darkness08
Goto Top

Frage zu VoIP-VLAN und

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route.
Dazu aber mal eine Grundsätzliches Frage.

Ich habe VoIP in ein eigenes VLAN geschoben, um so die VOIP-DAten von dem "Rest" zu trennen. Wenn ich mir aber ein entsprechenden UDP-Relay einrichte um einen SIP-Clienten in einen anderem VLAN zu bedienen, hebe ich doch eigentlich die anfängliche Trennung zwischen den VLAN wieder auf oder?

Content-ID: 563423

Url: https://administrator.de/forum/frage-zu-voip-vlan-und-563423.html

Ausgedruckt am: 27.12.2024 um 07:12 Uhr

tikayevent
tikayevent 06.04.2020 um 12:49:17 Uhr
Goto Top
Das Ziel bei einem VoIP-VLAN ist in aller erster Instanz die Trennung vom Netzwerkgrundrauschen, also Broad- und Multicast-Traffic, der von anderen Geräten im Netzwerk erzeugt wird. Sicherheit ist so eine Sache, weil man das VLAN ja sieht, wenn man mit dem PC einfach das IP-Telefon überspringt und direkt an den Netzwerkanschluss geht.
certifiedit.net
certifiedit.net 06.04.2020 um 13:05:37 Uhr
Goto Top
Sicherheit ist so eine Sache, weil man das VLAN ja sieht, wenn man mit dem PC einfach das IP-Telefon überspringt und direkt an den Netzwerkanschluss geht.

Das ist so nicht pauschal zu sagen.
tikayevent
tikayevent 06.04.2020 um 13:18:49 Uhr
Goto Top
VLANs sind keine Sicherheitsfunktion per se. Mit dem richtigen Switch können explizite Voice-VLANs eine gewisse Sicherheit bieten, ja, aber viele Switches können es nicht. Da liegt das VLAN einfach tagged mit drauf und es wird über ein Managementprotokoll nur propagiert.
certifiedit.net
certifiedit.net 06.04.2020 um 13:37:03 Uhr
Goto Top
Naja da könnte man philosophieren. Auch eine Firewall bzw utm ist keine Sicherheitsfunktion per se wenn der Angreifer sie per Kabel einfach umgehen kann. Was ich damit sagen will, Sicherheitsfunktionen stehen i.d.r nie für sich alleine. Ein notbremsassistent hilft auch nur insofern, als dass die Bremsen in Ordnung sind.
darkness08
darkness08 06.04.2020 um 13:44:33 Uhr
Goto Top
Im Cisco SG350 kann ich ja das VoiceVLAN entsprechend konfigurieren, oder? Bisher habe ich einfach einVLAN dafür eingerichtet.

Hier geht es aber nur um eine Voice VLAN bei mir zu Hause. Kein Büro oder sonstige. Im Grunde als mehr Spielerei und ich möchte mich damit einfach auseinandersetzen.

Im Voice-VLAN ist seit kurzem ein Raspi auf dem FreePBX läuft. Daneben noch eine Fritzbox, welche im Clientmodus letztendlich nur die DECT-Telefone anbindet. Meine Idee war auf meinem Smartphone ein SIP-Client ala Zoiper und dann evtl. die DECT-Telefone abschaffen.

Das Problem ist aber dann, das sich das Smartphone in einem anderem VLAN befindet und daher keine Sprache übertragen wird.
Wenn ich es soweit richtig verstanden habe, wird die VoIP-Verbindung zum Smartphone mittel SIP aufgebaut und die eigentlichen Gesprächsdaten dann per Real-Time Transport Protocol (RTP) übertragen.

Ich müsste diese dann von einem in das andere VLAN routen, oder? Aber dann bin ich wieder bei der Frage pb die Trennung mit den VLAN dann Sinn macht.

