Anbindung überlässt.
So hast du einen Win Win für beide Seiten.
Das sagt einem ja aber auch schon der gesunde und ökonomische Menschenverstand, oder ?!
Eine FritzBox wirst du in Amerika oder Aserbeidschan sicher auch nicht so out of the Box betreiben können.
Habe mir jetzt den Draytek bestellt
Damit machst du nix falsch !!
Aber denk dran: Als reines Modem betreiben !!
Wie das geht mit dem Draytek 130 siehe hier:
https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ...
Du kannst es auch immer an der pfSense genau verifizieren !
Wie du schon richtig gesagt hast ist die öffentliche Provider IP dann immer am WAN Port der pfSense.
(Ausgenommen du hast jetzt einen DS-Lite Anschluss mit CGN oder sowas.)
Vor der Fritte als reine TK Anlage habe ich jedoch respekt.
Musst du nicht !
Wenn du das hier liest:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
verlierst du jeglichen Respekt davor. Ist eher ne Lachnummer.
LG und nochmals Danke für die Infos.
Immer gerne wieder
Bitte warten ..
Mitglied: ChriBo
19.03.2018 um 11:04 Uhr
Hi,
meinen Informationen nach lässt sich Version 2.5 und Folgende gar nicht mehr auf Geräten ohne AES-NI Unterstützung installieren.
...
While we’re not revealing the extent of our plans, we do want to give early notice that, in order to support the increased cryptographic loads that we see as part of pfSense verison 2.5, pfSense Community Edition version 2.5 will include a requirement that the CPU supports AES-NI.
...

schau hier

CH
Bitte warten ..
Mitglied: aqui
19.03.2018, aktualisiert um 11:07 Uhr
Macht ja auch letztlich Sinn, denn wer nutzt eine FW komplett ohne VPN ?
Für die wenigen die das machen und alte HW haben ohne AES-NI wird es ja immer auch noch den älteren Release Train geben.
Bitte warten ..
Mitglied: Yannosch
19.03.2018 um 11:47 Uhr
Zitat von aqui:

Technisch gehen indem dort auch ein Modem verbaut ist?
Da hast du zweifelsohne erstmal Recht wenn du auf deine kleinen Welt siehst. Aber auch hier hilft mal wieder etwas nachdenken...
pfSense ist weltweit eins der meistgenutzen Firewalls. Die Softwerker arbeiten aber primär nur an der Software, was ja auch Sinn macht.
Weltweit gibt es tausendfach unterschiedliche WAN Anbindungen und Techniken und jedes Land hat, wenn man jetzt mal rein nur auf die xDSL Anbindung sieht, auch nochmal zig unterschiedliche Optionen.
Würde das pfSense Projekt sich jetzt an einen oder mehrere HW Hersteller binden, müsste der tausendfach unterschiedliche HW supporten und auch managen.

Macht schon Sinn.

Habe mir jetzt den Draytek bestellt
Damit machst du nix falsch !!
Aber denk dran: Als reines Modem betreiben !!
Wie das geht mit dem Draytek 130 siehe hier:
https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ...

Ja gut ... ist zwar keine genaue Anleitung, aber schonmal eine gute Basis.

Die PPPoe Authentifizierung macht dann auch der Draytek? Oder soll ich dass dann die PFsense machen lassen? Welches Szenario ist denn das Bessere?

Du kannst es auch immer an der pfSense genau verifizieren !
Wie du schon richtig gesagt hast ist die öffentliche Provider IP dann immer am WAN Port der pfSense.
(Ausgenommen du hast jetzt einen DS-Lite Anschluss mit CGN oder sowas.)

Ne, stink normaler DeutschlandLAN IP Voice/Data S

Vor der Fritte als reine TK Anlage habe ich jedoch respekt.
Musst du nicht !
Wenn du das hier liest:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
verlierst du jeglichen Respekt davor. Ist eher ne Lachnummer.

Okay super - sollte ja dann funktionieren

LG und nochmals Danke für die Infos.
Immer gerne wieder
Bitte warten ..
Mitglied: diemilz
19.03.2018, aktualisiert um 14:41 Uhr
Habe mir jetzt den Draytek bestellt
Damit machst du nix falsch !!
Aber denk dran: Als reines Modem betreiben !!
Wie das geht mit dem Draytek 130 siehe hier:
https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ...

Ja gut ... ist zwar keine genaue Anleitung, aber schonmal eine gute Basis.

Die PPPoe Authentifizierung macht dann auch der Draytek? Oder soll ich dass dann die PFsense machen lassen? Welches Szenario ist denn das Bessere?

Da der Draytek als reines Modem betrieben werden sollte, muss die pfSense dann PPPoE machen. Auf dem Draytek muss dafür aber PPPoE-Pass-Through aktiviert sein.
Bitte warten ..
Mitglied: aqui
19.03.2018, aktualisiert um 14:56 Uhr
Auf dem Draytek muss dafür aber PPPoE-Pass-Through aktiviert sein.
Das gibt es so unter der Bezeichnung da nicht. Das kommt vom Speedport oder FritzBox wo sowas auch geht wenn man damit den Router Modus deaktiviert und diese Boxen nur als reine Modems betreibt. Siehe:
https://www.administrator.de/wissen/kopplung-2-routern-dsl-port-48713.ht ...

Bei Draytek heisst das Bridge Mode !
Und klar...die pfSense muss am WAN Port im PPPoE Mode arbeiten. Dort werden dann auch Username/Passwort für den Zugang konfiguriert.
Bitte warten ..
Mitglied: diemilz
19.03.2018 um 15:08 Uhr
Dass die Hersteller sich da nicht mal auf einheitliche Begriffe einigen können.
Bitte warten ..
Mitglied: aqui
19.03.2018 um 15:12 Uhr
Stimmt...es ist die Pest aber dafür (oder dagegen) gibt es ja Foren wie dieses hier...
Bitte warten ..
Mitglied: Yannosch
20.03.2018 um 09:55 Uhr
Hi Leute, muss mich grad nochmal hier einklinken, mit der Bitte nicht zu harsch zu reagieren sollte ich falsch liegen.

