4
Fritzbox Telefonie hinter OpnSense zur Verfügung stellen
Guten Abend zusammen,
ich habe eine Frage zu einem bestehenden Netzwerk, das ich übernommen habe, und hoffe auf einige Ideen oder Lösungsvorschläge. Folgendes Szenario:
Im Netzwerk befindet sich eine Fritzbox mit der IP-Adresse 172.16.1.254, die sowohl für den Internetzugang als auch für die Telefonie zuständig ist. Ein DECT-Schnurlostelefon ist bereits am Empfang angebunden. Es sollen nun drei zusätzliche IP-Telefone (Cisco) in verschiedenen Büros eingebunden werden.
Netzwerkstruktur:
WAN -> Fritzbox (172.16.1.254) -> LAN 1 Fritzbox -> WAN OPNsense Router (172.16.1.253) -> LAN OPNsense Router (Trunk-Port) -> Hauptswitch (Trunk-Port mit VLANs)
Die VLANs sind wie folgt definiert:
Rahmenbedingungen:
Wunsch:
Die VoIP-Telefonie der Fritzbox soll über die OPNsense zum Hauptswitch durchgereicht werden, damit die Cisco IP-Telefone in den Büros eingebunden werden können.
Problem:
Herausforderungen / Überlegungen:
Vielen Dank im Voraus für eure Ideen und Anregungen!
ich habe eine Frage zu einem bestehenden Netzwerk, das ich übernommen habe, und hoffe auf einige Ideen oder Lösungsvorschläge. Folgendes Szenario:
Im Netzwerk befindet sich eine Fritzbox mit der IP-Adresse 172.16.1.254, die sowohl für den Internetzugang als auch für die Telefonie zuständig ist. Ein DECT-Schnurlostelefon ist bereits am Empfang angebunden. Es sollen nun drei zusätzliche IP-Telefone (Cisco) in verschiedenen Büros eingebunden werden.
Netzwerkstruktur:
WAN -> Fritzbox (172.16.1.254) -> LAN 1 Fritzbox -> WAN OPNsense Router (172.16.1.253) -> LAN OPNsense Router (Trunk-Port) -> Hauptswitch (Trunk-Port mit VLANs)
Die VLANs sind wie folgt definiert:
- VLAN 10: 192.168.10.x (Datennetz/PCs)
- VLAN 11: 192.168.11.x (IoT)
- VLAN 12: 192.168.12.x (Gastnetz)
- etc.
- Default-VLAN 1: 192.168.1.x (Managementnetz für Switche, z. B. Switch 1: 192.168.1.10 und Anbindung der APs).
Rahmenbedingungen:
- Doppeltes NAT ist gewünscht und steht nicht zur Diskussion.
- Die vorhandene Verkabelung ist limitiert:
- In jedem Raum gibt es nur einen Netzwerkanschluss mit 4-adriger Verkabelung (ehemalige Telefonleitung).
- In jedem Raum steht ein kleiner Switch für die Verteilung an PCs, Access Points und Drucker. Diese Switches sind per Trunk-Port mit dem Hauptswitch verbunden.
- Eine Infrastrukturänderung oder zusätzliche Verkabelung ist nicht möglich.
Wunsch:
Die VoIP-Telefonie der Fritzbox soll über die OPNsense zum Hauptswitch durchgereicht werden, damit die Cisco IP-Telefone in den Büros eingebunden werden können.
Problem:
- Die Fritzbox unterstützt keine VLANs.
- Das Default-VLAN 1 wird bereits für das Management der Switche genutzt (mit unterschiedlichen IP-Bereichen).
- Der Anschluss der IP-Telefone direkt an die Fritzbox (freie LAN-Ports) ist wegen der Infrastruktur nicht möglich.
- Ein SIP-Client auf PCs ist nicht gewünscht.
- Eine Portierung in die Cloud (Cloud-Telefonanlage) ist aktuell nicht gewünscht.
Herausforderungen / Überlegungen:
- Welche Möglichkeiten gibt es, die VoIP-Pakete der Fritzbox durch die OPNsense zu „schleifen“ und im Netzwerk (am Switch/VLAN) bereitzustellen?
- Wie müssen die Cisco IP-Telefone konfiguriert werden, um ihren Traffic korrekt durch das VLAN und die OPNsense zur Fritzbox zu leiten? Die entsprechende Anleitung von @aqui ist mir bekannt.
- Gibt es elegante Alternativen, die mit der bestehenden Infrastruktur kompatibel sind, ohne grundlegende Änderungen vorzunehmen (Cloud, Softphones, neue Verkabelung sind ausgeschlossen)?
Vielen Dank im Voraus für eure Ideen und Anregungen!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670313
Url: https://administrator.de/forum/fritzbox-telefonie-hinter-opnsense-zur-verfuegung-stellen-670313.html
Ausgedruckt am: 21.12.2024 um 02:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
wenn folgendes ein Kriterium sein soll:
dann stellt sich die Frage wieso überhaupt auf eine Osense gesetzt wird.
