Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Frage zu VoIP-VLAN und

Mitglied: darkness08

darkness08 (Level 1) - Jetzt verbinden

06.04.2020 um 12:45 Uhr, 452 Aufrufe, 15 Kommentare

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route.
Dazu aber mal eine Grundsätzliches Frage.

Ich habe VoIP in ein eigenes VLAN geschoben, um so die VOIP-DAten von dem "Rest" zu trennen. Wenn ich mir aber ein entsprechenden UDP-Relay einrichte um einen SIP-Clienten in einen anderem VLAN zu bedienen, hebe ich doch eigentlich die anfängliche Trennung zwischen den VLAN wieder auf oder?
Mitglied: tikayevent
06.04.2020 um 12:49 Uhr
Das Ziel bei einem VoIP-VLAN ist in aller erster Instanz die Trennung vom Netzwerkgrundrauschen, also Broad- und Multicast-Traffic, der von anderen Geräten im Netzwerk erzeugt wird. Sicherheit ist so eine Sache, weil man das VLAN ja sieht, wenn man mit dem PC einfach das IP-Telefon überspringt und direkt an den Netzwerkanschluss geht.
Bitte warten ..
Mitglied: certifiedit.net
06.04.2020 um 13:05 Uhr
Sicherheit ist so eine Sache, weil man das VLAN ja sieht, wenn man mit dem PC einfach das IP-Telefon überspringt und direkt an den Netzwerkanschluss geht.

Das ist so nicht pauschal zu sagen.
Bitte warten ..
Mitglied: tikayevent
06.04.2020 um 13:18 Uhr
VLANs sind keine Sicherheitsfunktion per se. Mit dem richtigen Switch können explizite Voice-VLANs eine gewisse Sicherheit bieten, ja, aber viele Switches können es nicht. Da liegt das VLAN einfach tagged mit drauf und es wird über ein Managementprotokoll nur propagiert.
Bitte warten ..
Mitglied: certifiedit.net
06.04.2020 um 13:37 Uhr
Naja da könnte man philosophieren. Auch eine Firewall bzw utm ist keine Sicherheitsfunktion per se wenn der Angreifer sie per Kabel einfach umgehen kann. Was ich damit sagen will, Sicherheitsfunktionen stehen i.d.r nie für sich alleine. Ein notbremsassistent hilft auch nur insofern, als dass die Bremsen in Ordnung sind.
Bitte warten ..
Mitglied: darkness08
06.04.2020 um 13:44 Uhr
Im Cisco SG350 kann ich ja das VoiceVLAN entsprechend konfigurieren, oder? Bisher habe ich einfach einVLAN dafür eingerichtet.

Hier geht es aber nur um eine Voice VLAN bei mir zu Hause. Kein Büro oder sonstige. Im Grunde als mehr Spielerei und ich möchte mich damit einfach auseinandersetzen.

Im Voice-VLAN ist seit kurzem ein Raspi auf dem FreePBX läuft. Daneben noch eine Fritzbox, welche im Clientmodus letztendlich nur die DECT-Telefone anbindet. Meine Idee war auf meinem Smartphone ein SIP-Client ala Zoiper und dann evtl. die DECT-Telefone abschaffen.

Das Problem ist aber dann, das sich das Smartphone in einem anderem VLAN befindet und daher keine Sprache übertragen wird.
Wenn ich es soweit richtig verstanden habe, wird die VoIP-Verbindung zum Smartphone mittel SIP aufgebaut und die eigentlichen Gesprächsdaten dann per Real-Time Transport Protocol (RTP) übertragen.

Ich müsste diese dann von einem in das andere VLAN routen, oder? Aber dann bin ich wieder bei der Frage pb die Trennung mit den VLAN dann Sinn macht.

Entschuldige falls das alles etwas konfus ist. Aber irgendwie versuche ich gerade den richtigen Einstieg zu finden.
Bitte warten ..
Mitglied: Looser27
LÖSUNG 06.04.2020 um 13:53 Uhr
Natürlich macht die Trennung Sinn.
Schließlich soll die Telefonanlage nur mit den paar nötigen Ports mit dem Internet kommunizieren, während Du mit dem Handy noch andere Sachen haben willst, z.B. E-Mail.
Und zwischen den beiden VLANs machst Du nur die Ports auf, die Du für den SIP Client brauchst. So ist dann sichergestellt, dass jedes VLAN nur dahin kommunizieren kann, wo Du es willst.
Zusätzlich kannst Du in jedem VLAN getrennte DHCP und DNS Server laufen lassen (wenn gewünscht) so dass auch hier individuelle Ergebnisse erzielt werden können; z.B. läuft bei mir zuhause im normalen WLAN ein pihole für die Handys. Zum Online-Gaming will ich den aber nicht. Um nicht ständig den pihole ein-/ausschalten zu müssen, habe ich ein gesondertes VLAN fürs Gaming (inkl. WLAN). Das darf genau nur ins Internet kommunizieren. Sonst nichts. So bleibt mein Netz sauber, auch wenn ich zocke.
Genau so verhält es sich mit dem VOIP-VLAN bei mir.

