xaero1982
Goto Top

VoIP Traffic vom Softphone trennen

Nabend Zusammen,

interessante Frage wie ich finde.

VoIP vom LAN trennen - kein Ding - zweites VLAN und Telefone rein und gut.

Aber was ist mit Softphones die auf dem Rechner laufen? Zweite LAN Karte kommt nicht in Betracht, weil es nur Notebooks sind und diese auch unterwegs genutzt werden.

Noch Ideen?

Grüße

Content-Key: 554584

Url: https://administrator.de/contentid/554584

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 06.03.2020 um 08:16:11 Uhr
Goto Top
Mitglied: NordicMike
NordicMike 06.03.2020 um 09:16:54 Uhr
Goto Top
Wie könnte das Notebook bei VLAN den Traffic zwischen IP Telefonie und dem restlichen Traffic unterscheiden? Zwei VLAN`s mit unterschiedlichen Subnetzen?

Vermutlich hängt das Notebook noch über WLAN am Accesspoint, wenn es ein aktuelles Modell ohne Ethernet ist.
Mitglied: aqui
aqui 06.03.2020 um 09:51:44 Uhr
Goto Top
Bei WLAN wirds dann in der Tat schwierig. Kupfer würde gehen mit einer VLAN Konfig am Notebook wo man das Voice VLAN Tagged ausgibt.
(Was man ja so oder so sehr oft wegen der 802.1p Priorisierung des Voice Traffics macht die einen Tag erzwingt !)
Mitglied: canlot
canlot 06.03.2020 um 12:59:43 Uhr
Goto Top
Ich würde QoS im Windows aktivieren, warum sollte man VoIP trennen wollen?
Mitglied: Xaero1982
Xaero1982 06.03.2020 um 13:08:35 Uhr
Goto Top
Die Vorgabe kommt von der ISO 27001 bzw. möchte der Auditor das so.
Die Notebooks sind alle über eine Dockingstation angebunden und dort über ein LAN Kabel, aber leider werden die Dinger auch unterwegs, zu Hause, beim Kunden genutzt und dort auch VoIP.

Ich sehe da eine strickte Trennung äußerst schwierig bis unmöglich.

Gleiches gilt übrigens für die Drucker...
Mitglied: aqui
Lösung aqui 06.03.2020 um 14:56:00 Uhr
Goto Top
Die Vorgabe kommt von der ISO 27001 bzw. möchte der Auditor das so.
Womit er auch absolut Recht hat !
warum sollte man VoIP trennen wollen?
Voice Daten gehören in einer Firma schon aus rein rechtlichen Gründen vom Produktivtraffic getrennt. Ferner ist eine QoS Steuerung sei es im Layer 2 oder Layer 3 in einem separaten VLAN erheblich einfacher als im Mischmasch mit Produktivdaten ! Sind aber alles banale Binsenweisheiten für einen Netzwerker.
Ich sehe da eine strickte Trennung äußerst schwierig bis unmöglich.
Nein, das Schluß wäre ja Unsinn. Steht oben ja bereits !
Wie oben bereits gesagt aktivierst du das Tagging im Notebook Netzwerk Adapter und setzt dem Notebook eine eigene Adapter IP im Voice VLAN.
Folglich geht aller Voice Traffic dann Tagged zum Switch ins Voice VLAN.
Normaler non Voice Traffic ist untagged.
Im Kupfer Bereich mit einer Docking Station ist das also mit 3 simplen Mausklicks erledigt. Was bitte ist daran "äußerst schwierig bis unmöglich." ?? Eigentlich Unsinn.
Bei WLAN wird es so allerdings nicht klappen.
Gleiches gilt übrigens für die Drucker...
Na ja da wäre eine solche Trennung auch wieder Unsinn. Wozu sollte das gut sein ?
Die Drucker segmentiert man über ein separates VLAN im Netz in dem alle Drucker und Scannerdienste liegen und routet sie stinknormal über den Layer 3 Core Switch.
Optional mit einer Access Liste wenn das Sicherheits relevant sein sollte worauf der Auditor vermutlich abzielt.
Mitglied: Xaero1982
Xaero1982 06.03.2020 um 17:32:37 Uhr
Goto Top
Das mit äußerst schwierig bis unmöglich war auf das WLAN bezogen face-smile zumal ja die Infrastruktur bei den anderen nicht gegeben ist.

Funktioniert dann eben aber auch nur vor Ort und sonst nirgends. Was passiert, wenn er das Notebook mit Kabel z.b. zu Hause anklemmt?