Wenn ich nun den Vigor 130 als Modem, also im Bridge Mode konfiguriere, dann sollte ich ihn doch aber nicht mehr aus dem LAN erreichen, oder?

Daher die Frage : Hat der gute auch ein Console-Port oder wie sollte ich da die Konfigurationen am besten vor nehmen?

Vielleicht stehe ich auch nur wieder auf dem Schlauch.

Liebe Grüße
Yannosch
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 20.03.2018 um 10:02 Uhr
Ohne den Vigor jetzt besonders gut zu kennen:
Normalerweise behalten die Geräte immer ihre IP-Adresse für die Administration. Eine IP zu haben und zeitgleich eine Bridge zwischen dem Netzwerkport und der Telefondose zu sein, schließt sich nicht aus.
Du solltest dem Vigor also in jedem Fall eine IP aus einem Bereich geben, den du sonst nirgendwo verwendest.
Bitte warten ..
Mitglied: Yannosch
20.03.2018 um 10:14 Uhr
Zitat von LordGurke:

Ohne den Vigor jetzt besonders gut zu kennen:
Normalerweise behalten die Geräte immer ihre IP-Adresse für die Administration. Eine IP zu haben und zeitgleich eine Bridge zwischen dem Netzwerkport und der Telefondose zu sein, schließt sich nicht aus.
Du solltest dem Vigor also in jedem Fall eine IP aus einem Bereich geben, den du sonst nirgendwo verwendest.

Okay gut ... ich dachte das würde sich gegenseitig ausschließen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 20.03.2018, aktualisiert um 10:27 Uhr
Normalerweise behalten die Geräte immer ihre IP-Adresse für die Administration.
So ist das auch beim Draytek und bei allen anderen NUR Modems auch damit sie zur Konfiguration erreichbar sind.
Anders wäre es ja auch nicht machbar.
Bitte warten ..
Mitglied: Yannosch
20.03.2018 um 10:35 Uhr
Ja über Console Port oder halt eben ein extra Interface...

Aber wenn es ja so funktioniert ist alles in Butter.

Bin mal gespannt wenn das Ding morgen ankommt.
Bitte warten ..
Mitglied: aqui
20.03.2018 um 12:51 Uhr
Das wird schon klappen...keine Sorge
Bitte warten ..
Mitglied: Yannosch
20.03.2018 um 13:28 Uhr
Würdest du empfehlen das VLAN Tag auf der PFsense oder auf dem Vigor direkt mitzugeben?

Ich glaube auch der PFsense ist es praktikabler oder?
Bitte warten ..
Mitglied: aqui
20.03.2018, aktualisiert um 14:13 Uhr
Wenn der Vigor das gleich mitliefert dann lass den das machen. Das vereinfacht die Konfig auf der pfSense.
Wenn man es gerne auf der pfSense haben möchte um "alles in einer Box" zu haben ist das auch OK.
Technisch ist es egal wer das mitgibt. Ist Geschmakssache wie immer.
Du solltest nur ganz sicher stellen ob das Modem transparent ist oder eben nicht was das Tagging anbetrifft.
Einen getaggten Frame nochmal taggen geht natürlich nicht (oder in diesem Umfeld nicht) und wird dir dann graue Haare bereiten
Bitte warten ..
Mitglied: Yannosch
20.03.2018 um 14:49 Uhr
ich machs wie in deinem Tutorial [Verweiß auf Heise] und tagge es auf dem WAN der PFsense.
VPN Funktionalität sollte ja bei dieser Konstellation problemlos möglich sein...

Ich hoffe das läuft glatt ... Samstag werde ich's sehen.

LG & nochmal danke bis hier hin!
Yannosch
Bitte warten ..
Mitglied: aqui
20.03.2018 um 15:18 Uhr
und tagge es auf dem WAN der PFsense.
Stelle dann aber sicher das das Modem dann NICHT noch zusätzlich taggt !
Ich hoffe das läuft glatt ..
Wir sind ja Samstag hier zum helfen
P.S.:
https://www.duden.de/rechtschreibung/Verweis
Soviel Zeit muss sein...
Bitte warten ..
Mitglied: Yannosch
20.03.2018, aktualisiert um 15:19 Uhr
Zitat von aqui:

und tagge es auf dem WAN der PFsense.
Stelle dann aber sicher das das Modem dann NICHT noch zusätzlich taggt !
Ich hoffe das läuft glatt ..
Wir sind ja Samstag hier zum helfen

Joar

P.S.:
https://www.duden.de/rechtschreibung/Verweis
Soviel Zeit muss sein...
Klugsch...
aber hast ja recht
Bitte warten ..
Mitglied: Yannosch
22.03.2018, aktualisiert um 21:01 Uhr
Hallo nochmals zusammen,

bin mir gerade wieder das Hirn am zermartern...

Hier nochmals die Konstellation aktuell:

Telekom DeutschlandLAN -> Fritzbox 7490 als Internetrouter

An der Fritte sind folgende Geräte verbunden:

ISDN S0 -> Telekom Concept px 722 Telefon
FON1 -> Faxgerät

Das ist die gewünschte Konstellation:

Telekom DeutschlandLAN -> Draytek Vigor 130 -> PFSense [als Router, VPN & DHCP] ->Fritte als reine Telefonanlage

Ich frage mich jetzt allerdings: Ist es so überhaupt möglich das Fax & das alte Concept PX 722 zu betreiben? [Also das PX 722 am ISDN S0 und das Fax an FON1]

Habe sowas halt noch nicht gemacht & frage es mich deshalb gerade...

