10
Fritzbox Telefonie hinter OpnSense zur Verfügung stellen
Guten Abend zusammen,
ich habe eine Frage zu einem bestehenden Netzwerk, das ich übernommen habe, und hoffe auf einige Ideen oder Lösungsvorschläge. Folgendes Szenario:
Im Netzwerk befindet sich eine Fritzbox mit der IP-Adresse 172.16.1.254, die sowohl für den Internetzugang als auch für die Telefonie zuständig ist. Ein DECT-Schnurlostelefon ist bereits am Empfang angebunden. Es sollen nun drei zusätzliche IP-Telefone (Cisco) in verschiedenen Büros eingebunden werden.
Netzwerkstruktur:
WAN -> Fritzbox (172.16.1.254) -> LAN 1 Fritzbox -> WAN OPNsense Router (172.16.1.253) -> LAN OPNsense Router (Trunk-Port) -> Hauptswitch (Trunk-Port mit VLANs)
Die VLANs sind wie folgt definiert:
Rahmenbedingungen:
Wunsch:
Die VoIP-Telefonie der Fritzbox soll über die OPNsense zum Hauptswitch durchgereicht werden, damit die Cisco IP-Telefone in den Büros eingebunden werden können.
Problem:
Herausforderungen / Überlegungen:
Vielen Dank im Voraus für eure Ideen und Anregungen!
ich habe eine Frage zu einem bestehenden Netzwerk, das ich übernommen habe, und hoffe auf einige Ideen oder Lösungsvorschläge. Folgendes Szenario:
Im Netzwerk befindet sich eine Fritzbox mit der IP-Adresse 172.16.1.254, die sowohl für den Internetzugang als auch für die Telefonie zuständig ist. Ein DECT-Schnurlostelefon ist bereits am Empfang angebunden. Es sollen nun drei zusätzliche IP-Telefone (Cisco) in verschiedenen Büros eingebunden werden.
Netzwerkstruktur:
WAN -> Fritzbox (172.16.1.254) -> LAN 1 Fritzbox -> WAN OPNsense Router (172.16.1.253) -> LAN OPNsense Router (Trunk-Port) -> Hauptswitch (Trunk-Port mit VLANs)
Die VLANs sind wie folgt definiert:
- VLAN 10: 192.168.10.x (Datennetz/PCs)
- VLAN 11: 192.168.11.x (IoT)
- VLAN 12: 192.168.12.x (Gastnetz)
- etc.
- Default-VLAN 1: 192.168.1.x (Managementnetz für Switche, z. B. Switch 1: 192.168.1.10 und Anbindung der APs).
Rahmenbedingungen:
- Doppeltes NAT ist gewünscht und steht nicht zur Diskussion.
- Die vorhandene Verkabelung ist limitiert:
- In jedem Raum gibt es nur einen Netzwerkanschluss mit 4-adriger Verkabelung (ehemalige Telefonleitung).
- In jedem Raum steht ein kleiner Switch für die Verteilung an PCs, Access Points und Drucker. Diese Switches sind per Trunk-Port mit dem Hauptswitch verbunden.
- Eine Infrastrukturänderung oder zusätzliche Verkabelung ist nicht möglich.
Wunsch:
Die VoIP-Telefonie der Fritzbox soll über die OPNsense zum Hauptswitch durchgereicht werden, damit die Cisco IP-Telefone in den Büros eingebunden werden können.
Problem:
- Die Fritzbox unterstützt keine VLANs.
- Das Default-VLAN 1 wird bereits für das Management der Switche genutzt (mit unterschiedlichen IP-Bereichen).
- Der Anschluss der IP-Telefone direkt an die Fritzbox (freie LAN-Ports) ist wegen der Infrastruktur nicht möglich.
- Ein SIP-Client auf PCs ist nicht gewünscht.
- Eine Portierung in die Cloud (Cloud-Telefonanlage) ist aktuell nicht gewünscht.
Herausforderungen / Überlegungen:
- Welche Möglichkeiten gibt es, die VoIP-Pakete der Fritzbox durch die OPNsense zu „schleifen“ und im Netzwerk (am Switch/VLAN) bereitzustellen?