Mit den Druckern meinte ich nur, dass die auch separiert werden sollen face-smile
Mitglied: aqui
Lösung aqui 07.03.2020 um 09:06:06 Uhr
Goto Top
Das mit äußerst schwierig bis unmöglich war auf das WLAN bezogen
Ahhhsooo, ja da hast du Recht. Da müsste man was frickeln mit Policy Based Routing usw. aber ob das den Aufwand lohnt ist natürlich fraglich.
Voice over WLAN ist so oder so sehr kritisch. Hat der Auditor vermutlich zu Recht angemahnt, denn das ist mit einem Wireshark auch für Laien mit einem einfachen Mausklick abhörbar.
Das ist dann aber nicht mehr technisch sondern wird dann politisch.
Was passiert, wenn er das Notebook mit Kabel z.b. zu Hause anklemmt?
Solltest du als Nertzwerker eigentlich wissen... face-wink
Das Primäre Netz also die IP auf der physischen NIC wird immer untagged gesendet. Folglich kann er auch zu Hause problemlos weiterarbeiten.
Mit den Druckern meinte ich nur, dass die auch separiert werden sollen
Ist ja auch ein richtiger Schritt aber das macht man dann in ein VLAN und routet das klassisch über den Switch Core.
Mitglied: Xaero1982
Xaero1982 08.10.2020 um 13:16:42 Uhr
Goto Top
Hi @aqui,

ich muss das Thema nochmal aufgreifen, weil ich mich gerade nochmal damit befassen muss.

Ich habe an meinem Testnotebook eine externe Dockingstation mit Relatec Chip. Habe über das RealtecTool zwei VLANs angelegt. VLAN 10 (Daten) und VLAN 11 (Voice).

QoS kann ich nicht in den virtuellen Geräten auswählen.

Mir ist nicht ganz klar woher das Notebook wissen soll wo welcher Traffic hin soll? Nur weil ich dem Adapter aus VLAN 11 eine IP aus dem Voice-VLAN gebe, ist doch nicht klar, dass hier Voicetraffic landen soll?
Was muss ich denn am Switch konfigurieren, dass hier nur Voicetraffic drüber läuft?

Grüße
Mitglied: Xaero1982
Xaero1982 08.10.2020 um 13:44:06 Uhr
Goto Top
Ich kann an dem Softphone nicht angeben welche Schnittstelle es benutzen soll.
Mitglied: aqui
aqui 08.10.2020 um 14:34:05 Uhr
Goto Top
Mir ist nicht ganz klar woher das Notebook wissen soll wo welcher Traffic hin soll?
Das weiss das Notebook immer über die Ziel IP Adressen. Wie denn auch sonst ??
Nur ein Interface kann unter Winblows ein Default Gateway haben. Wenn du also dein VoIP VLAN auf 11 legst und ihm dort die IP Adresse 172.16.11.100 /24 vergibst dann kann es alle VoIP Endgeräte inkl. des VoIP Controllers immer direkt im VLAN 11 nutzen und nimmt auch das Interface dafür.
Wenn aber das Default Gateway über sein natives VLAN geht dann geht sämtlicher Traffic darüber. VoIP seitig können also nur immer Endgeräte direkt im Voice VLAN erreicht werden. Alles andere was extern geht, geht immer über das Interface wo das default Gateway drauf liegt.
Eigentlich doch ganz einfach... face-wink
Mitglied: Xaero1982
Xaero1982 08.10.2020 um 15:34:21 Uhr
Goto Top
Klingt erstmal logisch.

D.h.
ETH0 - VLAN 10 - Normales Datennetz
IP: 172.20.10.99/24
GW: 172.20.10.254

ETH1 - VLAN 11 - Voice
IP: 172.20.11.99/24
GW: Keins

Ziel für die TK Anlage des Softphones ist aber eine WAN-Adresse?
D.h. ich müsste am Switch sagen, dass Traffic aus dem VLAN 11 immer an dieses Ziel geht?

===
Gibt es da nicht einfachere Wege über den Switch die Pakete entsprechend einzutüten als VoIP Packet?
Es wäre ein immenser Aufwand bei jedem Gerät die virtuellen Adapter anzulegen.

