13
Cisco IP Phone über OpenVPN verbinden
Hallo,
ich habe gegenwärtig einen Standort (Office) mit dem Netz 192.168.2.0/24. Pfsense mit OpenVPN-Server läuft auf 192.168.2.1. Der VPN-Tunnel ist auf 10.0.7.0/24.
Auf dem zweiten Standort (Home) 192.168.3.0/24 ist eine weitere pfsense mit OpenVPN-Client auf 192.168.3.1. Nun soll sich ein Cisco 7945 auf Home mit 192.168.3.50 über den VPN-Tunnel auf Office zunächst am TFTP 192.168.2.11 die Konfiguration holen und sich danach auf der FritzBox 7369 auf Home IP 192.168.2.2 anmelden.
Welche Einstellung muß ich am Telefon vornehmen? Welche Routen muß ich in dem OpenVPN setzen, damit das Telefon von dem Netz 192.168.3.0/24 auf das 192.168.2.0/24 zugreifen kann?
Vielen Dank!
ich habe gegenwärtig einen Standort (Office) mit dem Netz 192.168.2.0/24. Pfsense mit OpenVPN-Server läuft auf 192.168.2.1. Der VPN-Tunnel ist auf 10.0.7.0/24.
Auf dem zweiten Standort (Home) 192.168.3.0/24 ist eine weitere pfsense mit OpenVPN-Client auf 192.168.3.1. Nun soll sich ein Cisco 7945 auf Home mit 192.168.3.50 über den VPN-Tunnel auf Office zunächst am TFTP 192.168.2.11 die Konfiguration holen und sich danach auf der FritzBox 7369 auf Home IP 192.168.2.2 anmelden.
Welche Einstellung muß ich am Telefon vornehmen? Welche Routen muß ich in dem OpenVPN setzen, damit das Telefon von dem Netz 192.168.3.0/24 auf das 192.168.2.0/24 zugreifen kann?
Vielen Dank!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1208536272
Url: https://administrator.de/forum/cisco-ip-phone-ueber-openvpn-verbinden-1208536272.html
Ausgedruckt am: 08.04.2025 um 18:04 Uhr
13 Kommentare
Neuester Kommentar
Das wird so nicht gehen. Du musst zuerst das Telefon lokal einrichten und die SEP Konfig Datei erst lokal auf das Telefon per TFTP bringen.
Dann erst kannst du das Telefon an seinen endgültigen Standort bringen wo es dann problemlos über das VPN laufen wird.
Der Grund ist das das Telefon nach einem Reset einen TFTP Boot Request per Broadcast aussendet um den TFTP Server zu finden.
Da dein VPN Umfeld ja ein geroutetes IP Netz ist und Broadcasts bekanntlich Prinzip bedingt nicht über Router Grenzen übertragen werden, kann es die TFTP Konfig von remote nicht laden.
Wird sie aber vorher auf das Telefon übertragen nutzt das Telefon immer diese zuletzt geladene Konfig Datei auch ganz ohne TFTP Server. Der TFTP Server ist nur einmalig zum Betanken der Konfig nötig. Später beim Normalbetrieb benötigt das Telefon keinen TFTP Server mehr.
Routen must du keine setzen. Ist auch Unsinn, denn du hast ja jetzt schon eine sauber bestehende Routing Connectivity zwischen beiden Netzen über das VPN. Das Telefon ist ja dadrin auch nichts anderes als ein stinknormales Endgerät, kann also wie alle anderen Endgeräte auch beide netze problemlos nutzen.
Wie gesagt ist das aber kein Problem. Telefon zuerst lokal mit der Konfig betanken und dann in das Zielnetz bringen.
Von da kann es dann problemlos den SIP Server erreichen und funktioniert dann ohne Probleme. Wenn du das so machst wird das klappen.
Konfig usw. erklärt dir das hiesige Tutorial im Detail.
Dann erst kannst du das Telefon an seinen endgültigen Standort bringen wo es dann problemlos über das VPN laufen wird.
Der Grund ist das das Telefon nach einem Reset einen TFTP Boot Request per Broadcast aussendet um den TFTP Server zu finden.
Da dein VPN Umfeld ja ein geroutetes IP Netz ist und Broadcasts bekanntlich Prinzip bedingt nicht über Router Grenzen übertragen werden, kann es die TFTP Konfig von remote nicht laden.
Wird sie aber vorher auf das Telefon übertragen nutzt das Telefon immer diese zuletzt geladene Konfig Datei auch ganz ohne TFTP Server. Der TFTP Server ist nur einmalig zum Betanken der Konfig nötig. Später beim Normalbetrieb benötigt das Telefon keinen TFTP Server mehr.
Routen must du keine setzen. Ist auch Unsinn, denn du hast ja jetzt schon eine sauber bestehende Routing Connectivity zwischen beiden Netzen über das VPN. Das Telefon ist ja dadrin auch nichts anderes als ein stinknormales Endgerät, kann also wie alle anderen Endgeräte auch beide netze problemlos nutzen.
Wie gesagt ist das aber kein Problem. Telefon zuerst lokal mit der Konfig betanken und dann in das Zielnetz bringen.
Von da kann es dann problemlos den SIP Server erreichen und funktioniert dann ohne Probleme. Wenn du das so machst wird das klappen.