Liebe Grüße
Yannosch


EDIT:

Eigentlich sollte es laut folgender Beiträge ja möglich sein:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

https://telekomhilft.telekom.de/t5/Telefonie-Internet/IP-SIP-Telefonanla ...

Frage ist halt nur, ob ich dafür auch die alten Endgeräte nutzen kann...
Bitte warten ..
Mitglied: aqui
23.03.2018 um 09:09 Uhr
Warum sollte es nicht gehen ? Was ändert sich denn an der Telefonie selber ? Doch gar nichts.
Ob die FritzBox nun über Ethernet eine SIP Connection aufbaut auf den Voice Provider oder via xDSL ist doch Latte.
Es ändert sich ja nichtmal die SIP Gateway IP.
Wenn du so willst ist die FB ja nur Voice Adapter wie ein Cisco SPA112. Das war sie ja vorher auch schon und auch mit diesen Endgeräten. Wen es nicht gehen würde, würde es ja logischerweise im jetzigen Status auch nicht gehen und das ist ja nicht der Fall, oder ?
Bitte warten ..
Mitglied: Yannosch
23.03.2018 um 09:25 Uhr
Zitat von aqui:

Warum sollte es nicht gehen ? Was ändert sich denn an der Telefonie selber ? Doch gar nichts.
Ob die FritzBox nun über Ethernet eine SIP Connection aufbaut auf den Voice Provider oder via xDSL ist doch Latte.
Es ändert sich ja nichtmal die SIP Gateway IP.

Hast recht!
Aber ein SIP-Gateway IP als solches ist ja nicht eingetragen, sondern eher der SIP-Gateway Name ... aber ja im Grunde genommen sollte es eigentlich funktionieren.

Wenn du so willst ist die FB ja nur Voice Adapter wie ein Cisco SPA112. Das war sie ja vorher auch schon und auch mit diesen Endgeräten. Wen es nicht gehen würde, würde es ja logischerweise im jetzigen Status auch nicht gehen und das ist ja nicht der Fall, oder ?

Ja stimmt - ich bin halt alles genaustens am berücksichtigen, nicht dass es nachher an einer Telekom Besonderheit scheitert.
Bitte warten ..
Mitglied: aqui
23.03.2018, aktualisiert um 09:43 Uhr
Aber ein SIP-Gateway IP als solches ist ja nicht eingetragen, sondern eher der SIP-Gateway Name
Ob DNS Hostname oder IP Adresse ist doch Latte solange du der FB eine gültige DNS Server IP mitgibst

Du kannst das doch auch VORHER alles mal ganz tiefentspannt austesten:
Du lädst du dir ein kostenloses Softphone runter wie z.B. Phoner:
http://phoner.de/index.htm
oder wenns das Smartphone sein soll Zoiper:
https://www.zoiper.com/en/voip-softphone/download/current
Konfigurierst dem die SIP Credentials die auf der FB hinterlegt sind und telefonierst mal drauf los !

Das geht natürlich auch mit einem kostenlosen Basis Account bei SIPgate. Einrichten, SIP Credentials einstellen und lostelefonieren.
Wenn das klappt klappts auch mit deiner FB.
Weitere Infos z.B. hier:
https://www.administrator.de/wissen/cisco-telefon-ip-anschluss-fritzbox- ...
Bitte warten ..
Mitglied: Yannosch
26.03.2018 um 08:57 Uhr
Sers,

also mit dem Draytek Vigor hats schonmal funktioniert. PFSense läuft in diesem Zuge auch. Leider musste ich das VLAN Tag durch den Draytek erledigen lassen, da es nicht funktionierte als es die PFSense machen sollte. Warum auch immer.

C2S VPN Tunnel wird auch established nur die Netzwerkkomponenten sind aktuell nicht erreichbar.

Mit der Fritzbox konnte ich nichtmal die Rufnummern registrieren.
Wieder zu Hause habe ich dann mit XLite getestet. Einfach die SIP Daten von der Telekom eingeben & es lief. Vermutlich habe ich da aber nur ein falsches Passwort verwendet... für die Rufnummern sind nämlich nicht das "persönliche Kennwort" sondern das PW vom T-Online Kundencenter relevant wie ich im Nachgang festgestellt habe.

Muss nochmal danach sehen.

Das nur als Statusupdate...

LG
Yannosch
Bitte warten ..
Mitglied: aqui
26.03.2018, aktualisiert um 10:03 Uhr
da es nicht funktionierte als es die PFSense machen sollte. Warum auch immer.
Da hast du dann wohl was falsch gemacht !
Oder.... du hast dann vergessen das Tagging im Modem auszuschalten. Tust du das nicht wird dann das von der pfSense getaggte Paket durch das Modem nochmal getaggt.
Das führt dann zu einem sofortigen MTU Problem, zusätzlich kann natürlich der empfangene DSLAM so ein doppelt getaggtes Paket nicht lesen.
Da ist es dann vollkommen klar das sowas scheitern muss. Nur mal so als Info....
nur die Netzwerkkomponenten sind aktuell nicht erreichbar.
Vermitlich wie immer lokale Firewall die fremde IPs blockt, oder ?
Was bitte ist "C2S" ???
Mit der Fritzbox konnte ich nichtmal die Rufnummern registrieren.
Firewall entsprechend customized für SIP und für RTP ??
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"
Wieder zu Hause habe ich dann mit XLite getestet. Einfach die SIP Daten von der Telekom eingeben & es lief.
Genau mit dem Design ??
Wenn ja hast du ja alles richtig gemacht !!
Vermutlich habe ich da aber nur ein falsches Passwort verwendet...
Wie oder wo "da" ?? Da am anderen Standort oder da bei dir ?? Verwirrung komplett
Für die Rufnummern sind nämlich nicht das "persönliche Kennwort" sondern das PW vom T-Online Kundencenter relevant
Sollte man als Telekom Kunde aber auch wissen
Das nur als Statusupdate...
Es bleibt also spannend
Bitte warten ..
Mitglied: Yannosch
26.03.2018 um 10:26 Uhr
Zitat von aqui:

da es nicht funktionierte als es die PFSense machen sollte. Warum auch immer.
Da hast du dann wohl was falsch gemacht !

