bigandyt
Goto Top

HPE Switch 1820 Fortigate VLAN VoIP Gesprächsabbrüche

Hallo an Alle,

ich muss mich mal an euch wenden, da ich in einem übernommenem Netzwerk ständige Gesprächsabbrüche verzeichne die ich nicht gelöst bekomme. Die Abbrüche sind willkürlich sowohl bei eingehenden als auch ausgehenden Gesprächen zu verzeichnen. Mal nach 10 Sekunden mal nach 5 Minuten oder auch mal erst nach 15-20 Minuten. Der Anschluss ist von der Telekom mit dem Tarif DeutschlandLAN IP Voice/Data L Premium.

Zur aktuellen Konfiguration (die sicherlich extrem verbesserungswürdig ist)

Geräte:
1x HPE Server (Hyper-V mit 4 VMs) 192.168.1.1
1x LANCOM Router - 192.168.100.1
1x HPE "Schrott" Switch 1820 - 192.168.1.11
1x Fortigate 60F - 192.168.1.254
1x Auerswald COMpact 4000 - 192.168.2.240
3x Systemtelefone - 192.168.2.xx
1x DECT mit Handtelefonen - 192.168.2.xx

VLANs:
1 default
10 Intern
20 VoIP
30 Clients - 192.168.3.xx
40 Gast - 192.168.4.xx
100 Management 192.168.100.xx
777 Dead End

Konfiguration Switch:
Port Mirroring / Jumbo Frames / Flow Control / Loop Protection / IGMP Snooping alles auf Disabled
Storm Control und Auto DoS Features alle Disabled

Spanning Tree Enabled
Protocol Version: RSTP (802.1w)
Switch Priority: 4096
Max Age: 20
Forward Delay: 15

LLDP / LLDP-Med ist auf allen Ports enabled! Denke das das schon in korrekt ist, da der Schrott an Switch kein Voice-VLAN kann. Die Auerswald selbst nutzt DiffServ welches aktiviert ist.

Bereits durchgeführt habe ich folgendes:
Der LANCOM in Bridge-Mode versetzt und die PPPoE-Einwahl wird auf der Fortigate terminiert. Auf der Fortigate die SIP-ALG (proxy-based) deaktiviert und den default-voip-alg-mode kernel-helper-based gesetzt. Leider ohne jeglichen Erfolg!

firewallregel_voip
Aktuelle Firewallregel für VoIP.

Weiterhin habe ich gesehen, dass im Grunde alle VLANs untereinander (ausgenommen Gast) alle Dienste ohne jegliche Einschränkung freigegeben haben. Das ist doch ziemlich Sinnfrei oder nicht?

firewallregeln_Übericht
Übersicht Firewallregeln.

Ich hoffe es können mir einige versierte Netzwerker einige Hilfestellungen geben um das gesamte Netzwerk zu verbesseren.

Content-ID: 3653622798

Url: https://administrator.de/forum/hpe-switch-1820-fortigate-vlan-voip-gespraechsabbrueche-3653622798.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

aqui
aqui 15.08.2022 aktualisiert um 11:31:16 Uhr
Goto Top
Wenn DiffServ aktiviert ist bei der Auerswald bedeutet das ja erstmal nur das diese die Voice Pakete klassifiziert, was per se schonmal sehr gut ist.
QoS funktioniert aber immer ausschliesslich Hop basierend!
Bedeutet also das du dafür sorgen musst sowohl auch dem Switch als auch auf dem Router den Voice Traffic zu priorisieren.
Das ist vermutlich bei dir nicht der Fall so das der Voice Traffic wie aller anderer Traffic behandelt wird (best efford) ohne jegliche Priorisierung was dann in einem Laufzeit kritischen Voice Netz ohne ein Voice VLAN zu solchen Problemen führt.
Ein automatisches Voice VLAN brauchst du auch gar nicht, wichtig ist lediglich nur DAS es ein Voice VLAN gibt.
Das kannst du dann auch wie ein gewöhnliches VLAN statisch einrichten um alle Voice Komponenten darin zu betreiben inklusive QoS.
QoS klassifizieren tun die Endgeräte ja schon wie du ja sagst, also musst du Switch und Router nur sagen das sie auf die DiffServ Pakete achten sollen (DiffServ ist Layer 3 QoS im IP Header) und wie sie damit umgehen sollen.