Konfig usw. erklärt dir das hiesige Tutorial im Detail.
@aqui
Wie immer
herzlichen Dank für Deine schnelle Antwort!
Da ich jetzt schon am Standort Home bin (welches das Netz 192.168.3.0/24 hat): das bis zuletzt am Standort Office angeschlossene und am dortigen Netz 192.268.2.0/24 betankte und konfigurierte Telefon muß also nicht mehr geändert werden, wird am neuen Standort angeschlossen und kann sich mit seiner IP 192.168.3.50 mit dem über VPN angeschlossenen Office verbinden?
Ich frage deshalb, weil ich nach Einrichtung des VPN-Tunnels von Home mit ping 192.168.2.1 keine Antwort von der pfsense an Office bekommen habe. Daher dachte ich, daß ich noch einen Wurm in der VPN-Konfiguration habe bzw. Routen setzen müßte.
Wie immer
herzlichen Dank für Deine schnelle Antwort!Da ich jetzt schon am Standort Home bin (welches das Netz 192.168.3.0/24 hat): das bis zuletzt am Standort Office angeschlossene und am dortigen Netz 192.268.2.0/24 betankte und konfigurierte Telefon muß also nicht mehr geändert werden, wird am neuen Standort angeschlossen und kann sich mit seiner IP 192.168.3.50 mit dem über VPN angeschlossenen Office verbinden?
Ich frage deshalb, weil ich nach Einrichtung des VPN-Tunnels von Home mit ping 192.168.2.1 keine Antwort von der pfsense an Office bekommen habe. Daher dachte ich, daß ich noch einen Wurm in der VPN-Konfiguration habe bzw. Routen setzen müßte.
@aqui: Reicht es nicht auch aus, wenn man den TFTP-Server mitgibt? Diesen kann man ja per DHCP-Option 150 und per statischer IP-Konfiguration hinterlegen. Zumindest kenn ich es so vom CUCME. TFTP Broadcasts für die Telefone kenne ich jetzt so nicht.
VPN-Tunnels von Home mit ping 192.168.2.1 keine Antwort von der pfsense an Office bekommen habe.
Uuuhhh, da hast du dann aber schon einen grundsätzlichen Fehler das dein OpenVPN gar nicht zum Fliegen kommt und es keine Connectivity zwischen den beiden lokalen LANs gibt. Wenns daran schon scheitert wird auch der Rest nix das ist klar.Das ist also die erste Anlaufstelle zum Troubleshooting !
Das Tutorial hilft dabei: OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Bedenke das du die o.a. Konfig etwas anpassen musst, denn das Szenario Dort ist kein Site-to-Site VPN sondern ein Client VPN es zeigt aber ddas grundlegende Setup der pfSense.
Details dann im OpenVPN Tutorial: Merkzettel: VPN Installation mit OpenVPN
Ein Ping von Endgeräten in den jeweiligen lokalen LANs untereinander mindestens aber der loaklen Firewall LAN IPs MUSS gewährleistet sein damit ein sauberes Routing zw. beiden Netzen funktioniert. Das ist die Basis aller IP Kommunikation.
Achtung: Wenn du vom Diagnostics Menü der Firewall pingst bedenke das du ein entsprechendes Absender Interface setzt !! Das sollte natürlich immer das lokale LAN Interface sein !
Reicht es nicht auch aus, wenn man den TFTP-Server mitgibt?
Ja, natürlich hast du Recht hier. Habe ich im Eifer des Gefechts oben übersehen !! Shame on me...Wenn man dem Telefon über den DHCP Server mit der DHCP-Option 150 und auch der Option 66 das mitgibt bootet der auch von Remote ! Sorry, das hatte ich übersehen !
Wichtig ist dann aber das das VPN sauber rennt.
Grade mal getestet über ein IPsec VPN und klappt fehlerfrei. Allerdings sollte man dem DHCP Server, wie oben schon gesagt, auch noch die Option 66 mitgeben.
So sähe die DHCP Server Konfig auf einem Cisco IOS Router oder Switch dazu aus:
!
ip dhcp pool cisco7970
host 192.168.100.154 255.255.255.0
client-identifier 0100.25a9.1219.45
default-router 192.168.100.254
dns-server 192.168.100.254
option 66 ip 192.168.1.253
client-name c7970g
option 150 ip 192.168.1.253
domain-name zuhause.home.arpa
option 42 ip 131.188.3.221
!
(.1.253 ist der TFTP Server der aus dem .100.0er Netz natürlich pingbar sein muss !)
Das sollte mit anderen DHCP Serven dann identisch sein !
@aqui
Ich habe den Fehler in der VPN gefunden. Nun kann ich vom Netz 192.168.3.0/24 einwandfrei auf das 192.168.2.0/24 zugreifen. Allerdings klappt die IP-Telefonie noch nicht. Bislang liefen die Cisco's im Netz 192.168.2.0/24 einwandfrei. Momentan melden sie sich jedoch nicht an der Fritzbox an.
Spricht was dagegen, daß die Cisco-IP-Telefone im Netz 192.168.3.0/24 liegen, sich dort von einem TFTP (läuft auf der FreeNAS) die Konfiguration herunterladen und "lediglich" der SIP Server (hier die FritzBox) im anderen Netz liegt <processNodeName>192.168.2.2 ?