Mit ein bisschen Netzwerk Wissen ist das NAT schlicht hinfällig. Du betreibst hier doch eine echte Firewall.
Da deine paar Telefon durch anzubinden ist ein riesiger völlig unnötiger Klimzug.
Und auch das VLan Argument ist doch unnötig. Wenn aus den Netzen hinter der OSense eine Einwahl per SIP zur Fritte möglich sein soll, dann setz erstmal die Routen korrekt in Richtung der Sense. Schon bist du das NAT los.
Dann hast du zwei Option bezüglicher der FW Regeln auf der Sense.
1. du gibts 5060 als SIP Port frei + die riesige Portrange für die Kommunikationskanäle.
2. beste Option. Setzt den SIP Proxy auf der Sense ein. https://forum.opnsense.org/index.php?topic=6112.0
Hast du spezifische Fragen dazu?
Gruß
Spirit
Edit: ich hoffe deine OPNsense ist auch das Gateway für die VLans. Das geht aus deiner Beschreibung nicht hervor.
wenn folgendes ein Kriterium sein soll:
dann stellt sich die Frage wieso überhaupt auf eine Osense gesetzt wird.
Mit ein bisschen Netzwerk Wissen ist das NAT schlicht hinfällig. Du betreibst hier doch eine echte Firewall.
Da deine paar Telefon durch anzubinden ist ein riesiger völlig unnötiger Klimzug.
Und auch das VLan Argument ist doch unnötig. Wenn aus den Netzen hinter der OSense eine Einwahl per SIP zur Fritte möglich sein soll, dann setz erstmal die Routen korrekt in Richtung der Sense. Schon bist du das NAT los.
Dann hast du zwei Option bezüglicher der FW Regeln auf der Sense.
1. du gibts 5060 als SIP Port frei + die riesige Portrange für die Kommunikationskanäle.
2. beste Option. Setzt den SIP Proxy auf der Sense ein. https://forum.opnsense.org/index.php?topic=6112.0
Hast du spezifische Fragen dazu?
Gruß
Spirit
Edit: ich hoffe deine OPNsense ist auch das Gateway für die VLans. Das geht aus deiner Beschreibung nicht hervor.
Zitat von @Spirit-of-Eli:
dann stellt sich die Frage wieso überhaupt auf eine Osense gesetzt wird.
Mit ein bisschen Netzwerk Wissen ist das NAT schlicht hinfällig. Du betreibst hier doch eine echte Firewall.
Da deine paar Telefon durch anzubinden ist ein riesiger völlig unnötiger Klimzug.
dann stellt sich die Frage wieso überhaupt auf eine Osense gesetzt wird.
Mit ein bisschen Netzwerk Wissen ist das NAT schlicht hinfällig. Du betreibst hier doch eine echte Firewall.
Da deine paar Telefon durch anzubinden ist ein riesiger völlig unnötiger Klimzug.
Das ist richtig. Ich habe das Netzwerk so übernommen, hier soll erstmal nichts verändert werden. Leider kann ich nur Vermutungen aufstellen, einen genauen Grund kenne ich nicht. Deine Idee wäre es eine statische Route zu erstellen, damit die Fritzbox auch die Netze der OpnSense sieht, richtig? Ist nur eine Route zu erstellen, oder für jedes einzelne VLAN?
Und auch das VLan Argument ist doch unnötig. Wenn aus den Netzen hinter der OSense eine Einwahl per SIP zur Fritte möglich sein soll, dann setz erstmal die Routen korrekt in Richtung der Sense. Schon bist du das NAT los.
Dann hast du zwei Option bezüglicher der FW Regeln auf der Sense.
1. du gibts 5060 als SIP Port frei + die riesige Portrange für die Kommunikationskanäle.
SIP Port freigeben ist das kleinere übel. Die riesige Portrange für die Kommunikation seh ich eher als kritisch, auch im Blick auf Sicherheit und SIP-Angriffe, was ich so kurz beim überfliegen im Netz gelesen habe.Dann hast du zwei Option bezüglicher der FW Regeln auf der Sense.
1. du gibts 5060 als SIP Port frei + die riesige Portrange für die Kommunikationskanäle.
2. beste Option. Setzt den SIP Proxy auf der Sense ein. https://forum.opnsense.org/index.php?topic=6112.0
Hast du spezifische Fragen dazu?
Hast du spezifische Fragen dazu?
SIP-Proxy wird auf der OpnSense installiert und dient dann wie ein normaler Proxy als Diener und vermittelt auf SIP-Protokollebene zw. Fritzbox und OpnSense? Ich habe bisher nur Anleitungen gefunden, welche die Fritzbox HINTER der OpnSense haben, jedoch nicht VOR der OpnSense. Dementsprechend sehen auch die Konfigurationen wieder anders aus.
Edit: ich hoffe deine OPNsense ist auch das Gateway für die VLans. Das geht aus deiner Beschreibung nicht hervor.
Ja, die OpnSense its das Gateway für jedes VLAN. Die VLANs untereinander sind auch sauber getrennt und auch nur die Ports freigegeben, welche auch frei sein müssen.