Vermutlich ... aber was genau lässt sich jetzt im Nachgang halt nicht sagen. Jetzt tagged der Draytek & alles läuft wie es soll.

Oder.... du hast dann vergessen das Tagging im Modem auszuschalten. Tust du das nicht wird dann das von der pfSense getaggte Paket durch das Modem nochmal getaggt.
Das führt dann zu einem sofortigen MTU Problem, zusätzlich kann natürlich der empfangene DSLAM so ein doppelt getaggtes Paket nicht lesen.

Nene, das habe ich alles schon so eingestellt wie es sein muss. Doppelter Tag war also definiv nicht vorhanden - ich habe ihn ja manuell eingeschaltet als es nicht lief.

Da ist es dann vollkommen klar das sowas scheitern muss. Nur mal so als Info....
nur die Netzwerkkomponenten sind aktuell nicht erreichbar.
Vermitlich wie immer lokale Firewall die fremde IPs blockt, oder ?

Gut das könnte es vermutlich sein. Ein Tracert vom verbundenen Client bringt aber auch keine Results - also nichtmal einen ersten Hop.

Was bitte ist "C2S" ???

Client-to-Site sorry - war vermutlich ein bisschen unverständlich erklärt.

Mit der Fritzbox konnte ich nichtmal die Rufnummern registrieren.
Firewall entsprechend customized für SIP und für RTP ??
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"

Habe ich gemacht, werde ich allerdings nochmal kontrollieren. Frage ist jedoch: müssen die Ports für die Registrierung der Nummer überhaupt freigeschaltet sein? Ich habe doch als ich den SIP Account zu hause eingebunden habe auch meine Firewall nicht angepasst und könnte mich mit dem XLITE anmelden?

Wieder zu Hause habe ich dann mit XLite getestet. Einfach die SIP Daten von der Telekom eingeben & es lief.
Genau mit dem Design ??

Mit welchem Design?

Wenn ja hast du ja alles richtig gemacht !!
Vermutlich habe ich da aber nur ein falsches Passwort verwendet...
Wie oder wo "da" ?? Da am anderen Standort oder da bei dir ?? Verwirrung komplett

Am Standort wo die ganze Schose steht.

Für die Rufnummern sind nämlich nicht das "persönliche Kennwort" sondern das PW vom T-Online Kundencenter relevant
Sollte man als Telekom Kunde aber auch wissen

Tjoar..

Das nur als Statusupdate...
Es bleibt also spannend

Exakt.
Bitte warten ..
Mitglied: aqui
26.03.2018, aktualisiert um 10:40 Uhr
Ein Tracert vom verbundenen Client bringt aber auch keine Results
Traceroute basiert bei Microsoft auf ICMP und ICMP wird in der lokalen Firewall komplett geblockt. Klar also das das scheitern musste:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wenn du das anpasst klappt auch wieder Ping und Traceroute.
Mit welchem Design?
Also Modem, pfsense davor wie du es ursprünglich installieren wolltest. Sprich also du hast die gleiche HW Konstellation an deinem Privatanschluss gehabt ?!
Client-to-Site sorry - war vermutlich ein bisschen unverständlich erklärt.
Welches Protokoll ??
Bitte warten ..
Mitglied: Yannosch
26.03.2018 um 10:40 Uhr
Zitat von aqui:

Firewall entsprechend customized für SIP und für RTP ??
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"

Erster externer Link ist tot. Das andere Admin Topic ist nicht komplett einleuchtend für mich irgendwie.

Hast du noch andere HowTo's für die Sache mit den Portweiterleitungen?

LG
Yannosch
Bitte warten ..
Mitglied: Yannosch
26.03.2018 um 10:43 Uhr
Zitat von aqui:

Ein Tracert vom verbundenen Client bringt aber auch keine Results
Traceroute basiert bei Microsoft auf ICMP und ICMP wird in der lokalen Firewall komplett geblockt. Klar also das das scheitern musste:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wenn du das anpasst klappt auch wieder Ping und Traceroute.

Glaube ich irgendwie nicht dran, weil auch RDP & Zugriff auf Laufwerke nicht funktioniert haben. Nur durch erlauben von ICMP sollte es ja nicht auf einmal funktionieren oder sehe ich das falsch?

Ich richte es aber mal probehalber ein um es zu testen.

Mit welchem Design?
Also Modem, pfsense davor wie du es ursprünglich installieren wolltest. Sprich also du hast die gleiche HW Konstellation an deinem Privatanschluss gehabt ?!

Nein, dass natürlich nicht. HomeServer von 1&1 das ist alles was ich an HW priv. habe.
Client-to-Site sorry - war vermutlich ein bisschen unverständlich erklärt.