***Edit:
Vielleicht eine banale Frage: mein VPN steht und ich sehe beide Netzwerke (komme auf alle Daten, File-Explorer und Internet-Explorer arbeiten korrekt). Wenn ich am Netzwerk home in den Adaptereinstellungen meines PC's die IP des Netzwerks office manuell eintrage, komme ich in keines der beiden Netze rein. Ich wollte damit überprüfen, ob sich mein PC anmeldet und dann müßte sich auch das IP-Telefon anmelden. Vielleicht ist das ein Hinweis auf meinen Bug.
Ich habe den Fehler in der VPN gefunden. Nun kann ich vom Netz 192.168.3.0/24 einwandfrei auf das 192.168.2.0/24 zugreifen. Allerdings klappt die IP-Telefonie noch nicht. Bislang liefen die Cisco's im Netz 192.168.2.0/24 einwandfrei. Momentan melden sie sich jedoch nicht an der Fritzbox an.
Spricht was dagegen, daß die Cisco-IP-Telefone im Netz 192.168.3.0/24 liegen, sich dort von einem TFTP (läuft auf der FreeNAS) die Konfiguration herunterladen und "lediglich" der SIP Server (hier die FritzBox) im anderen Netz liegt <processNodeName>192.168.2.2 ?
***Edit:
Vielleicht eine banale Frage: mein VPN steht und ich sehe beide Netzwerke (komme auf alle Daten, File-Explorer und Internet-Explorer arbeiten korrekt). Wenn ich am Netzwerk home in den Adaptereinstellungen meines PC's die IP des Netzwerks office manuell eintrage, komme ich in keines der beiden Netze rein. Ich wollte damit überprüfen, ob sich mein PC anmeldet und dann müßte sich auch das IP-Telefon anmelden. Vielleicht ist das ein Hinweis auf meinen Bug.
Spricht was dagegen, daß die Cisco-IP-Telefone im Netz 192.168.3.0/24 liegen
Nein, dagegen spricht nichts. Es ist vollkommen egal in welchem Netzwerk die Telefone nach dem Laden ihrer Konfig Datei arbeiten. Sie brauchen auch keinen TFTP Server denn sie booten immer die letzte Konfig Datei die sie geladen haben sofern kein TFTP Server vorhanden ist.Wenn sie aus ihrem Betriebsnetz IP routingtechnisch den SIP Server erreichen können ist alles OK. Du kannst die Telefone ja auch problemlos mit dem SIPgate Server (Tutorial Beispiel) verbinden der ja auch in einem völlig fremden IP Netz liegt und dazu noch im Internet. Das ist ja gerade der tiefere Sinn von VoIP das man das Telefon egal wohin mitnehmen kann und immer lokal telefonieren kann. Du kannst dir also einen kleinen Raspberry Pi Taschenrouter mit OVPN basteln oder einen fertigen GL.inet OpenVPN Router in die Tasche stecken und egal wo du bist ins Netzwerk stecken und dein telefon dranstecken. Router baut VPN zum SIP Server auf...Telefon kann telefonieren. Einfach und simpel.
(Das GL.iNet Beispiel oben zeigt übrigens wie das Site-to-Site Setup auf der pfSense auszusehen hat.)
Vielleicht eine banale Frage:
Mmmhhh, das zeigt das du einen Fehler in der statischen IP Adressierung am PC hast.Das was du vorhast ist genau der richtige Weg die SIP Connectivity aus dem anderen Netz zu testen mit einem PC und einem Softphone wie Phoner oder Phoner lite da drauf:
https://lite.phoner.de/index_de.htm
https://phoner.de/index.htm
Dabei ist es völlig egal ober der PC in den NIC Settings eine dynamische DHCP Adresse oder eine statische sprich manuelle bekommt.
Bei der manuellen Vergabe ist es nur wichtig das der PC auch das korrekte Gateway und den korrekten DNS Server eingetragen bekommt den er auch hatte mit der DHCP Adressvergabe.
Weiterhin wichtig ist das sich die statische, manuelle IP Adresse des PCs außerhalb der DHCP Adresspools befindet ansonsten kommt es zu solchem Verhalten wie oben.
Es muss also am PC völlig egal sein ob statisch oder DHCP, die Connectivity ins remote VPN Netz MUSS immer gegeben sein.
Erst wenn das der Fall ist startest du deine Softphone Anwendung und testest eine SIP Connection auf den remoten SIP Server (FritzBox). Klappt das und kannst du fehlerlos damit telefonieren wird das auch mit den Ciscos Phones der Fall sein.
Beachte bei einem lokalen SIP Server das du das NAT im Telefon Setup deaktivierst mit <natEnabled>false</natEnabled>
Funktioniert das Telefon im lokalen Netzwerk kannst du es egal in welchem Netzwerk betreiben solange der SIP Server routingtechnisch erreichbar ist. Dem Telefon ist das ja egal....
IP technisch bekommt es aus dem Netzwerk in dem sich das Telefon befindet ja eine IP und eine Gateway IP. Damit kann es, egal in welchem IP Netz es ist, ja den Router und über das VPN das Zielnetz erreichen. In seiner SIP Konfig steht ja das SIP Ziel was das Telefon dann kontaktet und sich dort registriert.