- Wie müssen die Cisco IP-Telefone konfiguriert werden, um ihren Traffic korrekt durch das VLAN und die OPNsense zur Fritzbox zu leiten? Die entsprechende Anleitung von @aqui ist mir bekannt.
- Gibt es elegante Alternativen, die mit der bestehenden Infrastruktur kompatibel sind, ohne grundlegende Änderungen vorzunehmen (Cloud, Softphones, neue Verkabelung sind ausgeschlossen)?
Vielen Dank im Voraus für eure Ideen und Anregungen!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670313
Url: https://administrator.de/forum/fritzbox-telefonie-hinter-opnsense-zur-verfuegung-stellen-670313.html
Ausgedruckt am: 24.01.2025 um 06:01 Uhr
10 Kommentare
Neuester Kommentar
Moin,
wenn folgendes ein Kriterium sein soll:
dann stellt sich die Frage wieso überhaupt auf eine Osense gesetzt wird.
Mit ein bisschen Netzwerk Wissen ist das NAT schlicht hinfällig. Du betreibst hier doch eine echte Firewall.
Da deine paar Telefon durch anzubinden ist ein riesiger völlig unnötiger Klimzug.
Und auch das VLan Argument ist doch unnötig. Wenn aus den Netzen hinter der OSense eine Einwahl per SIP zur Fritte möglich sein soll, dann setz erstmal die Routen korrekt in Richtung der Sense. Schon bist du das NAT los.
Dann hast du zwei Option bezüglicher der FW Regeln auf der Sense.
1. du gibts 5060 als SIP Port frei + die riesige Portrange für die Kommunikationskanäle.
2. beste Option. Setzt den SIP Proxy auf der Sense ein. https://forum.opnsense.org/index.php?topic=6112.0
Hast du spezifische Fragen dazu?
Gruß
Spirit
Edit: ich hoffe deine OPNsense ist auch das Gateway für die VLans. Das geht aus deiner Beschreibung nicht hervor.
wenn folgendes ein Kriterium sein soll:
dann stellt sich die Frage wieso überhaupt auf eine Osense gesetzt wird.
Mit ein bisschen Netzwerk Wissen ist das NAT schlicht hinfällig. Du betreibst hier doch eine echte Firewall.
Da deine paar Telefon durch anzubinden ist ein riesiger völlig unnötiger Klimzug.
Und auch das VLan Argument ist doch unnötig. Wenn aus den Netzen hinter der OSense eine Einwahl per SIP zur Fritte möglich sein soll, dann setz erstmal die Routen korrekt in Richtung der Sense. Schon bist du das NAT los.
Dann hast du zwei Option bezüglicher der FW Regeln auf der Sense.
1. du gibts 5060 als SIP Port frei + die riesige Portrange für die Kommunikationskanäle.
2. beste Option. Setzt den SIP Proxy auf der Sense ein. https://forum.opnsense.org/index.php?topic=6112.0
Hast du spezifische Fragen dazu?
Gruß
Spirit
Edit: ich hoffe deine OPNsense ist auch das Gateway für die VLans. Das geht aus deiner Beschreibung nicht hervor.
Zitat von @Spirit-of-Eli:
dann stellt sich die Frage wieso überhaupt auf eine Osense gesetzt wird.
Mit ein bisschen Netzwerk Wissen ist das NAT schlicht hinfällig. Du betreibst hier doch eine echte Firewall.
Da deine paar Telefon durch anzubinden ist ein riesiger völlig unnötiger Klimzug.
dann stellt sich die Frage wieso überhaupt auf eine Osense gesetzt wird.
Mit ein bisschen Netzwerk Wissen ist das NAT schlicht hinfällig. Du betreibst hier doch eine echte Firewall.
Da deine paar Telefon durch anzubinden ist ein riesiger völlig unnötiger Klimzug.
Das ist richtig. Ich habe das Netzwerk so übernommen, hier soll erstmal nichts verändert werden. Leider kann ich nur Vermutungen aufstellen, einen genauen Grund kenne ich nicht. Deine Idee wäre es eine statische Route zu erstellen, damit die Fritzbox auch die Netze der OpnSense sieht, richtig? Ist nur eine Route zu erstellen, oder für jedes einzelne VLAN?
Und auch das VLan Argument ist doch unnötig. Wenn aus den Netzen hinter der OSense eine Einwahl per SIP zur Fritte möglich sein soll, dann setz erstmal die Routen korrekt in Richtung der Sense. Schon bist du das NAT los.
Dann hast du zwei Option bezüglicher der FW Regeln auf der Sense.
1. du gibts 5060 als SIP Port frei + die riesige Portrange für die Kommunikationskanäle.
SIP Port freigeben ist das kleinere übel. Die riesige Portrange für die Kommunikation seh ich eher als kritisch, auch im Blick auf Sicherheit und SIP-Angriffe, was ich so kurz beim überfliegen im Netz gelesen habe.Dann hast du zwei Option bezüglicher der FW Regeln auf der Sense.
1. du gibts 5060 als SIP Port frei + die riesige Portrange für die Kommunikationskanäle.
2. beste Option. Setzt den SIP Proxy auf der Sense ein. https://forum.opnsense.org/index.php?topic=6112.0
Hast du spezifische Fragen dazu?
Hast du spezifische Fragen dazu?
SIP-Proxy wird auf der OpnSense installiert und dient dann wie ein normaler Proxy als Diener und vermittelt auf SIP-Protokollebene zw. Fritzbox und OpnSense? Ich habe bisher nur Anleitungen gefunden, welche die Fritzbox HINTER der OpnSense haben, jedoch nicht VOR der OpnSense. Dementsprechend sehen auch die Konfigurationen wieder anders aus.
Edit: ich hoffe deine OPNsense ist auch das Gateway für die VLans. Das geht aus deiner Beschreibung nicht hervor.
Ja, die OpnSense its das Gateway für jedes VLAN. Die VLANs untereinander sind auch sauber getrennt und auch nur die Ports freigegeben, welche auch frei sein müssen.
Also, bei denen von dir beschriebenen Netzen hinter Sense täte es natürlich auch 192.168.0.0/16
Ob alle deine Netze enthalten sind, kannst nur du beurteilen.
Nur alle Kommunikations Ports freizugeben, sehe ich auch als die schlechteste Variante an.
Daher der Proxy. Der kann als Weiche dienen, lauscht der Kommunikation und öffnet dementsprechend nur die spezifischen Ports. Außerdem vermittel dieser die Kommunikation.
Das geht für die Telefone genau so wie für einen SIP-Trunk zu einem Provider.
Wo ich mir nicht mehr 100% sicher bin ist, ob der Proxy als SIP Proxy bei den Telefonen eingetragen sein muss.
Ist alles zum glück lange her.
Ob alle deine Netze enthalten sind, kannst nur du beurteilen.
Nur alle Kommunikations Ports freizugeben, sehe ich auch als die schlechteste Variante an.
Daher der Proxy. Der kann als Weiche dienen, lauscht der Kommunikation und öffnet dementsprechend nur die spezifischen Ports. Außerdem vermittel dieser die Kommunikation.
Das geht für die Telefone genau so wie für einen SIP-Trunk zu einem Provider.
Wo ich mir nicht mehr 100% sicher bin ist, ob der Proxy als SIP Proxy bei den Telefonen eingetragen sein muss.
Ist alles zum glück lange her.
Hallo,
Du hast ein Museum mit Komponenten aus der Eiszeit übernommen
CAT5 ist es definitiv nicht. https://www.gutefrage.net/frage/100mbit-kabel-telefonleitung
und zum Testen des Netzwerks (Telefonleitungsnetz werks) iPerf3 oder NetIO
https://de.wikipedia.org/wiki/Twisted-Pair-Kabel#Kategorie_3
https://www.direct.de/telefone/telefone-nach-hersteller/cisco.html
https://www.cisco.com/c/de_de/products/collaboration-endpoints/ip-phones ...
https://fritzbox24.de/welches-ip-telefon-funktioniert-an-der-fritzbox/
https://www.cisco.com/c/de_de/support/docs/smb/collaboration-endpoints/c ...
https://www.cisco.com/c/de_de/support/collaboration-endpoints/unified-ip ...
https://www.placetel.de/cisco-ip-telefone
https://help.webex.com/de-de/article/gt9pvq/Liste-der-in-Unified-CM-Vers ...
Gruss,
Peter
Du hast ein Museum mit Komponenten aus der Eiszeit übernommen
Es sollen nun drei zusätzliche IP-Telefone (Cisco) in verschiedenen Büros eingebunden werden.
Nicht jedes Cisco funktioniert an einer Fritzbox. Sollen die per DECT oder WLAN oder LAN betrieben werden?* Die vorhandene Verkabelung ist limitiert:
und nicht geeignet * In jedem Raum gibt es nur einen Netzwerkanschluss mit 4-adriger Verkabelung (ehemalige Telefonleitung).
Kann da denn 100 Mbit/s gemacht werden oder geht dort nur 10 MBit/s?CAT5 ist es definitiv nicht. https://www.gutefrage.net/frage/100mbit-kabel-telefonleitung
und zum Testen des Netzwerks (Telefonleitungsnetz werks) iPerf3 oder NetIO
* In jedem Raum steht ein kleiner Switch für die Verteilung an PCs, Access Points und Drucker. Diese Switches sind per Trunk-Port mit dem Hauptswitch verbunden.
Da braucht es aber viele Telefonleitungen * Eine Infrastrukturänderung oder zusätzliche Verkabelung ist nicht möglich.
Nicht möglich oder nicht gewonscht? Hätte man die Titanic heben wollen und jemand bezahlt hätte, würde die Titanic heute noch Geld einfahren.* Die Fritzbox unterstützt keine VLANs.
Warum sollte die auch vLANs können?* Das Default-VLAN 1 wird bereits für das Management der Switche genutzt (mit unterschiedlichen IP-Bereichen).
WElche unterschiedliche Netze? Da ist von dir nur eins (1) genannt.* Der Anschluss der IP-Telefone direkt an die Fritzbox (freie LAN-Ports) ist wegen der Infrastruktur nicht möglich.
Dann per DECT oder WLAN* Wie müssen die Cisco IP-Telefone konfiguriert werden,
Welche Cisco Telefone sind es denn?https://de.wikipedia.org/wiki/Twisted-Pair-Kabel#Kategorie_3
https://www.direct.de/telefone/telefone-nach-hersteller/cisco.html
https://www.cisco.com/c/de_de/products/collaboration-endpoints/ip-phones ...
https://fritzbox24.de/welches-ip-telefon-funktioniert-an-der-fritzbox/
https://www.cisco.com/c/de_de/support/docs/smb/collaboration-endpoints/c ...
https://www.cisco.com/c/de_de/support/collaboration-endpoints/unified-ip ...
https://www.placetel.de/cisco-ip-telefone
https://help.webex.com/de-de/article/gt9pvq/Liste-der-in-Unified-CM-Vers ...
Gruss,
Peter
Kauf nen Modem hinzu, häng das vor die OPNsense und packe die Fritze für VOIPonly in ein eigenes vLAN (hinter die OPNsense).
Moin,
Warum muss das Telefon über die OPNsense gehen?
Über die sicherheitstechnische Vorteile/ Nachteile kann man sicherlich diskutieren, wäre aber Netzwerktechn. das unkomplizierteste…
Warum muss das Telefon über die OPNsense gehen?
- VLAN 100 anlegen (und zu allen Switches verteilen)
- FRITZ!Box (LAN) und OpnSense (WAN) dort anbinden
- Telefone ebenfalls ins VLAN 100 aufnehmen und an FRITZ!box anmelden lassen.
- alle haben eine IP aus 172.16.1.0/24 (oder einem kleineren Netz)
Über die sicherheitstechnische Vorteile/ Nachteile kann man sicherlich diskutieren, wäre aber Netzwerktechn. das unkomplizierteste…
Moin,
Stell neben die pfsense einen Raspi als "Telefonanlage", z.B. mit Asterisk und binde den als Voip-Client an die Fritzbox durch die pfsense durch ein.
Und die ip-telefone koppelst Du an den Pi.
Und ab ist der Lack.
lks
PS: oder du machst die Telefonie in der Dritte weg, stellst die pfsense als exposed Host ein und laßt gleich den Pi dran als Tefoniecenter.
PPS: oder Du aktivierst Pppoe-Paßthrough auf der Fritte und laßt die pfsense die Einwahl machen.
Du siehst. Es führen viele Wege nachRAMROM.
Stell neben die pfsense einen Raspi als "Telefonanlage", z.B. mit Asterisk und binde den als Voip-Client an die Fritzbox durch die pfsense durch ein.
Und die ip-telefone koppelst Du an den Pi.
Und ab ist der Lack.
lks
PS: oder du machst die Telefonie in der Dritte weg, stellst die pfsense als exposed Host ein und laßt gleich den Pi dran als Tefoniecenter.
PPS: oder Du aktivierst Pppoe-Paßthrough auf der Fritte und laßt die pfsense die Einwahl machen.
Du siehst. Es führen viele Wege nach
Auf der Fritzbox muss gar nichts konfiguriert sein mit der Ausnahme das die Fritte als IP Client konfiguriert sein muss wenn sie lediglich intern als reine VoIP Telefonanlage arbeitet.
Mehr ist definitiv nicht zu machen weil sie üblicherweise TCP für VoIP (SIP) verwendet und mit ihren Keepalives zum SIP Provider dafür sorgt das der Firewall NAT Port für eingehende SIP Connections offen bleibt. Ebenso verwendet sie symetrische RTP Ports so das dort auch keine Probleme zu erwarten sind.
Dieses Forenturorial hat noch ein paar Details zu der Thematik.
Ein paar weitere Threads zu dem Thema findet man hier und auch hier.
Ein SIPgate Account rennt hier mit Cisco 82xx Telefonen über eine 7490er Fritte im IP Client Mode und 2 kaskadierten NAT Firewalls völlig fehlerfrei ohne Auffälligkeiten und spezielle Konfig.
Dieses Forenturorial hat noch ein paar Details zu der Thematik.
Ein paar weitere Threads zu dem Thema findet man hier und auch hier.
Ein SIPgate Account rennt hier mit Cisco 82xx Telefonen über eine 7490er Fritte im IP Client Mode und 2 kaskadierten NAT Firewalls völlig fehlerfrei ohne Auffälligkeiten und spezielle Konfig.
Moin.
Gehen die Funktionsanforderungen der Cisco-Telefone über die der C5 / C6 von AVM hinaus?
Reichen ggf. weitere Schnurlostelefone von AVM und ggf. ein DECT Repeater?
Wenn noch eine verkabelte Dose und ein Port am Patchpanel frei ist, könnte darüber eine alte Fritzbox als DECT-Repeater per LAN an die Fritzbox angeschlossen werden - falls die anderen Büros zu weit weg sind, aber dort wo sie sind nahe genug beieinander sind.
So als quick&dirty Lösung?
* Gibt es elegante Alternativen, die mit der bestehenden Infrastruktur kompatibel sind, ohne grundlegende Änderungen vorzunehmen (Cloud, Softphones, neue Verkabelung sind ausgeschlossen)?
Wie weit sind die Büros von der FB entfernt?Gehen die Funktionsanforderungen der Cisco-Telefone über die der C5 / C6 von AVM hinaus?
Reichen ggf. weitere Schnurlostelefone von AVM und ggf. ein DECT Repeater?
Wenn noch eine verkabelte Dose und ein Port am Patchpanel frei ist, könnte darüber eine alte Fritzbox als DECT-Repeater per LAN an die Fritzbox angeschlossen werden - falls die anderen Büros zu weit weg sind, aber dort wo sie sind nahe genug beieinander sind.
So als quick&dirty Lösung?
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