Welches Protokoll ??
IPsec
Bitte warten ..
Mitglied: aqui
26.03.2018, aktualisiert um 10:53 Uhr
Man benötigt eigentlich keine wenn man STUN aktiviert hat.
Ohne STUN oder Keepalives müsste man immer ein SIP Forwarding aktivieren. Klar, denn wenn die Firewall dicht macht , dann aber ein Call am Provider eingeht versucht der eine SIP Session aufzubauen zur Firewall, denn deren IP ist ja für den Provider das Ziel wo das Telefon ist.
Die Firewall sagt dann aber: "Inbound Session ?" Nee, du kommst hier nicht rein !!!
Mit einem statischen Port Forwarding auf die Anlage würde das dann aber gehen.
Ein STUN oder Keepalive macht das gleiche. Das pollt innerhalb des SIP FW Session Timeouts den Provider und vice versa. So bleibt die SIP Session in der Firewall offen und inbound Calls von außen kommen auch ganz ohne Fummelei in den Firewall Settings zustande.
Versuche es erstmal damit...
Übrigens der korrigierte erste URL von oben ist:
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
weil auch RDP & Zugriff auf Laufwerke nicht funktioniert haben.
Das kann auch nicht gehen, da du ja mit einer fremden Absender IP reinkommst im VPN. Die lokale Win Firewall blockt sowas sofort, denn die lässt nur IPs des gleichen netzes zu.
Hier musst du die Firewall für die Remote Access und Datei- und Druckerfreigabe entsprechend anpassen.
HomeServer von 1&1
Igitt !!
IPsec
OK, Regeln im Tunnel Interface nicht vergessen ?? Dieses Tutorial dazu kennst du ja sicherlich:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Lokale LAN IP der pfSense kannst du aber vom VPN Client pingen, oder ??
Das muss immer gehen wenn das VPN funktionsfähig ist. Zeigt dann zu 98% das das Problem dann an der lokalen Firewall der LAN Clients liegt.
Solltest du es nicht pingen können hast du ein generelles Problem mit dem VPN. (Oder eine fehlende ICMP Regel am FW LAN Interface)
Bitte warten ..
Mitglied: Yannosch
26.03.2018, aktualisiert um 10:55 Uhr
Zitat von aqui:

Man benötigt eigentlich keine wenn man STUN aktiviert hat.

Bitte erläutere mir mal was es heißt "wenn man STUN aktiviert hat"? Ich wüsste nicht wo ich das aktivieren geschweige denn deaktivieren sollte.

Ohne STUN oder Keepalives müsste man immer ein SIP Forwarding aktivieren. Klar, denn wenn die Firewall dicht macht , dann aber ein Call am Provider eingeht versucht der eine SIP Session aufzubauen zur Firewall, denn deren IP ist ja für den Provider das Ziel wo das Telefon ist.
Die Firewall sagt dann aber: "Inbound Session ?" Nee, du kommst hier nicht rein !!!
Mit einem statischen Port Forwarding auf die Anlage würde das dann aber gehen.

Genau, das ist auch verständlich & so wollte ich es eigentlich auch umsetzen.

Ein STUN oder Keepalive macht das gleiche. Das pollt innerhalb des SIP FW Session Timeouts den Provider und vice versa. So bleibt die SIP Session in der Firewall offen und inbound Calls von außen kommen auch ganz ohne Fummelei in den Firewall Settings zustande.


Ja das klingt doch eigentlich genau so wie ich es gerne machen würde. Wenn ich dann einfach die Telekomrufnummern in der Fritte registrieren kann bin ich doch glücklich.

Versuche es erstmal damit...
Übrigens der korrigierte erste URL von oben ist:
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
weil auch RDP & Zugriff auf Laufwerke nicht funktioniert haben.
Das kann auch nicht gehen, da du ja mit einer fremden Absender IP reinkommst im VPN. Die lokale Win Firewall blockt sowas sofort, denn die lässt nur IPs des gleichen netzes zu.
Hier musst du die Firewall für die Remote Access und Datei- und Druckerfreigabe entsprechend anpassen.

EDIT zum VPN Thema:

Die Einrichtung des ShrewSoft könnte ggf. doch auch die Möglichkeit sein, damit es läuft oder?

Einstellungen im Register Policy

Deaktivieren der Option ☐ Obtain Topology Automatically or Tunnel All

Auf die Schaltfläche Add klicken und das entfernte Zielnetzwerk (privates Netzwerk hinter der pfSense) eingeben. Damit wird später eine passender Eintrag in der Routingtabelle erzeugt um das Zielnetzwerk zu erreichen.
Type : Include
Address : <Netzwerk hinter der pfSense ( z.B. 192.168.0.0 )
Netmask : <Netzwerkmaske für das entfernte Netzwerk ( z.B. 255.255.255.0 )


QUELLE
Bitte warten ..
Mitglied: aqui
26.03.2018, aktualisiert um 11:11 Uhr
Thema STUN:
https://www.3cx.de/voip-sip/stun-server/
Die Einrichtung des ShrewSoft könnte ggf. doch auch
Das wäre möglich. Eine fehlerhafte Einrichtung könnte auch einen Fehlerquelle sein.
Fragt sich warum du überhaupt Shrew verwendest. Windows, Mac OS usw. kann das auch einfach mit Bordmitteln. Siehe Tutorial !
Bitte warten ..
Mitglied: Yannosch
26.03.2018 um 13:22 Uhr
Da ist man was die Einrichtung betrifft bisschen Plattformunabhängiger m.E.n.
Die Config Datei des ShrewSoft Clients läuft auf jedem Computer der ShrewSoft installieren kann... anders als die Integrierten Clients von Windows & Apple.
Bitte warten ..
Mitglied: aqui
26.03.2018 um 13:39 Uhr
Das ist wohl wahr aber anderseits arbeiten die anderen mit 3 Mausklicks in den onboard Clients ohne irgendwelche Extras. Aber egal, ist ja eher ne kosmetische Frage und das kann jeder individuell entscheiden.
Das Ziel erreicht man mit beiden Optionen
Bitte warten ..
Mitglied: Yannosch
26.03.2018 um 13:50 Uhr
Ich teste später mal ob es an dem Fehlenden Eintrag im ShrewClient liegt.
Vielleicht kann ich dann im Netz arbeiten.
Bitte warten ..
Mitglied: Yannosch
27.03.2018 um 19:24 Uhr
Servues Aqui,

habe nochmal alles was ipsec betrifft resettet und nochmal mit deiner Anleitung von vorne begonnen.
habe alles gemäß deines Tutorials befolgt... allerdings bekomme ich leider keine VPN Verbindung. Der Shrewsoft meldet mir: negotiation timout occured

Was kann ich dort tun? Bin bisschen Ratlos - habe nämlich alles 1 zu 1 wie in deinem Tutorial gemacht & allzuschwierig ist es jetzt ja nicht...