Das kannst du am LAN Port der pfSense auch wunderbar checken mit der Packte Capture Funktion im Diagnostics Menü wenn du dort mal nach Port 5060 snifferst !
Ein "Bug" in dem Sinne ist das nicht es ist vermutlich ein Konfig Fehler deinerseits.
Wie bereits oben gesagt. Mit 3 mal 7981er Telefonen an zwei per IPsec IKEv2 gekoppelten pfSense und einer FritzBox als SIP Server rennt das fehlerlos. Ob OpenVPN oder IPsec ist dabei völlig egal.
@aqui
Das ist zum Heulen! Obwohl meine OpenVPN Site-to-Site-Verbindung normal zu funktionieren scheint, will sich das Cisco (derzeit 7965) nicht vom TFTP der Remote-Site die Konfig ziehen und folglich verbindet es sich auch nicht mit der Fritzbox.
Wie kann ich testen, ob mein OpenVPN fehlerfrei arbeitet? Oder soll ich statt OpenVPN IPsec nehmen?
Ich verwende an beiden Standorten die pfsense 2.5.2.
Da ich in Home mit nur wenigen Netzwerkgeräten unterwegs bin, kann ich statische IP's vergeben. Ich habe zum Testen meinem PC die feste IP 192.168.3.100/24 sowie 192.168.2.1 des Gateways/DNS (das ist meine pfsense im Office) vergeben. Damit bekommt mein PC keine Verbindung. Der Ping aus dem 192.168.3.0/24 Netz Home in das 192.168.2.0/24 Netz Office und vice versa dagegen funktioniert, wie auch der Dateitransfer.
Vielleicht habe ich einen Denkfehler bei meinem Konzept und die Site-to-Site-Verbindung, wie hier beschrieben
https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-s2s-psk.html
ist nicht das Richtige für mein Vorhaben, von Home mit Cisco-IP-Telefonen auf die FritzBox in Office zuzugreifen.
***Edit
Ich könnte das alles oben durchstreichen, wenn es diese Option gäbe.
In all meinem Frust habe ich das Cisco IP 7965 zurückgesetzt. Danach wollte ich es mit TFTPD neu betanken, was fehlschlug. Erst nachdem ich das TFTPD "weggelegt" habe und es mit der pfsense (im DHCP über die Option 150 und die IP-Adresse meiner FreeNAS, auf der der TFTP läuft) versucht habe, konnte ich eine ältere Firmware "sip.9-4-2SR2-2" aufzuspielen. Das habe ich gemacht, weil ich nicht sicher war, ob es evtl. an der aktuellen Firmware liegt. Danach hat es aber immer noch nicht funktioniert. Dann habe ich wieder die neueste FW "sip.9-4-2SR3-1" (die war auch schon vorher drauf) aufgespielt. Das Telefon hat sich immer noch nicht über den OpenVPN Server an der FritzBox anmelden können. Ich habe dann in der pfsense die Option 150 und die IP gelassen (was vorher in meiner Konfiguration nicht der Fall war) und nach langer Zeit, während der ich schon aufgegeben habe und unzähligem Neustarts des Telefons hat sich dieses plötzlich um Mitternacht erstmals an der Fritzbox angemeldet und ich habe endlich meine 3 Telekomnummern hier vorhanden!!!
Daher erstmal vielen Dank an Euch alle wegen der Hilfe, auch wenn ich am Ende nicht so richtig weiß, wo der Fehler lag
Das ist zum Heulen! Obwohl meine OpenVPN Site-to-Site-Verbindung normal zu funktionieren scheint, will sich das Cisco (derzeit 7965) nicht vom TFTP der Remote-Site die Konfig ziehen und folglich verbindet es sich auch nicht mit der Fritzbox.
Wie kann ich testen, ob mein OpenVPN fehlerfrei arbeitet? Oder soll ich statt OpenVPN IPsec nehmen?
Ich verwende an beiden Standorten die pfsense 2.5.2.
Da ich in Home mit nur wenigen Netzwerkgeräten unterwegs bin, kann ich statische IP's vergeben. Ich habe zum Testen meinem PC die feste IP 192.168.3.100/24 sowie 192.168.2.1 des Gateways/DNS (das ist meine pfsense im Office) vergeben. Damit bekommt mein PC keine Verbindung. Der Ping aus dem 192.168.3.0/24 Netz Home in das 192.168.2.0/24 Netz Office und vice versa dagegen funktioniert, wie auch der Dateitransfer.
Vielleicht habe ich einen Denkfehler bei meinem Konzept und die Site-to-Site-Verbindung, wie hier beschrieben
https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-s2s-psk.html
ist nicht das Richtige für mein Vorhaben, von Home mit Cisco-IP-Telefonen auf die FritzBox in Office zuzugreifen.
***Edit
Ich könnte das alles oben durchstreichen, wenn es diese Option gäbe.