Also, bei denen von dir beschriebenen Netzen hinter Sense täte es natürlich auch 192.168.0.0/16
Ob alle deine Netze enthalten sind, kannst nur du beurteilen.
Nur alle Kommunikations Ports freizugeben, sehe ich auch als die schlechteste Variante an.
Daher der Proxy. Der kann als Weiche dienen, lauscht der Kommunikation und öffnet dementsprechend nur die spezifischen Ports. Außerdem vermittel dieser die Kommunikation.
Das geht für die Telefone genau so wie für einen SIP-Trunk zu einem Provider.
Wo ich mir nicht mehr 100% sicher bin ist, ob der Proxy als SIP Proxy bei den Telefonen eingetragen sein muss.
Ist alles zum glück lange her.
Ob alle deine Netze enthalten sind, kannst nur du beurteilen.
Nur alle Kommunikations Ports freizugeben, sehe ich auch als die schlechteste Variante an.
Daher der Proxy. Der kann als Weiche dienen, lauscht der Kommunikation und öffnet dementsprechend nur die spezifischen Ports. Außerdem vermittel dieser die Kommunikation.
Das geht für die Telefone genau so wie für einen SIP-Trunk zu einem Provider.
Wo ich mir nicht mehr 100% sicher bin ist, ob der Proxy als SIP Proxy bei den Telefonen eingetragen sein muss.
Ist alles zum glück lange her.
Hallo,
Du hast ein Museum mit Komponenten aus der Eiszeit übernommen
CAT5 ist es definitiv nicht. https://www.gutefrage.net/frage/100mbit-kabel-telefonleitung
und zum Testen des Netzwerks (Telefonleitungsnetz werks) iPerf3 oder NetIO
https://de.wikipedia.org/wiki/Twisted-Pair-Kabel#Kategorie_3
https://www.direct.de/telefone/telefone-nach-hersteller/cisco.html
https://www.cisco.com/c/de_de/products/collaboration-endpoints/ip-phones ...
https://fritzbox24.de/welches-ip-telefon-funktioniert-an-der-fritzbox/
https://www.cisco.com/c/de_de/support/docs/smb/collaboration-endpoints/c ...
https://www.cisco.com/c/de_de/support/collaboration-endpoints/unified-ip ...
https://www.placetel.de/cisco-ip-telefone
https://help.webex.com/de-de/article/gt9pvq/Liste-der-in-Unified-CM-Vers ...
Gruss,
Peter
Du hast ein Museum mit Komponenten aus der Eiszeit übernommen
Es sollen nun drei zusätzliche IP-Telefone (Cisco) in verschiedenen Büros eingebunden werden.
Nicht jedes Cisco funktioniert an einer Fritzbox. Sollen die per DECT oder WLAN oder LAN betrieben werden?* Die vorhandene Verkabelung ist limitiert:
und nicht geeignet * In jedem Raum gibt es nur einen Netzwerkanschluss mit 4-adriger Verkabelung (ehemalige Telefonleitung).
Kann da denn 100 Mbit/s gemacht werden oder geht dort nur 10 MBit/s?CAT5 ist es definitiv nicht. https://www.gutefrage.net/frage/100mbit-kabel-telefonleitung
und zum Testen des Netzwerks (Telefonleitungsnetz werks) iPerf3 oder NetIO
* In jedem Raum steht ein kleiner Switch für die Verteilung an PCs, Access Points und Drucker. Diese Switches sind per Trunk-Port mit dem Hauptswitch verbunden.
Da braucht es aber viele Telefonleitungen * Eine Infrastrukturänderung oder zusätzliche Verkabelung ist nicht möglich.
Nicht möglich oder nicht gewonscht? Hätte man die Titanic heben wollen und jemand bezahlt hätte, würde die Titanic heute noch Geld einfahren.* Die Fritzbox unterstützt keine VLANs.
Warum sollte die auch vLANs können?* Das Default-VLAN 1 wird bereits für das Management der Switche genutzt (mit unterschiedlichen IP-Bereichen).
WElche unterschiedliche Netze? Da ist von dir nur eins (1) genannt.* Der Anschluss der IP-Telefone direkt an die Fritzbox (freie LAN-Ports) ist wegen der Infrastruktur nicht möglich.
Dann per DECT oder WLAN* Wie müssen die Cisco IP-Telefone konfiguriert werden,
Welche Cisco Telefone sind es denn?https://de.wikipedia.org/wiki/Twisted-Pair-Kabel#Kategorie_3
https://www.direct.de/telefone/telefone-nach-hersteller/cisco.html
https://www.cisco.com/c/de_de/products/collaboration-endpoints/ip-phones ...
https://fritzbox24.de/welches-ip-telefon-funktioniert-an-der-fritzbox/
https://www.cisco.com/c/de_de/support/docs/smb/collaboration-endpoints/c ...
https://www.cisco.com/c/de_de/support/collaboration-endpoints/unified-ip ...
https://www.placetel.de/cisco-ip-telefone
https://help.webex.com/de-de/article/gt9pvq/Liste-der-in-Unified-CM-Vers ...
Gruss,
Peter