LG Yannosch
Bitte warten ..
Mitglied: aqui
27.03.2018, aktualisiert um 19:34 Uhr
Du meinst die aktuelle IPsec_Anleitung hier vom Forum ?
Das kann auch nicht gehen, denn die Anleitung bezieht sich rein auf die aktuelle IKEv2 Version. Der Shrew Client macht nur IKEv1.
Das ist klar das das scheitert. Sorry hatte ich oben nicht sofort erkannt.

Du musst dann auf der pfSense eine IPsec Access Konfig mit IKEv1 aufsetzen.
Wie das geht ist hier beschrieben:
https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-T ...
IKEv1 erfordert keine CA und Zertifikate und ist daher generell einfacher aufzusetzen !
Bitte warten ..
Mitglied: Yannosch
27.03.2018 um 19:39 Uhr
Hey,

kein Problem - bin ja froh dass du hilfst

Nein - laut dieser hier

Also soll ich es nach dieser hier machen?
https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-T ...

Dort wird dann aber nicht gezeigt wie der ShrewSoft Client zu konfigurieren ist.
Bitte warten ..
Mitglied: aqui
LÖSUNG 27.03.2018 um 20:00 Uhr
Das stimmt, primär war das Tutorial als SiteToSite VPN für IPsec gedacht, weniger fürs Client Dialin.
Das müsste mal überarbeitet werden...(du siehst es an den alten Screenshots)
Du solltest also besser die pfSense Anleitung nehmen
Gibt auch noch einige andere mehr wenn man danach sucht:
http://blog.schaefer-it.net/wissenswertes/ipsec-verbindung-zwischen-pfs ...
https://www.thegeekpub.com/5855/pfsense-road-warrior-ipsec-config-works/
Bitte warten ..
Mitglied: Yannosch
28.03.2018, aktualisiert um 13:48 Uhr
Servus Aqui,

lööft jetzt alles was das VPN betrifft.
Jetzt habe ich was die PFsense betrifft noch EIN Mysterium was derzeit auftritt & welches es zu lösen gilt:

Die PFsense bekommt in unregelmäßigen Abständen eine neue IP vom Provider über PPP zugewiesen. Warum? Ich weiß es nicht.

Ich habe den Anschluss noch nicht auf eine statische IP umgestellt, aber es muss ja einen Grund geben warum die FW, teilweise 2-3 Mal in 2 Stunden eine neue IP bekommt.

Das sagen die Logs:

Kannst du ggf. was damit anfangen?
LG Yannosch
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.03.2018, aktualisiert um 14:13 Uhr
Tadaaa !!
Glückwunsch ! Könnten wir das Tutorial ja nochmal mit einer IKEv1 Konfig erweitern
Die PFsense bekommt in unregelmäßigen Abständen eine neue IP vom Provider über PPP zugewiesen.
Das ist ja normal an xDSL. Die allseits bekannte Zwangstrennung.
teilweise 2-3 Mal in 2 Stunden eine neue IP bekommt.
Das wäre in der Tat etwas außergewöhnlich. Kannst du aber ganz sicher ausschliessen das der Provider das nicht initiiert ??
Hast du die MTU richtig gesetzt auf dem WAN/PPPoE Port auf 1492 ?
Kannst du ggf. was damit anfangen?
Ja, und du sicher auch. Ein klassisches sauberes PPP Handshaking wie es im Buche steht.
  • IP Adress Zuteilung
  • DNS Zuteilung
  • PPP meldet Layer UP und damit Handshaking OK.
Du müsstest mal einen Abbruch mitprotokollieren.
Bitte warten ..
Mitglied: Yannosch
28.03.2018 um 14:16 Uhr
Zitat von aqui:

Tadaaa !!
Glückwunsch ! Könnten wir das Tutorial ja nochmal mit einer IKEv1 Konfig erweitern

Dein Wunsch sei mir Befehl - hast eh wieder mal dick was gut! Hoffe ich komme mal irgendwie dazu mich zu revanchieren.

Die PFsense bekommt in unregelmäßigen Abständen eine neue IP vom Provider über PPP zugewiesen.
Das ist ja normal an xDSL. Die allseits bekannte Zwangstrennung.
teilweise 2-3 Mal in 2 Stunden eine neue IP bekommt.
Das wäre in der Tat etwas außergewöhnlich. Kannst du aber ganz sicher ausschliessen das der Provider das nicht initiiert ??
Hast du die MTU richtig gesetzt auf dem WAN/PPPoE Port auf 1492 ?

Ich check das mal, aber ich glaube ich hab da sogar gar nichts eingetragen also den Default wert.

Kannst du ggf. was damit anfangen?
Ja, und du sicher auch. Ein klassisches sauberes PPP Handshaking wie es im Buche steht.
  • IP Adress Zuteilung
  • DNS Zuteilung
  • PPP meldet Layer UP und damit Handshaking OK.
Du müsstest mal einen Abbruch mitprotokollieren.

