gelöst ALL-IP Anschluss Telekom VoiP MikroTik mit VLAN Konfiguration

Mitglied: rogatec

rogatec (Level 1) - Jetzt verbinden

11.05.2017 um 21:39 Uhr, 4185 Aufrufe, 11 Kommentare

Hallo zusammen,

ich bin momentan etwas ratlos meine 2 Telefone zum Laufen zu bekommen.

Mein MikroTik Routerboard verbindet sich via PPPoE an eth1 zu meinem FTTH Anschluss der Telekom.

Via sfp1 habe ich meinen Netgear Switch angeschlossen.

Aktuell ist an g11 des Switches meine Dect Basisstation (Gigaset C430A GO) angeschlossen und in VLAN10 konfiguriert. (IP 10.0.1.12 via DHCP)

Die internen Netzwerkgeräte (z.B. Laptop) kommen auf die Basisstation und ich konnte dort auch erfolgreich meine Rufnummern mit der Telekom verbinden.

Am MikroTik habe ich die Service Ports (unter IP->Firewall) für sip deaktiviert (wobei egal ob aktiviert - geht dennoch nicht).

Nun habe ich eigentlich "nur" das Problem, dass weder ich den Anrufer höre, noch der Anrufer mich.

Eingehende Anrufe kommen an den Telefonen an und ich kann auch nach außen telefonieren (z.B. Handy).

Für die Sprachübergabe ist wohl das RTP Protokoll zuständig, nur habe ich mit Firewall Regeln keinen Erfolg gehabt.

Folgende Mangles habe ich eingerichtet:

Im Log File erhalte ich beim Anrufen folgenden Eintrag:
In der Dect Station ist der SIP Port 5060, RTP auf 5004 - 5020 eingestellt. STUN Server ist bei den Telefonie Einstellungen aktiv mit stun.t-online.de Port 3478

Ich bin ehrlich gesagt etwas ratlos - ist das Problem evtl. dass ich die Basistation nicht direkt am Router eingestöpselt habe, sondern über den Switch mit VLAN tagging gehe?

Vielen Dank für mögliche Hinweise zur Lösung
Mitglied: 132895
LÖSUNG 12.05.2017, aktualisiert um 08:36 Uhr
Heyho.
Also,
erstens sind Mangle-Rules hier absolut fehl am Platz. Zweitens benötigst du auf deiner Firewall nur eine Established,Related Regel für FORWARD und INPUT und die SIP-Leitung 5060TCP mit DSTNAT auf die DECT Station.
Der Sinn und Zweck von STUN ist es ja gerade das du auf der Firewall keine explizite Freigabe der RTP (UDP) Pakete benötigst, denn das erledigt das STUN indem es mit ausgehenden Paketen diese benötigten Ports quasi von innen her öffnet, woraufhin die RELATED,ESTABLISHED Regel anspringt und die Pakete auf diesen Ports reinlässt.
Drittens die IP für die DECT ist per DHCP zugewiesen? Dann stelle bitte sicher das du eine MAC-Reservation für die DECT eingerichtet hast sonst würde die Portweiterleitung irgendwann ins Leere laufen.

Das VLAN hat hier damit nichts zu tun.

Aber eine exportierte Mikrotik Config ist hier wie immer sehr willkommen.

Gruß
Bitte warten ..
Mitglied: rogatec
12.05.2017 um 14:41 Uhr
Hallo und danke für deinen hilfreichen Input.

Der Einfachheit habe ich nun ein VLAN50 angelegt, in dem nur die DECT Station ist mit der IP 10.0.5.2

Anhand Deiner Ausführung habe ich das nun so angelegt

Das hat auch für genau einen Anruf sogar funktioniert - danach aber wieder das Problem, dass kein Ton übertragen wird.

Anbei ein /export der MikroTik config

Bitte warten ..
Mitglied: 132895
LÖSUNG 12.05.2017, aktualisiert um 14:50 Uhr
Die Regeln sind nicht richtig.