In all meinem Frust habe ich das Cisco IP 7965 zurückgesetzt. Danach wollte ich es mit TFTPD neu betanken, was fehlschlug. Erst nachdem ich das TFTPD "weggelegt" habe und es mit der pfsense (im DHCP über die Option 150 und die IP-Adresse meiner FreeNAS, auf der der TFTP läuft) versucht habe, konnte ich eine ältere Firmware "sip.9-4-2SR2-2" aufzuspielen. Das habe ich gemacht, weil ich nicht sicher war, ob es evtl. an der aktuellen Firmware liegt. Danach hat es aber immer noch nicht funktioniert. Dann habe ich wieder die neueste FW "sip.9-4-2SR3-1" (die war auch schon vorher drauf) aufgespielt. Das Telefon hat sich immer noch nicht über den OpenVPN Server an der FritzBox anmelden können. Ich habe dann in der pfsense die Option 150 und die IP gelassen (was vorher in meiner Konfiguration nicht der Fall war) und nach langer Zeit, während der ich schon aufgegeben habe und unzähligem Neustarts des Telefons hat sich dieses plötzlich um Mitternacht erstmals an der Fritzbox angemeldet und ich habe endlich meine 3 Telekomnummern hier vorhanden!!!
Daher erstmal vielen Dank an Euch alle wegen der Hilfe, auch wenn ich am Ende nicht so richtig weiß, wo der Fehler lag
Guten Morgen,
nachdem ich nun heute kurz nach Mitternach das erste Mal ein Cisco (hier 7965) erfolgreich über OpenVPN mit meiner FritzBox 7369 an einem Deutsche Telekom-Anschluß verbunden habe, machte ich mich daran, noch zwei weitere Cisco's 7940 und 7945 anzumelden. Dies funktionierte leider nicht. Während das Cisco 7965 registrierte, registrierten Cisco 7940 und 7945 nicht. Es kam die Meldung "Registering rejected."
Mir ist aufgefallen, daß nachdem ich in der FB7369 unter Telefonie/Anmeldedaten den Haken "Anmeldung aus dem Internet erlauben" gesetzt habe, dies bei den anderen beiden 7940 und 7965 nicht möglich war. Beim Cisco 7965 blieb der Haken angewählt und bei Cisco 7940 und 7945 blieb der Haken immer abgewählt, egal wie oft ich diesen setzte und speicherte. Beim Cisco 7965 wiederum konnte ich den Haken nicht entfernen.
Schließlich habe ich alle drei Telefone aus der FritzBox gelöscht und sie nach und nach eingerichtet. Nun war es gar nicht mehr möglich, ein Telefon zu registrieren und auch der Haken "Anmeldung aus dem Internet erlauben" blieb bei keinem der Telefone an.
Dann erinnerte ich mich an ein altes Tool, den Fritz!Box Export Editor, das noch in meinem Besitz ist. Mit diesem Tool war es mir möglich, die Einstellungen der FritzBox 7369 auszulesen und den Eintrag "reg_from_outside = no" auf
reg_from_outside = yes zu setzen.
Das klappte bei alles 3 Telefonen und nun können sich alle Telefone einwählen.
Was habe ich daraus gelernt? Habe ich Cisco und AVM, habe ich ein Problem. Oder zwei. Oder mehr. Warum auch immer muß bei der FritzBox der Haken bei "Anmeldung aus dem Internet erlauben" gesetzt werden, obwohl man davon ausgehen könnte, daß eine Site-to-Site Verbindung mit OpenVPN eben nicht gleiczusetzen mit Internet ist. Wie auch immer. Genauso, wie die Unmöglichkeit, den Haken mit der GUI zu setzen und der Umweg über die Sicherung und Wiederherstellung der Konfiguration.
Als ich irgendwann die pfsense entdeckte, verdonnerte ich meine FritzBoxen zu bloßen WLAN-Access Points und für IP-Telefonie. Ich wollte schon einen Asterisk aufsetzen, um auch auf die IP-Telefonie der FritzBox zu verzichten.
Bevor ich das Faß aufmache; gibt es eine alternative IP-Telefonie, die nicht so komplex wie Asterisk ist, aber bei weitem keine Kopfschmerzen verursacht wie FritzBoxen, ganz abgesehen von der verschwendeten Lebenszeit wie in den letzten Tagen?
Danke an alle!
nachdem ich nun heute kurz nach Mitternach das erste Mal ein Cisco (hier 7965) erfolgreich über OpenVPN mit meiner FritzBox 7369 an einem Deutsche Telekom-Anschluß verbunden habe, machte ich mich daran, noch zwei weitere Cisco's 7940 und 7945 anzumelden. Dies funktionierte leider nicht. Während das Cisco 7965 registrierte, registrierten Cisco 7940 und 7945 nicht. Es kam die Meldung "Registering rejected."
Mir ist aufgefallen, daß nachdem ich in der FB7369 unter Telefonie/Anmeldedaten den Haken "Anmeldung aus dem Internet erlauben" gesetzt habe, dies bei den anderen beiden 7940 und 7965 nicht möglich war. Beim Cisco 7965 blieb der Haken angewählt und bei Cisco 7940 und 7945 blieb der Haken immer abgewählt, egal wie oft ich diesen setzte und speicherte. Beim Cisco 7965 wiederum konnte ich den Haken nicht entfernen.
Schließlich habe ich alle drei Telefone aus der FritzBox gelöscht und sie nach und nach eingerichtet. Nun war es gar nicht mehr möglich, ein Telefon zu registrieren und auch der Haken "Anmeldung aus dem Internet erlauben" blieb bei keinem der Telefone an.