In der Regel haben billige Switches und Router 4 Priority Queues, bessere derer 8.
In den DiffServ QoS Settings sagst du dann einfach nur das der entsprechende DiffServ TDSCP/ToS Wert den die Auerswald setzt in die Prio Queue 4 (oder 8) priorisiert wird so das dieser Traffic immer bevorzugt VOR allem anderen Traffic geforwardet wird und schon gehören deine Abbrüche und Aussetzer der Vergangenheit an.
FW Regelwerke spielen bei Voice QoS eher eine untergeordnete bis keine Rolle sofern die Voice relevanten Pakete passieren können und die UDP Timer (Spache wird in RTP auf UDP Basis transportiert) in der FW entsprechend customized sind.
Nebenbei gesagt sind das im Voice Netz und dessen Setup einfachste Standardprozeduren die ein guter Netzwerker wie du eigentlich kennen sollte! face-wink
Drohnald
Drohnald 15.08.2022 um 11:28:46 Uhr
Goto Top
Hi,

gibt es auch Softphones? Bei 3 Telefonen + 1x DECT sieht mit das nach einer kleinen Butze mit vll. 10 Leuten aus, dafür ist das Netzwerk schon erstaunlich stark strukturieret und ich finde dass es da recht wenig gibt was dringend verbessert werden muss.

Grundsätzlich: Wo brechen die Gespräche ab, was steht in den Auerswald logs?
Ist das Problem die Verbindung Telefon - TK-Anlage oder TK-Anlage -Telekom?

Wenn es keine Softphones gibt, dann reicht ein eigenes VLAN völlig aus, da braucht es keine extra Markierung für VoIP-Pakete. Wenn man wirklich QoS braucht (kommt jetzt auf den Traffic an, der da erzeugt wird), dann würde es ohne SoftPhones reichen das VLAN VoIP zu bevorzugen.

Weiterhin habe ich gesehen, dass im Grunde alle VLANs untereinander (ausgenommen Gast) alle Dienste ohne jegliche Einschränkung freigegeben haben. Das ist doch ziemlich Sinnfrei oder nicht?
Sicherheitstechnisch ja, aber um den Broadcast zu minimieren ist das schon mal nicht schlecht.

Gruß
Drohnald
BigAndyT
BigAndyT 15.08.2022 aktualisiert um 20:46:45 Uhr
Goto Top
@auqi Vielen Dank für deine schnelle Antwort und gute Erklärung. Leider habe ich nie einen dieser HPE Switche konfiguriert. Ich habe kein Menü für die QOS /DiffServ Settings gefunden. Ausser wie unten beschrieben im Spanning Tree oder der VLAN Port Konfiguration!?

Quelle Auerswald:
Die DSCP-Werte werden, wie in RFC 4594 vorgeschlagen, für VoIP-Gespräche gesetzt:
Signalisierung (SIP): CS5,
Sprache (RTP): EF

Somit habe ich die Fortigate nun folgendermaßen um konfiguriert

fortigate_dscp
fortigate_traffic_shaping
fortigate_traffic_policies

Nun stellt sich mir nur noch die Frage, wo ich die Priorisierung am Switch mache? In den VLAN Einstellungen oder unter Spanning Tree für die Ports der VoIP Geräte.

Habe gesehen das die Priorisierung in der VLAN-Konfiguration der Klassenwerte von 0 (niedrigste Priorität) bis 7 (hohe Priorität) angezeigt werden.
BigAndyT
BigAndyT 15.08.2022 um 21:00:45 Uhr
Goto Top
Habe wohl gerade im HPE Support Forum gelesen das dieser gruselige Switch keinen Menüpunkt QOS oder DiffServ für das Queue Mapping bietet.

Man setzt die Prio an den Ports der VLAN Konfiguration wenn ich das richtig verstanden habe.

Default = 0
VoIP = 5

Übersehe ich da was? Hat jemand Erfahrung mit der 1820 Serie und kann kurz etwas dazu sagen?
Csui8n1
Csui8n1 16.08.2022 aktualisiert um 00:51:11 Uhr
Goto Top
Hi,

ich habe ein ähnliches System (Fortigate, Auerswald, Telekom) vor kurzem eingerichtet.

Bereits durchgeführt habe ich folgendes:
Der LANCOM in Bridge-Mode versetzt und die PPPoE-Einwahl wird auf der Fortigate terminiert. Auf der Fortigate die SIP-ALG (proxy-based) deaktiviert und den default-voip-alg-mode kernel-helper-based gesetzt. Leider ohne jeglichen Erfolg!

Den session-helper für SIP habe ich in meinem Fall deaktiviert.
show system session-helper

Sollte
...
edit 13 set name sip set port 5060 set protocol 17
...
vorhanden sein würde ich den Eintrag mal mit
config system session-helper 
delete 13
end
entfernen (Achtung! muss nicht unbedingt die 13 sein)

Viele Grüße
BigAndyT
BigAndyT 16.08.2022 um 08:37:20 Uhr
Goto Top
Ich habe den SIP-ALG und den SIP-Helper bereits mit folgendem Befehl deaktiviert:

config system settings
set sip-helper disable
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based

Hatte ich im obigen Teil nicht ausführlich beschrieben!
BigAndyT
BigAndyT 16.08.2022 um 08:57:16 Uhr
Goto Top
Hast du im VoIP VLAN irgendwelche Security Profiles gesetzt?

Welche DNS-Einstellungen hast du in der Fortigate gesetzt?

Ich habe aktuell folgendes bei Auerswald gefunden:
Die Namensauflösung sollte für Telekom VoIP-Ämter bei den Nameservern erfolgen, die dem Router / der Firewall
bei Einwahl zugewiesen wurden; tragen Sie daher die IP des Routers / der Firewall als ersten und 0.0.0.0 als
zweiten DNS-Server ein und stellen sicher, dass die DNS-Anfragen an die externen DNS-Server weitergeleitet werden,
der Router / die Firewall also als DNS-Proxy bzw DNS-Forwarder arbeitet.

Ich habe bei mir den internen Windows Server als DNS Server hinterlegt! Kann es etwas damit zu tun haben?
aqui
aqui 16.08.2022 um 10:37:53 Uhr
Goto Top
das dieser gruselige Switch....
Das stimmt leider:
https://support.hpe.com/hpesc/public/docDisplay?docId=c04622710
In einem VoIP Netzwerk ist dieser Switch damit eine völlig ungeeignete Hardware da er immer ein Risiko bei der Übertragung der Voice Daten darstellt ohne Priorisierung. Hop by Hop....
Für eine langfristige und befriedigende Lösung solltest du den ersetzen.
Csui8n1
Csui8n1 16.08.2022 um 11:00:29 Uhr
Goto Top
Ich habe das Netz dort erst kürzlich übernommen und den alten Router gegen eine Fortigate getauscht.
Die Auerswald ist noch nicht ins neue VoIP VLAN umgezogen.
Für den SIP Service habe ich daher eine eigene Policy ohne Security Profile angelegt.

In der Fortigate sind öffentliche DNS Server fest eingetragen und der DNS-Service wird auf den internen Interfaces im Mode "Forward to System DNS" bereitgestellt.

In der Auerswald ist hier die Fortigate als DNS Server eingetragen.

auf welchem Stand ist den das FortiOS?

Ich meine
set sip-helper disable
set sip-nat-trace disable
ist nur für FortiOS < 6.2.2.