Sie sollten eher algemeiner so lauten denn sie müssen ja auch für die RTP(UDP) Packets gelten!:
Denn das dstnat und die Ports schränken diese zu sehr ein.
Bitte warten ..
Mitglied: rogatec
12.05.2017 um 15:07 Uhr
so erhalte ich kein Freizeichen mehr wenn ich anrufe - und Ton wird beim Gespräch weiterhin nicht übertragen.
Bitte warten ..
Mitglied: 132895
12.05.2017, aktualisiert um 15:38 Uhr
Tja, kein Wunder denn in deiner obigen Config fehlt die eingehende DSTNAT Regel für 5060-5061, die Related regeln sind immer separat zu betrachten (Stichwort: Statefull Firewall und müssen ganz oben stehen, First Match Wins!), du hast anscheinend keine Plan was die Regeln bedeuten oder??
Habe das hier ja am laufen, sonst würde ich das hier nicht erzählen

Viel Erfolg und schönes WE.
Bitte warten ..
Mitglied: rogatec
12.05.2017 um 17:25 Uhr
Ich vermute ganz stark: nicht so viel Plan wie Du, wenn es bei dir läuft ;)

So verstehe ich das:
input-chain = Pakete die von meinem eth1 (WAN) an den Router gesendet wurden mit einer Ziel-IP in meinem Router Netzwerk
forward-chain = Pakete, die innerhalb meines Routers verarbeitet werden

Diese Regel besagt doch, dass alle Pakete (innerhalb des Routers) akzeptiert werden, die bereits "positiv" von der Firewall geprüft wurden (Ziel-Adresse + Port gefunden)?

Du schreibst mir fehlt die Eingehende DSTNAT Regel. Das interpretiere ich so:
Damit brauch ich aber auch eine NAT Regel, die mir die übergebenen Daten an meine DECT Station weiterleitet.
Da es noch nicht funktioniert, nehme ich an, dass ich hier weiterhin aufm Schlauch stehe, oder noch was vergessen habe ;-(
Bitte warten ..
Mitglied: 132895
LÖSUNG 12.05.2017, aktualisiert um 21:11 Uhr
Zitat von rogatec:
So verstehe ich das:
input-chain = Pakete die von meinem eth1 (WAN) an den Router gesendet wurden mit einer Ziel-IP in meinem Router Netzwerk
Nein INPUT sind Pakete die direkt an den Router selbst gerichtet sind.

forward-chain = Pakete, die innerhalb meines Routers verarbeitet werden
Nein. In der FORWARD Chain passieren Pakete die durchgeleitet werden. Egal ob von intern nach extern oder von VLANx zu VLANy.

Diese Regel besagt doch, dass alle Pakete (innerhalb des Routers) akzeptiert werden, die bereits "positiv" von der Firewall geprüft wurden (Ziel-Adresse + Port gefunden)?
Erneut Stichwort Statefull Firewall
Der Router führt eine Connection-State Tabelle in der er alle Verbindungen von Hosts mit Quelladresse/Port und Zieladresse/Port aufführt. Sobald ein Host eine Verbindung mit einem anderen Host erfolgreich herstellt ist die Verbindung in beide Richtungen freigegeben. Die Einträge haben ein Timeout bei Leerlauf.

Du schreibst mir fehlt die Eingehende DSTNAT Regel. Das interpretiere ich so:
Die ist unnötig da durch den DST-NAT Prozess die Zieladresse schon im PREROUTING umgeschrieben wird, s.u.
Damit brauch ich aber auch eine NAT Regel, die mir die übergebenen Daten an meine DECT Station weiterleitet.
Richtig , (aber die Adresse wo der Traffic aufläuft hast du darin vergessen, s. https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Forward_all_traffi ... denn du willst ja nur vom WAN NATen)denn der NAT-Prozess wird im PREROUTING durchgeführt und bekommt dort die neue Ziel-Adresse der DECT Station, von dort aus kommt er direkt in die FORWARD-Chain weil die Zieladresse ja nicht mehr die des Routers ist! Deswegen ist es wichtig wenn du die FORWARD-Chain am Ende mit einer generellen BLOCK-Rule blockst du ebenfalls noch eine explizite Regel für die FORWARD Chain benötigst die Traffic an die DECT zulässt.