Grüße
Mitglied: aqui
aqui 08.10.2020 aktualisiert um 15:43:54 Uhr
Goto Top
Klingt erstmal logisch.
Ist es auch. face-wink
Ziel für die TK Anlage des Softphones ist aber eine WAN-Adresse?
Keinen Chance ! Dann geht logischerweise jeglicher Traffic an diese WAN Adresse über die NIC mit dem Gateway raus (eth0).
eth1 kann nur lediglich Endgeräte bedienen die im 172.20.11.0 /24er Netz liegen.
D.h. ich müsste am Switch sagen, dass Traffic aus dem VLAN 11 immer an dieses Ziel geht?
Mmmhh das ist jetzt etwas wirr und unverständlich.
Traffic in die große weite Welt und ins 172.20.10.0 /24er Netz geht immer und ausschliesslich über eth0 !
Nur wenn du Zieladressen im 172.20.11.0 /24er Netz (und nur die) ansprichst geht das über eth1.
So einfach ist die Logik.
Gibt es da nicht einfachere Wege über den Switch die Pakete entsprechend einzutüten als VoIP Packet?
Das geht dann nur über Policy based Routing (PBR) dort kannst du Gateways manipulieren je nach IP Adresse oder Applikations Port. Aber auch nur wenn du einen Layer 3 Switch hast und der auch PBR kann.
Hier kannst du mal ein Beispiel dazu sehen:
Cisco Router 2 Gateways für verschiedene Clients
Mitglied: Xaero1982
Xaero1982 08.10.2020 um 15:55:18 Uhr
Goto Top
Gut, dann fällt das raus mit den virtuellen Schnittstellen, weil die Anlage wird immer über die WAN Adresse angesprochen, da die auch von außerhalb benutzt wird - da kann natürlich keine Voicetrennung erfolgen, aber dennoch muss es funktionieren.

Die Switche sind gerade noch nicht klar. Die werden noch angeschafft. Ich tendiere wie immer zu Cisco SG (reicht hier denke ich), aber selbst die sind nicht günstig. Ggf. noch die größeren Netgear, wobei der Preisunterschied da auch nicht mehr so immens ausfällt.

Danke dir.
Mitglied: aqui
aqui 08.10.2020 um 15:59:12 Uhr
Goto Top
Ich tendiere wie immer zu Cisco SG (reicht hier denke ich),
Ist eine gute Wahl. PBR können aber nicht alle L3 Modelle. Solltest du im Datenblatt checken.
Wenn du günstig willst dann beschaffst du Mikrotik Switches der CRS Serie. Die haben das gesamte L3 Programm an Bord auf quasi Cisco Catalyst Niveau. face-wink
Mitglied: Xaero1982
Xaero1982 08.10.2020 um 16:07:48 Uhr
Goto Top
Danke dir, schau ich mir an.

Aber mit den PBR will mir nicht in den Kopf. Ich versuche das gerade mal zu Hause auf meinem SG350 nachzustellen. Hab dahinter aber nur eine Fritzbox hängen und das Ziel meines Softphones ist ebenfalls eine WAN Adresse.

Es gibt also nur einen Router - anders als in deinem Beispiellink. Auch später wird es nur einen Router geben (eine Sophos)
Mitglied: aqui
aqui 08.10.2020 aktualisiert um 17:18:55 Uhr
Goto Top
ch versuche das gerade mal zu Hause auf meinem SG350 nachzustellen.
Der supportet m.W. kein PBR.
PBR greift auch nur auf dem Router nicht auf dem Client !! Vergiss das nicht. Du hast ja schon das Problem das du auf dem Client ja schon Voice bezogenen Traffic über das Voice Interface in die große weite Welt senden willst. Das scheitert ja schon primär auf dem Client.
Bei Winblows ist das technisch vollkommen unmöglich das zu machen. Bei Linux wäre es nur mit einigen Klimmzügen möglich.
Dein Grundproblem ist ja schon das durch das Gateway am anderen NIC Port Voice Traffic immer nur auf dem "falschen" Interface rauskommt.
Das kannst du dann logischewrweise auf einem L3 Switch nicht mehr "umbiegen" wie sollte das dann bei einem singulären Internet Router auch technischen gehen.... Ist so ein bischen "von hinten durch die Brust ins Auge..." und geht so natürlich nicht.
Mitglied: Xaero1982
Xaero1982 08.10.2020 um 17:23:59 Uhr
Goto Top
Doch doch tut er schon.

Dh. das Vorhaben: Voicetraffic eines Softphones auf einer Windows-Büchse, bei dem die TK Anlage übers WAN erreichbar ist und eben nicht (nur) über das interne LAN, von dem restlichen Traffic zu trennen ist nicht möglich?

Oder gibt es einen Weg das zu trennen?
Mitglied: Xaero1982
Xaero1982 08.10.2020 um 17:53:21 Uhr
Goto Top
Was ist denn mit LLDP MED Network Policy? Kann man das darüber nicht in das entsprechende VLAN drücken?
Mitglied: Xaero1982
Xaero1982 08.10.2020 um 20:55:08 Uhr
Goto Top
Korrektur: Intern wird doch die interne IP der TK Anlage angesprochen.
Dh man müsste dennoch auf jedem Gerät dieses lustige Gebilde erschaffen mit den virtuellen Adaptern. Mega Aufwand.

Im Homeoffice ohne VPN würde dann die WAN Adresse genommen werden, was aber dann ja im grunde "unproblematisch" ist.

Habe bisher auch keinen Weg gefunden dem Paket vom Softphone ein DSCP Wert 46 zuzuweisen über eine QoS Richtlinie. Bleibt immer 0.