Bei neueren muss der session-helper wie oben beschrieben gelöscht werden.
Falls es keine Besserung bringt kann man den ja problemlos wieder hinzufügen
config system session-helper edit 0
set name sip set port 5060 set protocol 17
end
BigAndyT
BigAndyT 16.08.2022 aktualisiert um 14:43:39 Uhr
Goto Top
Zitat von @aqui:

das dieser gruselige Switch....
Das stimmt leider:
https://support.hpe.com/hpesc/public/docDisplay?docId=c04622710
In einem VoIP Netzwerk ist dieser Switch damit eine völlig ungeeignete Hardware da er immer ein Risiko bei der Übertragung der Voice Daten darstellt ohne Priorisierung. Hop by Hop....
Für eine langfristige und befriedigende Lösung solltest du den ersetzen.

Was hälst du denn vom Cisco SG250-50HP alternative?

Siehst du eine andere Möglichkeit in diesem Netzwerk das VoIP Netz zu stabilisieren mit dem vorhandenen Switch?

Was ist eigentlich mit der restlichen Konfiguration des Switches (siehe oben) - kann man die so belassen?
Bringt mir z. B. das aktivierte LLDP-MED in dieser Umgebung überhaupt irgendwas? Es werden in der LLDP-MED Remote Device Übersicht keinerlei Network Policy Information (VLAN, Priority, DSCP) übergeben.

Aktuell befinden sich in der Liste einige Systemtelefone, Access Points, Client PC's in der Liste.

Ich habe folgendes gefunden was auf die 1820 Serie zutrifft:
"A second issue with these switches is they do not contain a voice vlan feature. Switches that do not contain this feature can not use CDP or LLDP to inform a VOIP phone which VLAN to start on. This means if you are using these switches with a VOIP network that passes computer traffic through the phones you will need to disable LLDP on those ports. Once LLDP is disabled you can utilize DHCP to provide the phones with the proper VLAN information. It may be possible to get the phones to work with LLDP if the phone system is providing the VLAN info, but I would still disable it on the phone ports"
BigAndyT
BigAndyT 16.08.2022 aktualisiert um 12:31:11 Uhr
Goto Top
Ich meine
set sip-helper disable
set sip-nat-trace disable
ist nur für FortiOS < 6.2.2.

Das stimmt habe es bereit geändert und die Firewall neu gestartet.

Welche öffentlichen DNS-Server hast du in der Fortigate stehen? Wie gesagt, bei mir steht der interne Windows DNS Server drin. Soll ich diesen mal komplett umgehen oder kann ich dem VoIP-Netz einen anderen DNS-Server hinterlegen? Wenn ja, wo wir dies in der Fortigate konfiguriert?
aqui
aqui 16.08.2022 um 19:22:03 Uhr
Goto Top
Was hälst du denn vom Cisco SG250-50HP alternative?
Die deutlich bessere Wahl. Der hat eine sehr gute QoS Steuerung für L2 und L3!
Csui8n1
Lösung Csui8n1 17.08.2022 um 00:20:51 Uhr
Goto Top
Welche öffentlichen DNS-Server hast du in der Fortigate stehen? Wie gesagt, bei mir steht der interne Windows DNS Server drin.
In der Fortigate habe ich Quad9 eingetragen und in der Auerswald die Fortigate.
Der Windows Server als DNS sollte, sofern korrekt eingerichtet aber auch problemlos nutzbar sein.

Soll ich diesen mal komplett umgehen oder kann ich dem VoIP-Netz einen anderen DNS-Server hinterlegen? Wenn ja, wo wir dies in der Fortigate konfiguriert?

Gui:
System > Feature Visibility > DNS Database auswählen.
Network > DNS Servers. Einstellungen nach deinen Anforderung face-big-smile
DNS Halte ich aber für unwahrscheinlich.

Sollte der session-helper jetzt wirklich aus sein würde ich mich auch erst einmal um den Switch kümmern.
aqui
aqui 17.08.2022 um 11:44:12 Uhr
Goto Top
In der Fortigate habe ich Quad9 eingetragen
Keine gute Idee wenn der Provider auch der VoIP Provider ist. Dort sollte dann immer der DNS des Providers gesetzt sein. Ob US DNS wegen der Datensicherheit generell eine gute Wahl ist muss jeder für sich selbst entscheiden...
Csui8n1
Csui8n1 17.08.2022 um 13:07:35 Uhr
Goto Top
Keine gute Idee wenn der Provider auch der VoIP Provider ist. Dort sollte dann immer der DNS des Providers gesetzt sein. Ob US DNS wegen der Datensicherheit generell eine gute Wahl ist muss jeder für sich selbst entscheiden...