Dann erinnerte ich mich an ein altes Tool, den Fritz!Box Export Editor, das noch in meinem Besitz ist. Mit diesem Tool war es mir möglich, die Einstellungen der FritzBox 7369 auszulesen und den Eintrag "reg_from_outside = no" auf
reg_from_outside = yes zu setzen.
Das klappte bei alles 3 Telefonen und nun können sich alle Telefone einwählen.
Was habe ich daraus gelernt? Habe ich Cisco und AVM, habe ich ein Problem. Oder zwei. Oder mehr. Warum auch immer muß bei der FritzBox der Haken bei "Anmeldung aus dem Internet erlauben" gesetzt werden, obwohl man davon ausgehen könnte, daß eine Site-to-Site Verbindung mit OpenVPN eben nicht gleiczusetzen mit Internet ist. Wie auch immer. Genauso, wie die Unmöglichkeit, den Haken mit der GUI zu setzen und der Umweg über die Sicherung und Wiederherstellung der Konfiguration.
Als ich irgendwann die pfsense entdeckte, verdonnerte ich meine FritzBoxen zu bloßen WLAN-Access Points und für IP-Telefonie. Ich wollte schon einen Asterisk aufsetzen, um auch auf die IP-Telefonie der FritzBox zu verzichten.
Bevor ich das Faß aufmache; gibt es eine alternative IP-Telefonie, die nicht so komplex wie Asterisk ist, aber bei weitem keine Kopfschmerzen verursacht wie FritzBoxen, ganz abgesehen von der verschwendeten Lebenszeit wie in den letzten Tagen?
Danke an alle!
Das ist eine gute Frage, die man aber nur beantworten kann wenn man die genaue Topologie deines Netzwerkes kennt.
Der Haben mit der Anmeldung über das Internet auf der FritzBox besagt einzig nur das diese dann eingehende SIP Verbindung auch vom Internet Port akzeptiert was sie ohne den Haken nicht macht. Dann akzeptiert sie eingehden SIP Connections rein nur vom LAN Interface weil sie davon ausgeht das das alles lokale VoIP (SIP) Endgeräte sind. Einfache Logik....
Nun aber komtm die Topologie mit dem OpenVPN ins Spiel.
Es ist jetzt essentiell wichtig zu wissen ob du die Firewalls in einem sog. "one armed" Szenario betreibst oder in einer Router_Kaskade mit der FritzBox ?!!
Bei einer Router Kaskade muss der SIP Traffic über das NAT Interface der Firewall um so die davor kaskadierte FB erreichen zu können. Man muss also deshalb das dortige Regelwerk auf dem Radar haben. Eine klassische VPN Verbindung, egal welches VPN Protokoll, geht ja immer davon aus das sich erreichbare Endgeräte im lokalen LAN befinden und nicht außerhalb der NAT Firewall. In sofern ist ein Kaskaden Design mit DAVOR liegendem SIP Server immer speziell.
Anders sähe es bei einem one_armed_Design aus, denn dort ist NAT außer Funktion.
Das VPN Design deines Setups ist also nicht trivial.
Egal was es bei dir ist solltest du in jedem Falle über die FritzBox Packet Cature Funktion einmal die SIP Frames der Telefone am LAN Port mitschneiden wie es HIER beschrieben ist und dir genau ansehen WAS und ob überhaupt dort der SIP Traffic der Telefone ankommt.
Generell weisst du ja auch das ein Kaskaden Design generell eine schlechte Lösung ist. Besse rist immer statt einer Router Kaskade ein dediziertes NUR Modem wie z.B. ein Vigor 165/167 oder ein Zyxel VMG3006 an der Firewall zu betreiben und die FritzBox nur als reine VoIP Anlage mit dem LAN Port ins lokale Netz zu hängen. Das löst dann schon designtechnisch alle Probleme.
So oder so bekommt man es mit entsprechendem Setup aber auch in einem Kaskaden Design problemlos zum laufen.
Was du aber immer absolut sicherstellen musst ist das sich die Telefone lokal IMMER fehlerfrei an der FritzBox anmelden. Das ist ja kinderleicht zu erreichen und sollte man immer VORHER verifizieren das SIP Connection und auch ein- und ausgehende Telefonate sauber funktionieren.
Wenn das der Fall ist weiss man IMMER ganz sicher das die SIP Verbindung auf die FritzBox sauber funktioniert. Ab dann ist es dann egal in welchem IP Netz die telefone arbeiten solange sie Routing technisch die FritzBox am LAN Port als SIP Server erreichen können.
Fazit:
Immer erst im LOKALEN die SIP Connectivity der Telefone auf die Ziel FB checken und dann erst weitermachen.
Der Haben mit der Anmeldung über das Internet auf der FritzBox besagt einzig nur das diese dann eingehende SIP Verbindung auch vom Internet Port akzeptiert was sie ohne den Haken nicht macht. Dann akzeptiert sie eingehden SIP Connections rein nur vom LAN Interface weil sie davon ausgeht das das alles lokale VoIP (SIP) Endgeräte sind. Einfache Logik....
Nun aber komtm die Topologie mit dem OpenVPN ins Spiel.
Es ist jetzt essentiell wichtig zu wissen ob du die Firewalls in einem sog. "one armed" Szenario betreibst oder in einer Router_Kaskade mit der FritzBox ?!!
Bei einer Router Kaskade muss der SIP Traffic über das NAT Interface der Firewall um so die davor kaskadierte FB erreichen zu können. Man muss also deshalb das dortige Regelwerk auf dem Radar haben. Eine klassische VPN Verbindung, egal welches VPN Protokoll, geht ja immer davon aus das sich erreichbare Endgeräte im lokalen LAN befinden und nicht außerhalb der NAT Firewall. In sofern ist ein Kaskaden Design mit DAVOR liegendem SIP Server immer speziell.
Anders sähe es bei einem one_armed_Design aus, denn dort ist NAT außer Funktion.
Das VPN Design deines Setups ist also nicht trivial.
Egal was es bei dir ist solltest du in jedem Falle über die FritzBox Packet Cature Funktion einmal die SIP Frames der Telefone am LAN Port mitschneiden wie es HIER beschrieben ist und dir genau ansehen WAS und ob überhaupt dort der SIP Traffic der Telefone ankommt.
Generell weisst du ja auch das ein Kaskaden Design generell eine schlechte Lösung ist. Besse rist immer statt einer Router Kaskade ein dediziertes NUR Modem wie z.B. ein Vigor 165/167 oder ein Zyxel VMG3006 an der Firewall zu betreiben und die FritzBox nur als reine VoIP Anlage mit dem LAN Port ins lokale Netz zu hängen. Das löst dann schon designtechnisch alle Probleme.
So oder so bekommt man es mit entsprechendem Setup aber auch in einem Kaskaden Design problemlos zum laufen.
Was du aber immer absolut sicherstellen musst ist das sich die Telefone lokal IMMER fehlerfrei an der FritzBox anmelden. Das ist ja kinderleicht zu erreichen und sollte man immer VORHER verifizieren das SIP Connection und auch ein- und ausgehende Telefonate sauber funktionieren.
Wenn das der Fall ist weiss man IMMER ganz sicher das die SIP Verbindung auf die FritzBox sauber funktioniert. Ab dann ist es dann egal in welchem IP Netz die telefone arbeiten solange sie Routing technisch die FritzBox am LAN Port als SIP Server erreichen können.
Fazit:
Immer erst im LOKALEN die SIP Connectivity der Telefone auf die Ziel FB checken und dann erst weitermachen.
@aqui
Erstma wieder danke für die ausführliche Beschreibung. Ich werde das alles nach und nach abarbeiten
Soviel schon vorab. Am Standort Office habe ich ein NUR Modem, dahinter die pfsense und dann die FritzBox ohne Modem, sprich nur als VoIP. Die Telefone, die ich am Standort Home angeschlossen habe, waren zuvor am Standort Office. Dem Hochwasser an der Ahr ist der temporäre Standort Home geschuldet...
Daher ging ich davon aus, daß nur das OpenVPN von Belang sein konnte, um die Telefone am gleichen Netz zu betreiben. Dem war nicht so. Letztendlich wird wohl ein Teil des Puzzle sein, daß die FritzBox doch nicht nur eine VoIP-Box ist, sondern daß sie mit ihren vielen teils dokumentierten und versteckten Details irgendwo und irgendwann dazwischen spucken wird. Sorry für das Lesen im Kaffeesatz. Ich bin nach Tagen des Grübelns einfach müde und brauche ein wenig Entspannung. Zumindest konnte ich heute den halben Tag in "meinem Telefonnetz" arbeiten. Soweit so gut.
Einen Tipp könntest Du mir evtl. geben. Die Telekom schafft es nicht, mir kostengünstig eine feste IP zu geben. Sie wollen dafür rund 25 Euro / Monat extra. Ich habe mir letzte Woche einen Account bei Cloudfare eingerichtet und dort eine meiner Domains verbunden, in deren A-Record ich dann die aktuelle IP meines Telekom-Anschlusses sehen kann. Ich habe noch nicht herausgefunden, wie ich in der Client-pfsense die automatische Abfrage eintragen kann, damit diese über den Cloudfare-Dienst die IP herausfindet. Oder soll ich zu einem bezahlten DynDNS-Dienst greifen (ggf. welchem)? Vielen Dank!
Erstma wieder danke für die ausführliche Beschreibung. Ich werde das alles nach und nach abarbeiten
Soviel schon vorab. Am Standort Office habe ich ein NUR Modem, dahinter die pfsense und dann die FritzBox ohne Modem, sprich nur als VoIP. Die Telefone, die ich am Standort Home angeschlossen habe, waren zuvor am Standort Office. Dem Hochwasser an der Ahr ist der temporäre Standort Home geschuldet...
Daher ging ich davon aus, daß nur das OpenVPN von Belang sein konnte, um die Telefone am gleichen Netz zu betreiben. Dem war nicht so. Letztendlich wird wohl ein Teil des Puzzle sein, daß die FritzBox doch nicht nur eine VoIP-Box ist, sondern daß sie mit ihren vielen teils dokumentierten und versteckten Details irgendwo und irgendwann dazwischen spucken wird. Sorry für das Lesen im Kaffeesatz. Ich bin nach Tagen des Grübelns einfach müde und brauche ein wenig Entspannung. Zumindest konnte ich heute den halben Tag in "meinem Telefonnetz" arbeiten. Soweit so gut.