Da es noch nicht funktioniert, nehme ich an, dass ich hier weiterhin aufm Schlauch stehe, oder noch was vergessen habe ;-(

Am besten du schaust dir mal die Grafik für den Packetflow des Mikrotik an, die ist bei den meisten Firewalls sehr ähnlich, diese ist essentiell zum verstehen der Firewall-Regeln.
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Bitte warten ..
Mitglied: rogatec
13.05.2017 um 01:40 Uhr
So als gute Nacht-Nachricht:

Ich habe nun meinem eth1-Port eine statische IP gegeben, analog wie beim MikroTik Wiki
Da hatte ich vorhin statt dem eth1 das "Telekom"-Interface drin (PPPoE)

In den Firewall Regeln in folgender Reihenfolge:
Die NAT Regeln:
So funktioniert es, zumindest mit mehreren Anrufversuchen in unterschiedliche Richtungen.

Verständnisfrage: Warum ist hier die letzte drop Regel zwingend? Ich hatte die testweise deaktiviert - dann erhalte ich aber wieder keinen Ton.
Jene Drop-Regel wird auch relativ schnell größer (2MB nach ca. 5min) - ich vermute aber mal, da mein ganzes Netzwerk ins Internet kommt und ich bisher auch keine Fehlermeldungen erhalten habe, dass dies zumindest nichts schlechtes bedeutet.

Bis hierhin schonmal danke schön
Bitte warten ..
Mitglied: 132895
LÖSUNG 13.05.2017, aktualisiert um 08:29 Uhr
Dir fehlt die Forward-Related Regel noch. Aber mit den Regeln kommen die Clients nicht mehr ins Internet falls du den DNS-Proxy des Mikrotik verwendest dann bräuchtest du noch Port 53UDP/TCP im Input.
Denke immer daran beim Mikrotik musst du selbst an alles denken .

Verständnisfrage: Warum ist hier die letzte drop Regel zwingend?
Nun, weil der Mikrotik per Default alles rein lässt also die Default-Regel im Gegensatz zu anderen Firewalls ACCEPT ist. Lässt du die Regel weg hast du quasi einen offenen Router der mit dem nackten Arsch im Internet hängt und bei dem er jedes Paket aus dem Internet akzeptiert!
So also z.B. jeder Depp per SSH oder Webinterface auf deinen Router kommt. Da ist es nur eine Frage der Zeit bis Zombies deinen Router übernehmen! Deswegen siehst du dort auch den Zähler sehr schnell ansteigen, das ist das Hintergrundrauschen des Web's, und alles was an den Router gerichtet war und verworfen wurde.

Bis hierhin schonmal danke schön
Immer gerne.

Schönes WE
Bitte warten ..
Mitglied: rogatec
13.05.2017 um 11:09 Uhr
Dir fehlt die Forward-Related Regel noch. Aber mit den Regeln kommen die Clients nicht mehr ins Internet falls du den DNS-Proxy des Mikrotik verwendest dann bräuchtest du noch Port 53UDP/TCP im Input.
Denke immer daran beim Mikrotik musst du selbst an alles denken .

Also bisher nutze ich "use peer DNS" bei meinem PPPoE Interface, dann werden unter /ip dns die DNS Server vom Telekom Verteiler(?) automatisch als "Dynamic Servers" angezeigt.

Die input-chain mit udp & Port 53 habe ich auch mal angelegt - die Filter sehen dann folgendermaßen aus
Wenn ich den MikroTik als DNS Server verwenden will, habe ich mir die Anleitung vom Wiki angeschaut
DNS Proxy (Cache) Setup
Mich irritiert hier nur das Beispiel, dass hier ein DNS Server angelegt wird mit der mikrotik.com IP - sollte der Server nicht eine von mir ausgewählte Adresse sein?
Die DNS Servers die ich angebe, sollten dann doch normalerweise in meinem DHCP Server Network Setup auch für meine VLAN-Adressen als DNS Servers hinterlegt werden?