Gruß

Looser

P.S.: Ich hoffe das war halbwegs nachvollziehbar.
Bitte warten ..
Mitglied: darkness08
06.04.2020 um 14:05 Uhr
Ja danke. Damit komme ich schon mal etwas weiter.

Aber an den Ports klemmt es gerade noch Zwischen den VLANs (VLAN99 Voice 172.16.99.0/24 und Smartphone 172.16.40.0/24) habe ich den Port 5060 UDP mittels UDP-Relay freigegeben. Damit kommt die Sprache schon mal in eine Richtung an. Nur der "Rückweg" klappt noch nicht.

Und da hört jetzt mein Verständnis auf. Läuft der Rückweg bzw das Gespräch dann über das o.g. RTP. Wenn ja, welche Ports muss ich denn dann weiterleiten?
Bitte warten ..
Mitglied: Looser27
06.04.2020 um 14:11 Uhr
Du brauchst hier die Ports TCP / UDP 5060 für SIP vom Handy zur PBX und für RDP i.d.R. die Ports UDP 10.000-20.000.
Damit solltest du auch was hören.
Bitte warten ..
Mitglied: darkness08
06.04.2020, aktualisiert um 14:19 Uhr
Ok, dann noch eine Frage an die CISCO-Fachleute.

Wie richte ich denn einen UDP Relay für eine Portrange ein? Ich kann dort immer nur ein Port eintragen

Edit:
Der SG350 ist als L3-Switch konfiguriert.
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.04.2020, aktualisiert um 18:09 Uhr
in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route.
Macht man mit PBR sprich Policy Based Routing wie man als Netzwerker weiss.
Ich habe VoIP in ein eigenes VLAN geschoben, um so die VOIP-DAten von dem "Rest" zu trennen
Ist in Firmen allein aus rechtlichen Dingen schon Pflicht ! Generell sollte man sowas immer machen.
hebe ich doch eigentlich die anfängliche Trennung zwischen den VLAN wieder auf oder?
Nein, dann machst du stinknormales Routing zwischen den VLANs !
Entweder über einen Layer 3 Switch der Routing kann wie es die HIER beschrieben ist. Oder...
Mit einem externen Router wie es das hiesige VLAN_Tutorial explizit beschreibt !
Wie immer: Lesen und verstehen...!

UDP Relay ist Blödsinn, denn sowohl SIP als auch RTP arbeiten nicht mit Broadcasts ! Sie lassen sich also ganz stinknormal routen wie alles andere auch !
Sieh dir den Layer 3 Thread zum SG-350 an oben, da ist alles beschrieben !
Bitte warten ..
Mitglied: Fabezz
06.04.2020 um 20:51 Uhr
Hi,
welcher Kommunikationsweg funktioniert denn nicht?
Intern nach intern? Extern nach intern?

Generell ist es so dass du dann wahrscheinlich ein NAT im Einsatz hast was für eine normale SIP Kommunikation ein wenig Aufwand bedeutet. Die Port 5060 bzw 5061 sind nur zur Signalisierung zuständig. Die Audiodaten gehen dann über RTP mittels "Direktverbindung". Hierzu müssen natürlich die Adressen bekannt sein oder die Teilnehmer innerhalb müssen im selben Netzt sein. Falls nicht benötigst du einen STUN Server.
ODER die baust auf deinem Raspi einen OpenVPN Server und lässt dein Handy sich damit in das Netzt ballern.
Bitte warten ..
Mitglied: darkness08
07.04.2020, aktualisiert um 08:26 Uhr
wie man als Netzwerker weiss

von so einer Bezeichnung bin ich noch sehr weit entfernt (kann auch nicht mein Ziel sein )

Mein SG350 arbeitet als L3. Es geht hier einmal um das VLAN99 für VoIP (172.16.99.0/24) und das VLAN40 in dem sich mein Smartphone befindet (172.16.40.0/24)

ACLs sind auf diesen beiden VLANs nicht aktivert. Ich kann auch aus dem VLAN40 ein Gerät aus dem VLAN99 anpingen, ebenso in die andere Richtung.

Irgendwie war ich der Meinung, das UDP nicht geroutet werden kann. Habe ich jetzt aber gelernt, dass dies falsch ist.

Da jetzt aber keinerlei ACLs das Routing zwischen den VLANs unterbinden und ich von beiden Seiten entsprechend pingen kann, sollten die UDP-Pakete doch auch ungehindert zwischen den Netzen geroutet werden.

Damit wäre einmal mehr die Frage, warum hören dann nur in eine Richtung klappt. Die Verbindung wird auch nach einigen Sekunden abgebrochen und es werden in Phoner Lite keine ausgehandelten Codecs angezeigt.


Edit:

Jetzt habe ich mal Wireshark dazwischen geklemmt.