Okay...
Versuch da auch mal was zu bekommen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.03.2018, aktualisiert um 14:26 Uhr
glaube ich hab da sogar gar nichts eingetragen also den Default wert.
Böses Faul bei PPPoE !!! Warum...??? Hier lesen:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Zusätzlich solltest du auf dem LAN Port dann noch die MSS auf 1452 setzen. Nur auf den LAN Ports !
Bitte warten ..
Mitglied: Yannosch
28.03.2018 um 14:41 Uhr
Zitat von aqui:

glaube ich hab da sogar gar nichts eingetragen also den Default wert.
Böses Faul bei PPPoE !!! Warum...??? Hier lesen:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Zusätzlich solltest du auf dem LAN Port dann noch die MSS auf 1452 setzen. Nur auf den LAN Ports !

Ok, habe jetzt alles eingestellt & mir den Cisco Artikel mal zu Gemüte geführt.
Ich schau mal wie es sich verhält.

Aber nochmal eine doofe Frage: Wenn ich den Anschluss im Kundencenter auf Static IP schalte - muss dann an der Gesamten konfig was geändert werden bzw. im am Draytek Vigor 130? Oder läuft die PPPOE Prozedur dann genauso ab nur der Anschluss bekommt halt immer die selbe öfftl. IP zugewiesen?

LG Yannosch
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.03.2018 um 14:55 Uhr
Aber nochmal eine doofe Frage:
Doofe Fragen jibbet doch nit
muss dann an der Gesamten konfig was geändert werden
Das ist eine sehr gute Frage... Müsste mal jemand beantworten der das in der Praxis betreibt.
Möglich das die Telekom ein PPPoE Nailing mit deinen Credentials macht auf eine feste IP. Das ist dann so wie Mac Adress Nailing in der FritzBox DHCP.
Da bleibt dann alles beim alten.. Wenns wirklich statisch ist dann musst du ggf. was umstellen.
Versuch macht klug
Bitte warten ..
Mitglied: Yannosch
28.03.2018, aktualisiert um 15:16 Uhr
Aber da mache ich mal ein anderen Fred auf - ich glaube das hier niemand mehr vorbeischaut.

Aber danke bis hier hin

EDIT:

Das sagt die Telekom im eigenen Forum dazu:

Einfach auf aktivieren klicken, bestätigen, dass die Anmeldedaten im Router eingetragen sind und ausführen.

Der Router trennt die Verbindung innerhalb der nächsten Minute und kommt dann mit fester IP wieder Online.

bei mir hat es gestern Abend an der Stelle auch geklemmt, ging aber dann irgendwann.
Bitte warten ..
Mitglied: Yannosch
29.03.2018 um 09:07 Uhr
Also habs einfach mal umgestellt & es läuft.
Ist wahrscheinlich dann wie ne DHCP-Adressreservierung. Also einfach immer die selbe geben.

Okay cool - läuft also alles. Jetzt muss nurnoch die Fritte Leben bekommen.
Verfolge gerade diesen Fred https://www.administrator.de/forum/telefon-voip-telefonanlage-internet-a ...

Verstehe ich das richtig, dass eine Portweiterleitung für die SIP und RTP Ports auf die Fritten-IP ein Sicherheitsrisiko darstellt?
Wie soll man das in diesem Fall denn überhaupt anders lösen?

LG Yannosch
Bitte warten ..
Mitglied: aqui
LÖSUNG 29.03.2018, aktualisiert um 09:17 Uhr
Das was in dem Thread steht gilt für dich NICHT !
Der TO dort will von einem externen Telefon was irgendwo im Internet steht seine eigene interne VoIP Anlage erreichen.
Ohne VPN muss er dann natürlich ein Loch in die FB Firewall bohren, damit sich das Telefon an der internen PBX hinter der FB NAT Firewall registrieren kann.
Du hast ja ein komplett anderes Szenario. (Genau andersrum)
Bei dir ist die FB ja die Anlage die von sich aus eine SIP Connection auf den Provider aufmacht. Also alles genau umgedreht und deshalb musst du nix machen.
Infos zur FB Telefonie findet du hier:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
https://www.heise.de/ct/ausgabe/2015-6-Fritzbox-als-GSM-Gateway-und-VoIP ...
Bitte warten ..
Mitglied: Yannosch
29.03.2018 um 09:30 Uhr
Okay sorry, hab ich falsch interpretiert.

Ja das wird klappen ist jetzt nicht die Welt

Danke dir!
Bitte warten ..
Mitglied: aqui
29.03.2018 um 14:24 Uhr
Und du hast ordentlich Zeit über Ostern
Bitte warten ..
Mitglied: Yannosch
29.03.2018 um 20:07 Uhr
Soo ....

so Gott will brauche ich diese Zeit nichtmal.

Was mich wieder extrems verrückt macht:
Habe die Fritte als IP-Client / WLAN Mesh eingerichtet mit fixer IP - siehe hier:

fritte - Klicke auf das Bild, um es zu vergrößern

Gespeichert, Internetverbindung steht dann auch - die vorher eingerichteten Rufnummern sind alle aktiv - alles gut, NUR:

fritte2 - Klicke auf das Bild, um es zu vergrößern

Ist sie unter der angegebenen Adresse - nämlich die 192.168.1.203 nicht erreichbar. Lediglich unter der "Notfall IP 169.254.1.1" und der 192.168.1.113 ?! Warum auch immer.

Diese Sache mit der Statischen IP kann ich überhaupt nicht nachvollziehen Warum sollte AVM hier die Möglichkeit geben eine statische IP festzulegen wenn die Fritte eh eine über DHCP bekommt?

Hast du zufällig ne Idee?