Ich vermute, dass mir trotz der input-chain von Port 53 noch eine Regel fehlt, denn so schliesse ich alle Geräte hinterm Netzwerk aus



Schönes WE
Ebenfalls!
Bitte warten ..
Mitglied: 132895
LÖSUNG 13.05.2017, aktualisiert um 12:09 Uhr
Zitat von rogatec:
Also bisher nutze ich "use peer DNS" bei meinem PPPoE Interface, dann werden unter /ip dns die DNS Server vom Telekom Verteiler(?) automatisch als "Dynamic Servers" angezeigt.
Schon klar aber das meinte ich nicht, deine Clients müssen ja einen DNS-Server zugewiesen bekommen. D.h. du aktivierst den DNS-Proxy am Mikrotik und gibst in den DHCP-Server-Settings die jeweilige IP des Mikrotik in dem jeweiligen Subnetz an!
Die input-chain mit udp & Port 53 habe ich auch mal angelegt - die Filter sehen dann folgendermaßen aus

2 ;;; lan -> dns
chain=input action=accept protocol=udp in-interface=Telekom dst-port=53 log=no log-prefix=""

Die Regel ist natürlich Blödsinn denn deine Clients sollen den Mikrotik fragen nicht die Telekom deinen Mikrotik .

Wenn ich den MikroTik als DNS Server verwenden will, habe ich mir die Anleitung vom Wiki angeschaut
DNS Proxy (Cache) Setup
Mich irritiert hier nur das Beispiel, dass hier ein DNS Server angelegt wird mit der mikrotik.com IP - sollte der Server nicht eine von mir ausgewählte Adresse sein?
Die DNS Servers die ich angebe, sollten dann doch normalerweise in meinem DHCP Server Network Setup auch für meine VLAN-Adressen als DNS Servers hinterlegt werden?
Du brauchst nur unter /ip dns "Allow Remote Requests" anticken. Als Forwarder Adressen bekommt der MK die DNS-Server der Telekom.

Ich vermute, dass mir trotz der input-chain von Port 53 noch eine Regel fehlt, denn so schliesse ich alle Geräte hinterm Netzwerk aus
s.o. deine Regel ist falsch, die Regeln sollte so aussehen
Statt den Interfaces kannst du auch mit Adresslisten arbeiten und nur alle internen Subnetze freischalten.
DNS ist aber immer UDP und TCP.
Netzwerkgrundlagen ...
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Ähnliche Inhalte
DSL, VDSL

Lancom Router mit All-IP VDSL Telekom Anschluss einrichten

gelöst oceFrageDSL, VDSL4 Kommentare

Hallo zusammen, gibts irgendwo eine schöne Anleitung wie man einen 1783VA mit Telekom DeutschlandLAN richtig konfiguriert? Habe zwar mit ...

DSL, VDSL

Zwangsumstellugen auf All-IP der Telekom

LochkartenstanzerInformationDSL, VDSL52 Kommentare

Hallo Kollegen, ich war heute bei einem Kunden, der Kündigungsandrohungen von der Telekom bekommen hat. Ich habe daraufhin mal ...

Router & Routing

Zugangsdaten Router bei All-Ip Anschluss

gelöst FirewireFrageRouter & Routing8 Kommentare

Hallo zusammen, ich habe folg. Problem: Kunde hatte bisher "normalen DSL-Business-Anschluss" mit fester IP-Adresse. Die Zugangsdaten im Router hatten ...

Virtualisierung

Telekom All-IP Faxlösung i.V.m. Virtualisierung

beck2oldschoolFrageVirtualisierung9 Kommentare

Hallo zusammen, wir haben eine VMWare Umgebung und einen Telekom ISDN Business Vertrag. Bisher gibt es einen Lancom ISDN ...

Voice over IP

Lancom - SIP Leitunge n - All IP Telekom

ZZaaiiggaaFrageVoice over IP3 Kommentare

Hallo zusammen, ich habe einen Lancom r883vaw, ich habe mit dem Assistenten Rufnummern über SIP zur Telekom eingerichtet. Nun ...

ISDN & Analoganschlüsse

Telekom: alter analoger Anschluss und Umstellung auf VoIP

108857FrageISDN & Analoganschlüsse16 Kommentare

Hallo zusammen, ich habe mal eine Frage für Kunden, die NUR einen analogen Telefonanschluss bei der Telekom haben und ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT