Frage zu VoIP-VLAN und
Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route.
Dazu aber mal eine Grundsätzliches Frage.
Ich habe VoIP in ein eigenes VLAN geschoben, um so die VOIP-DAten von dem "Rest" zu trennen. Wenn ich mir aber ein entsprechenden UDP-Relay einrichte um einen SIP-Clienten in einen anderem VLAN zu bedienen, hebe ich doch eigentlich die anfängliche Trennung zwischen den VLAN wieder auf oder?
Dazu aber mal eine Grundsätzliches Frage.
Ich habe VoIP in ein eigenes VLAN geschoben, um so die VOIP-DAten von dem "Rest" zu trennen. Wenn ich mir aber ein entsprechenden UDP-Relay einrichte um einen SIP-Clienten in einen anderem VLAN zu bedienen, hebe ich doch eigentlich die anfängliche Trennung zwischen den VLAN wieder auf oder?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 563423
Url: https://administrator.de/forum/frage-zu-voip-vlan-und-563423.html
Ausgedruckt am: 27.12.2024 um 07:12 Uhr
15 Kommentare
Neuester Kommentar
Das Ziel bei einem VoIP-VLAN ist in aller erster Instanz die Trennung vom Netzwerkgrundrauschen, also Broad- und Multicast-Traffic, der von anderen Geräten im Netzwerk erzeugt wird. Sicherheit ist so eine Sache, weil man das VLAN ja sieht, wenn man mit dem PC einfach das IP-Telefon überspringt und direkt an den Netzwerkanschluss geht.
Naja da könnte man philosophieren. Auch eine Firewall bzw utm ist keine Sicherheitsfunktion per se wenn der Angreifer sie per Kabel einfach umgehen kann. Was ich damit sagen will, Sicherheitsfunktionen stehen i.d.r nie für sich alleine. Ein notbremsassistent hilft auch nur insofern, als dass die Bremsen in Ordnung sind.
Natürlich macht die Trennung Sinn.
Schließlich soll die Telefonanlage nur mit den paar nötigen Ports mit dem Internet kommunizieren, während Du mit dem Handy noch andere Sachen haben willst, z.B. E-Mail.
Und zwischen den beiden VLANs machst Du nur die Ports auf, die Du für den SIP Client brauchst. So ist dann sichergestellt, dass jedes VLAN nur dahin kommunizieren kann, wo Du es willst.
Zusätzlich kannst Du in jedem VLAN getrennte DHCP und DNS Server laufen lassen (wenn gewünscht) so dass auch hier individuelle Ergebnisse erzielt werden können; z.B. läuft bei mir zuhause im normalen WLAN ein pihole für die Handys. Zum Online-Gaming will ich den aber nicht. Um nicht ständig den pihole ein-/ausschalten zu müssen, habe ich ein gesondertes VLAN fürs Gaming (inkl. WLAN). Das darf genau nur ins Internet kommunizieren. Sonst nichts. So bleibt mein Netz sauber, auch wenn ich zocke.
Genau so verhält es sich mit dem VOIP-VLAN bei mir.
Gruß
Looser
P.S.: Ich hoffe das war halbwegs nachvollziehbar.
Schließlich soll die Telefonanlage nur mit den paar nötigen Ports mit dem Internet kommunizieren, während Du mit dem Handy noch andere Sachen haben willst, z.B. E-Mail.
Und zwischen den beiden VLANs machst Du nur die Ports auf, die Du für den SIP Client brauchst. So ist dann sichergestellt, dass jedes VLAN nur dahin kommunizieren kann, wo Du es willst.
Zusätzlich kannst Du in jedem VLAN getrennte DHCP und DNS Server laufen lassen (wenn gewünscht) so dass auch hier individuelle Ergebnisse erzielt werden können; z.B. läuft bei mir zuhause im normalen WLAN ein pihole für die Handys. Zum Online-Gaming will ich den aber nicht. Um nicht ständig den pihole ein-/ausschalten zu müssen, habe ich ein gesondertes VLAN fürs Gaming (inkl. WLAN). Das darf genau nur ins Internet kommunizieren. Sonst nichts. So bleibt mein Netz sauber, auch wenn ich zocke.
Genau so verhält es sich mit dem VOIP-VLAN bei mir.
Gruß
Looser
P.S.: Ich hoffe das war halbwegs nachvollziehbar.
in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route.
Macht man mit PBR sprich Policy Based Routing wie man als Netzwerker weiss. Ich habe VoIP in ein eigenes VLAN geschoben, um so die VOIP-DAten von dem "Rest" zu trennen
Ist in Firmen allein aus rechtlichen Dingen schon Pflicht ! Generell sollte man sowas immer machen.hebe ich doch eigentlich die anfängliche Trennung zwischen den VLAN wieder auf oder?
Nein, dann machst du stinknormales Routing zwischen den VLANs !Entweder über einen Layer 3 Switch der Routing kann wie es die HIER beschrieben ist. Oder...
Mit einem externen Router wie es das hiesige VLAN_Tutorial explizit beschreibt !
Wie immer: Lesen und verstehen...!
UDP Relay ist Blödsinn, denn sowohl SIP als auch RTP arbeiten nicht mit Broadcasts ! Sie lassen sich also ganz stinknormal routen wie alles andere auch !
Sieh dir den Layer 3 Thread zum SG-350 an oben, da ist alles beschrieben !
Hi,
welcher Kommunikationsweg funktioniert denn nicht?
Intern nach intern? Extern nach intern?
Generell ist es so dass du dann wahrscheinlich ein NAT im Einsatz hast was für eine normale SIP Kommunikation ein wenig Aufwand bedeutet. Die Port 5060 bzw 5061 sind nur zur Signalisierung zuständig. Die Audiodaten gehen dann über RTP mittels "Direktverbindung". Hierzu müssen natürlich die Adressen bekannt sein oder die Teilnehmer innerhalb müssen im selben Netzt sein. Falls nicht benötigst du einen STUN Server.
ODER die baust auf deinem Raspi einen OpenVPN Server und lässt dein Handy sich damit in das Netzt ballern.
welcher Kommunikationsweg funktioniert denn nicht?
Intern nach intern? Extern nach intern?
Generell ist es so dass du dann wahrscheinlich ein NAT im Einsatz hast was für eine normale SIP Kommunikation ein wenig Aufwand bedeutet. Die Port 5060 bzw 5061 sind nur zur Signalisierung zuständig. Die Audiodaten gehen dann über RTP mittels "Direktverbindung". Hierzu müssen natürlich die Adressen bekannt sein oder die Teilnehmer innerhalb müssen im selben Netzt sein. Falls nicht benötigst du einen STUN Server.
ODER die baust auf deinem Raspi einen OpenVPN Server und lässt dein Handy sich damit in das Netzt ballern.
Ich kann auch aus dem VLAN40 ein Gerät aus dem VLAN99 anpingen, ebenso in die andere Richtung.
Zeigt dann das dein Routing auf dem Switch richtig konfiguriert ist ! Kommunikation sollte dann normal von jedem VLAN in jedes VLAN und vice versa problemlos möglich sein.
Irgendwie war ich der Meinung, das UDP nicht geroutet werden kann.
Das ist natürlich Unsinn !UDP hat doch ganz normal eine Absender IP und eine Ziel IP ! Folglich lässt es sich stinknormal wie TCP auch routen. Ein fataler Denkfehler...! Einfachste Routing Grundlagen !
sollten die UDP-Pakete doch auch ungehindert zwischen den Netzen geroutet werden.
Jepp, ganz genau !Damit wäre einmal mehr die Frage, warum hören dann nur in eine Richtung klappt.
RTP nutzt dynamische Ports ! Sowas tritt immer auf wenn im Pfad ein NAT Gateway ist (IP Adress Translation). Wegend er dynamischen RTP Ports kann dann eine Richtung das NAT Gateway nicht überwinden und deshalb kommt es zu diesen einseitigen Sprachübertragungen weil immer nur ein RTP Datenstrom das NAT überwinden kann aber nicht in die andere Richtung. Siehe auch HIER.Fazit:
Irgendwo hast du im Pfad ein NAT ! Normal in einen sauberen Routing Umfeld ohne ACL und NAT funktioniert geroutetes VoIP völlig problemlos. Muss auch, denn das ist ja millionenfache Praxis in Unternehmensnetzen.
Wäre es nicht routebar würde ja keiner der All IP Anbieter heutzutage wie Telekom, Vodafone, SIPgate und der Rest der Voice Provider niemals Sprachdaten auf eine FritzBox oder einen VoIP Client bekommen. Wie jedermann weiss (nicht nur Netzwerker !) ist das gesamte Internet geroutet und kein dummes, flaches Layer 2 Netz !
Im gesamten 4G und 5G Mobilnetz wird Voice nur noch über geroutetes VoIP gemacht !