Einen Tipp könntest Du mir evtl. geben. Die Telekom schafft es nicht, mir kostengünstig eine feste IP zu geben. Sie wollen dafür rund 25 Euro / Monat extra. Ich habe mir letzte Woche einen Account bei Cloudfare eingerichtet und dort eine meiner Domains verbunden, in deren A-Record ich dann die aktuelle IP meines Telekom-Anschlusses sehen kann. Ich habe noch nicht herausgefunden, wie ich in der Client-pfsense die automatische Abfrage eintragen kann, damit diese über den Cloudfare-Dienst die IP herausfindet. Oder soll ich zu einem bezahlten DynDNS-Dienst greifen (ggf. welchem)? Vielen Dank!
daß die FritzBox doch nicht nur eine VoIP-Box ist
Eigentlich ist sie das. Du musst sie im Setup nur als einfaches IP Endgerät setzen und dann einfach nur mit einem der LAN Ports ins lokale LAN klemmen. Dann arbeitet sie als ganz einfache Telefonanlage.Dieser_Artikel beschreibt genau so ein Szenario mit dem bordeigenen VPN. Generell ist das also ein simples VoIP Standard Design was ja in aktuellen Home Office Zeiten ja auch zig tausendfach genutzt wird von Home Office Arbeitern die einfach ihr VoIP Telefon auch von zuhause nutzen. Sei es mit einem Softphone oder einem Hardware Telefone.
Generell ist dein Setup also ein Klassiker und dabei ist es völlig unerheblich welches VPN Protokoll du einsetzt solange natürlich die Firewall Regelwerke an den Interfaces stimmen.
Wie man den Dynamic DNS Client an der pfSense einstellt ist eigentlich recht gut dokumentiert:
https://docs.netgate.com/pfsense/en/latest/services/dyndns/client.html
Du musst nicht zwingend einen kostenpflichtigen Dienst verwenden sondern kannst auch die kostenlosen Angebote nutzen wie z.B. die von https://www.dnshome.de/ oder https://desec.io/ und anderen.
@aqui
Vielen Dank! Gerade ist mir eingefallen, da ich mehrere Webseiten bei Strato gehostet habe, daß der der DynDNS bereits mit im Paket ist. Ich habe diesen soeben freigeschaltet und werde dann am Standort Office den Link eintragen. Das hat schon mal vor Jahren funktioniert; ich hatte es nur vergessen
Was mir noch aufgefallen ist, betreffend Cloudfare:
In der Anleitung von Cloudfare steht nur, daß man bei Strato die Eigenen DNS durch zwei von Clodfare benannten DNS ersetzen soll. Das habe ich gemacht und nach einigen Stunden wird dann die dynamische öffentliche IP-Adresse meines Telekomanschlusses sichtbar.
Dennoch gibt der Ping auf meinewebsite.de eine andere IP zurück, als die bestehende. Hast Du eine Idee, was noch wo einzustellen ist? Danke.
Vielen Dank! Gerade ist mir eingefallen, da ich mehrere Webseiten bei Strato gehostet habe, daß der der DynDNS bereits mit im Paket ist. Ich habe diesen soeben freigeschaltet und werde dann am Standort Office den Link eintragen. Das hat schon mal vor Jahren funktioniert; ich hatte es nur vergessen
Was mir noch aufgefallen ist, betreffend Cloudfare:
In der Anleitung von Cloudfare steht nur, daß man bei Strato die Eigenen DNS durch zwei von Clodfare benannten DNS ersetzen soll. Das habe ich gemacht und nach einigen Stunden wird dann die dynamische öffentliche IP-Adresse meines Telekomanschlusses sichtbar.
Dennoch gibt der Ping auf meinewebsite.de eine andere IP zurück, als die bestehende. Hast Du eine Idee, was noch wo einzustellen ist? Danke.
Nicht wirklich....
Cloudflare ist ja ein DNS Filter und zudem noch ein US Unternehmen was wenig Auskunft über die Filter Policy gibt. Es ist gut möglich das die Blöcke der dynamischen Endkunden Pool Adressen gefiltert werden. Das kann man checken wenn man mit Tools wie nslookup oder dig einmal andere DNS Server befragt um zu sehen ob die ein anderes Ergebnis liefern.
dig @9.9.9.9 www.administrator.de fragt z.B. dediziert den Quad9 DNS Server oder dig @dns2.digitalcourage.de ct.de fragt z.B. einen zensurfreien DNS Server in D.
Cloudflare ist ja ein DNS Filter und zudem noch ein US Unternehmen was wenig Auskunft über die Filter Policy gibt. Es ist gut möglich das die Blöcke der dynamischen Endkunden Pool Adressen gefiltert werden. Das kann man checken wenn man mit Tools wie nslookup oder dig einmal andere DNS Server befragt um zu sehen ob die ein anderes Ergebnis liefern.
dig @9.9.9.9 www.administrator.de fragt z.B. dediziert den Quad9 DNS Server oder dig @dns2.digitalcourage.de ct.de fragt z.B. einen zensurfreien DNS Server in D.