Entschuldige falls das alles etwas konfus ist. Aber irgendwie versuche ich gerade den richtigen Einstieg zu finden.
Looser27
Lösung Looser27 06.04.2020 um 13:53:37 Uhr
Goto Top
Natürlich macht die Trennung Sinn.
Schließlich soll die Telefonanlage nur mit den paar nötigen Ports mit dem Internet kommunizieren, während Du mit dem Handy noch andere Sachen haben willst, z.B. E-Mail.
Und zwischen den beiden VLANs machst Du nur die Ports auf, die Du für den SIP Client brauchst. So ist dann sichergestellt, dass jedes VLAN nur dahin kommunizieren kann, wo Du es willst.
Zusätzlich kannst Du in jedem VLAN getrennte DHCP und DNS Server laufen lassen (wenn gewünscht) so dass auch hier individuelle Ergebnisse erzielt werden können; z.B. läuft bei mir zuhause im normalen WLAN ein pihole für die Handys. Zum Online-Gaming will ich den aber nicht. Um nicht ständig den pihole ein-/ausschalten zu müssen, habe ich ein gesondertes VLAN fürs Gaming (inkl. WLAN). Das darf genau nur ins Internet kommunizieren. Sonst nichts. So bleibt mein Netz sauber, auch wenn ich zocke.
Genau so verhält es sich mit dem VOIP-VLAN bei mir.

Gruß

Looser

P.S.: Ich hoffe das war halbwegs nachvollziehbar.
darkness08
darkness08 06.04.2020 um 14:05:02 Uhr
Goto Top
Ja danke. Damit komme ich schon mal etwas weiter.

Aber an den Ports klemmt es gerade noch face-smile Zwischen den VLANs (VLAN99 Voice 172.16.99.0/24 und Smartphone 172.16.40.0/24) habe ich den Port 5060 UDP mittels UDP-Relay freigegeben. Damit kommt die Sprache schon mal in eine Richtung an. Nur der "Rückweg" klappt noch nicht.

Und da hört jetzt mein Verständnis auf. Läuft der Rückweg bzw das Gespräch dann über das o.g. RTP. Wenn ja, welche Ports muss ich denn dann weiterleiten?
Looser27
Looser27 06.04.2020 um 14:11:11 Uhr
Goto Top
Du brauchst hier die Ports TCP / UDP 5060 für SIP vom Handy zur PBX und für RDP i.d.R. die Ports UDP 10.000-20.000.
Damit solltest du auch was hören.
darkness08
darkness08 06.04.2020 aktualisiert um 14:19:55 Uhr
Goto Top
Ok, dann noch eine Frage an die CISCO-Fachleute.

Wie richte ich denn einen UDP Relay für eine Portrange ein? Ich kann dort immer nur ein Port eintragen

Edit:
Der SG350 ist als L3-Switch konfiguriert.
aqui
Lösung aqui 06.04.2020 aktualisiert um 18:09:53 Uhr
Goto Top
in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route.
Macht man mit PBR sprich Policy Based Routing wie man als Netzwerker weiss. face-wink
Ich habe VoIP in ein eigenes VLAN geschoben, um so die VOIP-DAten von dem "Rest" zu trennen
Ist in Firmen allein aus rechtlichen Dingen schon Pflicht ! Generell sollte man sowas immer machen.
hebe ich doch eigentlich die anfängliche Trennung zwischen den VLAN wieder auf oder?
Nein, dann machst du stinknormales Routing zwischen den VLANs !
Entweder über einen Layer 3 Switch der Routing kann wie es die HIER beschrieben ist. Oder...
Mit einem externen Router wie es das hiesige VLAN_Tutorial explizit beschreibt !
Wie immer: Lesen und verstehen...!

UDP Relay ist Blödsinn, denn sowohl SIP als auch RTP arbeiten nicht mit Broadcasts ! Sie lassen sich also ganz stinknormal routen wie alles andere auch !
Sieh dir den Layer 3 Thread zum SG-350 an oben, da ist alles beschrieben !
Fabezz
Fabezz 06.04.2020 um 20:51:53 Uhr
Goto Top
Hi,
welcher Kommunikationsweg funktioniert denn nicht?
Intern nach intern? Extern nach intern?

Generell ist es so dass du dann wahrscheinlich ein NAT im Einsatz hast was für eine normale SIP Kommunikation ein wenig Aufwand bedeutet. Die Port 5060 bzw 5061 sind nur zur Signalisierung zuständig. Die Audiodaten gehen dann über RTP mittels "Direktverbindung". Hierzu müssen natürlich die Adressen bekannt sein oder die Teilnehmer innerhalb müssen im selben Netzt sein. Falls nicht benötigst du einen STUN Server.
ODER die baust auf deinem Raspi einen OpenVPN Server und lässt dein Handy sich damit in das Netzt ballern.
darkness08
darkness08 07.04.2020 aktualisiert um 08:26:13 Uhr
Goto Top
wie man als Netzwerker weiss

von so einer Bezeichnung bin ich noch sehr weit entfernt (kann auch nicht mein Ziel sein face-smile )

Mein SG350 arbeitet als L3. Es geht hier einmal um das VLAN99 für VoIP (172.16.99.0/24) und das VLAN40 in dem sich mein Smartphone befindet (172.16.40.0/24)

ACLs sind auf diesen beiden VLANs nicht aktivert. Ich kann auch aus dem VLAN40 ein Gerät aus dem VLAN99 anpingen, ebenso in die andere Richtung.