Aus Sicht meines DECT-Telefon an der Fritzbox:

FB 172.16.99.100 --- FreePBX --- 172.16.99.15 ---- SIP@Smartphone 172.16.40.30 klappt soweit
SIP@Smartphone 172.16.40.30 --- Public IP meines Internetanschluss. 91.21.X.X

Ist also das Problem bei meinem Smartphone.
Bitte warten ..
Mitglied: aqui
LÖSUNG 07.04.2020, aktualisiert um 09:54 Uhr
Ich kann auch aus dem VLAN40 ein Gerät aus dem VLAN99 anpingen, ebenso in die andere Richtung.
Zeigt dann das dein Routing auf dem Switch richtig konfiguriert ist !
Kommunikation sollte dann normal von jedem VLAN in jedes VLAN und vice versa problemlos möglich sein.
Irgendwie war ich der Meinung, das UDP nicht geroutet werden kann.
Das ist natürlich Unsinn !
UDP hat doch ganz normal eine Absender IP und eine Ziel IP ! Folglich lässt es sich stinknormal wie TCP auch routen. Ein fataler Denkfehler...! Einfachste Routing Grundlagen !
sollten die UDP-Pakete doch auch ungehindert zwischen den Netzen geroutet werden.
Jepp, ganz genau !
Damit wäre einmal mehr die Frage, warum hören dann nur in eine Richtung klappt.
RTP nutzt dynamische Ports ! Sowas tritt immer auf wenn im Pfad ein NAT Gateway ist (IP Adress Translation). Wegend er dynamischen RTP Ports kann dann eine Richtung das NAT Gateway nicht überwinden und deshalb kommt es zu diesen einseitigen Sprachübertragungen weil immer nur ein RTP Datenstrom das NAT überwinden kann aber nicht in die andere Richtung. Siehe auch HIER.
Fazit:
Irgendwo hast du im Pfad ein NAT ! Normal in einen sauberen Routing Umfeld ohne ACL und NAT funktioniert geroutetes VoIP völlig problemlos. Muss auch, denn das ist ja millionenfache Praxis in Unternehmensnetzen.
Wäre es nicht routebar würde ja keiner der All IP Anbieter heutzutage wie Telekom, Vodafone, SIPgate und der Rest der Voice Provider niemals Sprachdaten auf eine FritzBox oder einen VoIP Client bekommen. Wie jedermann weiss (nicht nur Netzwerker !) ist das gesamte Internet geroutet und kein dummes, flaches Layer 2 Netz !
Im gesamten 4G und 5G Mobilnetz wird Voice nur noch über geroutetes VoIP gemacht !
Bitte warten ..
Mitglied: darkness08
07.04.2020 um 10:01 Uhr
Ich muss noch mal schauen.

NAT kann in diesem Fall maximal FreePBX machen. Ansonten ist kein Gerät dazwischen, was das machen könnte (SG350 kann das nicht? bzw. wüsste ich nicht wie es einzuschalten ist ), opnsense ist auf dem Weg nicht eingebunden.


Eben habe ich den Raspi mit FreePBX neu gestartet und schon läuft das ganze. Sehr komisch. Ich danke euch aber für die Gedult und Hilfe.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz

gelöst Frage von GKKKATLAN, WAN, Wireless4 Kommentare

Liebe Forumsteilnehmer, mir ist die ehrenvolle Aufgabe zugefallen ein sehr heterogenes Netz auf Vordermann zu bringen. Anhand meiner Beschreibung ...

Voice over IP

PfSense VLAN für VOIP am WAN (Innogy)

Frage von egn.h7b5Voice over IP4 Kommentare

Hallo Leute, ich brauche einen ordentlichen Stubser in die richtige Richtung! Ich nutze einen Glasfaseranschlüss von Innogy (ehem. RWE-Highspeed). ...

Router & Routing

Einstellung Vigor 2860 für NetCologne VoIP VLAN 20

gelöst Frage von siza2503Router & Routing16 Kommentare

Hallo zusammen, ich möchte gerne von der FB7490 auf den Vigor 2860 Modem-Router wechseln. Dabei haben sich jetzt jedoch ...

LAN, WAN, Wireless

Mein Netzwerk mit VLAN und Routing (Voip,-Lan,- Wlan)

Frage von theunixLAN, WAN, Wireless6 Kommentare

Hallo Zusammen, Ich bräuchte euer Hilfe. Ich möchte mir gerne ein kleines Netzwerk einrichten. Folgendes habe ich an Hardware. ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 22 StundenSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Mozillas "DNS over HTTPS" in pfSense blockieren

Anleitung von FA-jka vor 1 TagDNS4 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Batch & Shell
Ip-Adresse-Konfiguration speichern zur Wiederherstellung
gelöst Frage von alex1991Batch & Shell20 Kommentare

Hallo, ich bin eigentlich nicht in der IT-Abteilung, aber als Programmierer bin ich noch am nächsten dran. Deshalb wurde ...

Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Batch & Shell
Computer bei disconnecting mit bluetoothgerät herunterfahren
gelöst Frage von Renrep88Batch & Shell14 Kommentare

Hallo, ist es mithilfe von einer .cmd oder .bat datei möglich einen computer herunterzufahren wenn die verbindung zu einem ...