LG & schonmal frohe Ostern!
Bitte warten ..
Mitglied: aqui
29.03.2018, aktualisiert um 23:04 Uhr
Du solltest mal einen etwas Standard konformen DNS Namen konfigurieren wie yannosch.home.arpa oder sowas.
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Das ist aber bezogen auf deine Frage erstmal nur Kosmetik.
Man müsste dazu wissen was AVM genau unter einem "Mesh" versteht ?! Normal ist das ein Terminus fürs WLAN um das es hier ja gar nicht geht...
Die Frage ist warum du das überhaupt aktivierst ?!
Warum nicht einfach eine statische IP auf dem LAN Interface, DHCP deaktivieren, and LAN anschliessen und gut iss. Wäre doch das Naheliegenste statt dieser Mesh Frickelei wo keiner weiss was die Box dann macht.
Bitte warten ..
Mitglied: Yannosch
29.03.2018, aktualisiert um 23:22 Uhr
Sorry ... aber da muss ich widersprechen ... die Funktion um die Fritzbox als IP Client einzurichten - sprich, den Zugang zum Internet über einen vorhandenen Router zu etablieren - ist eben genau diese Funktion. So wird es auch von AVM empfohlen ... mit deiner genannten Konstellation wurde eben keine Internetverbindung hergestellt ... das ist quasi die AP Config für die Fritte.. so kann ich leider die VoIP Nummern nicht registrieren ... da "Internet nicht vorhanden".
Bitte warten ..
Mitglied: aqui
30.03.2018, aktualisiert um 09:13 Uhr
ist eben genau diese Funktion.
Das kann nicht sein, denn das ist kein Mesh aus technsicher Sicht.
Dafür gilt DAS hier:
https://www.administrator.de/wissen/kopplung-2-routern-dsl-port-48713.ht ...
Wie bei jedem anderen stinknormalen Router auch. Nur so betreibt man einen Router als simplen WLAN Access Point. Meshing ist was anderes. Dafür benötigst du einen Dual Radio AP !
Hier mal für Total Laien erklärt: https://www.stern.de/digital/technik/mesh-wlan--die-router-revolution--7 ...
Das kann auch AVM niemals für den reinen AP Betrieb "empfehlen" wäre ja Unsinn auch technsicher Sicht. Vermutlich scheiterst du deshalb genau dan diesem Punkt ?!
Bitte warten ..
Mitglied: Yannosch
30.03.2018 um 11:23 Uhr
Die Funktion heißt IP Client / WLAN Mesh. Und dient dazu einen Internetzugang mit der Fritzbox über einen andern Router herzustellen. Wenn ich der Fritte einfach eine statische IP im internen Netz gebe und das WLAN aktiviere habe ich nur einen AP. Dann wird aber in der Übersicht der Fritte eine NICHT AKTIVE Internetverbindung gezeigt. Die Clients im WLAN können dann surfen, aber die Fritte kann nicht direkt ins Internet.

https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Bitte warten ..
Mitglied: Yannosch
30.03.2018 um 21:01 Uhr
Noch ne andere Sache ... Wie funktioniert das eigentlich mit dem Fax dann?

Habe ein Faxgerät auf der Fritte eingerichtet mit einer verfügbaren registrierten Nummer für die Schnittstelle FON01.

Wenn ich allerdings jetzt dort anrufe bekomme ich gar nicht den bekannten Faxton...

Sollte ich da noch etwas spezielles beachten? Ich muss zugeben mit Faxen im zusammenhang mit Voip kenne ich mich nicht aus. Ich weiß nur dass es wohl eine sehr diffizile Angelegenheit sein soll.
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL

DeutschlandLAN Connect IP vs DeutschlandLAN IP Voice-Data Fiber

gelöst Frage von SkyemugenDSL, VDSL19 Kommentare

Aloha zusammen, mein AG steht momentan vor der Möglichkeit über vorh. aber bisher von der DTAG nicht genutztes Glasfaser ...

Router & Routing

Fritzbox 7490 VPN IP Range anpassen

gelöst Frage von hannsgmaulwurfRouter & Routing4 Kommentare

Hallo zusammen, ich habe mal wieder ein kleines Problem und bin auf eure Antworten gespannt. Gegeben: - Fritzbox 7490 ...

Flatrates

DeutschlandLAN der Telekom - welche internen IPs?

Frage von qualidatFlatrates19 Kommentare

Ein Kunde von mir hat sich DetschlandLan der Telekom hinstellen lassen und möchte nun, dass ich das in seinen ...

Windows Server

Telekom-Hybrid + FritzBox 7490 + Kerio Mailserver und Teamviewer Problem

Frage von JULIUSCCWindows Server2 Kommentare

Hallo! Ich habe momentan ein Problem mit meinem Netzwerk. Wir haben einen Windows Server 2012 R2 mit Domäne/DNS/DHCP diese ...

Neue Wissensbeiträge
Microsoft
The Premier Field Engineering Blog is MOVING!
Information von Dani vor 6 StundenMicrosoft

Hello to all of our AWESOME readers that have helped us build the Premier Field Engineering TechCommunity blog up ...

Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 1 TagSicherheit3 Kommentare

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 3 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 5 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Heiß diskutierte Inhalte
Windows Server
Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich
Frage von it-froschWindows Server21 Kommentare

Hallo Kollegen, Windows Server 2012 Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden. Die ...

Festplatten, SSD, Raid
Backup einer an die FRITZBox angeschlossenen Festplatte
Frage von DJ-KeyFestplatten, SSD, Raid19 Kommentare

Habe eine Frstplatte, die mehrere Partitionen beherbergt. Die Festplatte die an der FRITZ!Box als NAS dient ist schon älter ...

Exchange Server
Exchange CAL Lizenzen?
gelöst Frage von KleinProfiExchange Server16 Kommentare

Hallo Jungs, wir sind in der Firma 10 Mann, haben aber auf dem Exchange 15 Postfächer bzw. 15 User ...

Mac OS X
Komische Namen und Dateiendungen
gelöst Frage von Michael71Mac OS X14 Kommentare

Moin zusammen, wir haben in unserer Firma nur Mac Rechner und Speichern unsere Daten in einer Senology Nas worauf ...