Irgendwie war ich der Meinung, das UDP nicht geroutet werden kann. Habe ich jetzt aber gelernt, dass dies falsch ist.

Da jetzt aber keinerlei ACLs das Routing zwischen den VLANs unterbinden und ich von beiden Seiten entsprechend pingen kann, sollten die UDP-Pakete doch auch ungehindert zwischen den Netzen geroutet werden.

Damit wäre einmal mehr die Frage, warum hören dann nur in eine Richtung klappt. Die Verbindung wird auch nach einigen Sekunden abgebrochen und es werden in Phoner Lite keine ausgehandelten Codecs angezeigt.


Edit:

Jetzt habe ich mal Wireshark dazwischen geklemmt.

Aus Sicht meines DECT-Telefon an der Fritzbox:

FB 172.16.99.100 --- FreePBX --- 172.16.99.15 ---- SIP@Smartphone 172.16.40.30 klappt soweit
SIP@Smartphone 172.16.40.30 --- Public IP meines Internetanschluss. 91.21.X.X

Ist also das Problem bei meinem Smartphone.
aqui
Lösung aqui 07.04.2020 aktualisiert um 09:54:41 Uhr
Goto Top
Ich kann auch aus dem VLAN40 ein Gerät aus dem VLAN99 anpingen, ebenso in die andere Richtung.
Zeigt dann das dein Routing auf dem Switch richtig konfiguriert ist ! face-wink
Kommunikation sollte dann normal von jedem VLAN in jedes VLAN und vice versa problemlos möglich sein.
Irgendwie war ich der Meinung, das UDP nicht geroutet werden kann.
Das ist natürlich Unsinn !
UDP hat doch ganz normal eine Absender IP und eine Ziel IP ! Folglich lässt es sich stinknormal wie TCP auch routen. Ein fataler Denkfehler...! Einfachste Routing Grundlagen !
sollten die UDP-Pakete doch auch ungehindert zwischen den Netzen geroutet werden.
Jepp, ganz genau !
Damit wäre einmal mehr die Frage, warum hören dann nur in eine Richtung klappt.
RTP nutzt dynamische Ports ! Sowas tritt immer auf wenn im Pfad ein NAT Gateway ist (IP Adress Translation). Wegend er dynamischen RTP Ports kann dann eine Richtung das NAT Gateway nicht überwinden und deshalb kommt es zu diesen einseitigen Sprachübertragungen weil immer nur ein RTP Datenstrom das NAT überwinden kann aber nicht in die andere Richtung. Siehe auch HIER.
Fazit:
Irgendwo hast du im Pfad ein NAT ! Normal in einen sauberen Routing Umfeld ohne ACL und NAT funktioniert geroutetes VoIP völlig problemlos. Muss auch, denn das ist ja millionenfache Praxis in Unternehmensnetzen.
Wäre es nicht routebar würde ja keiner der All IP Anbieter heutzutage wie Telekom, Vodafone, SIPgate und der Rest der Voice Provider niemals Sprachdaten auf eine FritzBox oder einen VoIP Client bekommen. Wie jedermann weiss (nicht nur Netzwerker !) ist das gesamte Internet geroutet und kein dummes, flaches Layer 2 Netz ! face-wink
Im gesamten 4G und 5G Mobilnetz wird Voice nur noch über geroutetes VoIP gemacht !
darkness08
darkness08 07.04.2020 um 10:01:50 Uhr
Goto Top
Ich muss noch mal schauen.

NAT kann in diesem Fall maximal FreePBX machen. Ansonten ist kein Gerät dazwischen, was das machen könnte (SG350 kann das nicht? bzw. wüsste ich nicht wie es einzuschalten ist face-smile ), opnsense ist auf dem Weg nicht eingebunden.


Eben habe ich den Raspi mit FreePBX neu gestartet und schon läuft das ganze. Sehr komisch. Ich danke euch aber für die Gedult und Hilfe.
aqui
aqui 07.04.2020 um 10:04:54 Uhr
Goto Top
👍