Du hast völlig recht.
Meine Empfehlung wäre auch den DNS Server des Providers zu nutzen.

Hier hatte ich nur den Sonderfall den SIP-Trunk der Telekom über den Internetanschluss des lokalen Glasfaser Anbieters zu nutzen (Die Telekom liefert dort nur wackelige 16/2 Mbit/s). Dessen DNS Server hatte sich in der Vergangenheit nicht gerade als zuverlässig erwiesen.

Die Info hatte ich nicht mitgeteilt, da ich Sie für das Fehlerbild von @BigAndyT nicht relevant hielt.
BigAndyT
BigAndyT 17.08.2022 aktualisiert um 16:12:00 Uhr
Goto Top
Leider bekomme ich den Cisco SG250-50HP nicht mehr, könnte aber den Nachfolger CBS250-48PP-4G-EU zu guten Konditionen erhalten. Gibt es gravierende Unterschiede die berücksichtigt werden müssen?

Welche DNS Server der Telekom soll ich denn nehmen?

Die Telekom schreibt folgendes:
"Bei der Einwahl werden automatisch zwei DNS-Server über das PPP-Protokoll zugewiesen. Diese IP-Adressen ändern sich regelmäßig und werden deshalb hier nicht aufgelistet. Dadurch wird sichergestellt, dass Ihnen immer ein DNS-Server zur Verfügung steht, auch wenn einzelne Server einmal ausfallen sollten."

Setzte ich am WAN Port dann einen Override für die intern gesetzten DNS Server? Wie bekommen denn dann die PC's im Client Netz den Windows DNS Server zugewiesen? Oder habe ich gerade einen Denkfehler?
aqui
Lösung aqui 17.08.2022 um 17:44:51 Uhr
Goto Top
könnte aber den Nachfolger CBS250-48PP-4G-EU zu guten Konditionen erhalten.
Dann zuschlagen, das ist der Nachfolger der SG Serie.
Es gibt keine Unterschiede. Zumal das letzte Image ein Hybridimage ist was auf SG und CBS rennt.
Als DNS Server nimmst du logischerweise immer den, den du dynamisch auf deinem Router von der Telekom per PPPoE zugewiesen bekommen hast. Der Router ist dann Proxy DNS mit seiner lokalen IP. Der immerwährende Klassiker...
Csui8n1
Lösung Csui8n1 18.08.2022 um 17:14:55 Uhr
Goto Top
Als DNS Server nimmst du logischerweise immer den, den du dynamisch auf deinem Router von der Telekom per PPPoE zugewiesen bekommen hast. Der Router ist dann Proxy DNS mit seiner lokalen IP. Der immerwährende Klassiker...

In der Fortigate wäre das:

Network > Interface > WAN Interface auswählen und prüfen ob"Override internal DNS" AN ist. Damit werden die DNS Server verwendet welche via PPPoE zugeteilt wurden.

Damit die Fortigate die DNS anfragen auch intern beantwortet, müssen noch folgende Einstellungen gemacht werden:

Network > DNS Servers > Service on Interface > Create New
Die gewünschten (internen) Interfaces auswählen und jeweils "Forward to System DNS" einstellen.
Damit verhält sich die Fortigate fast wie ne FritzBox face-wink
BigAndyT
BigAndyT 18.08.2022 um 17:37:03 Uhr
Goto Top
@Csui8n1 Vielen Dank!

Und was ist mit meinem internen Windows DNS Server? Sollten Computer die einer Domäne beigetreten sind nicht den internen Windows DNS-Server verwenden?
aqui
aqui 18.08.2022 um 17:41:38 Uhr
Goto Top
Das ist richtig. Alle internen Clients bekommen via DHCP immer den internen DNS Server der dann selber eine Weiterleitung auf die lokale Fortinet hat die als Proxy DNS via Provider agiert. Klassischer Standard...
aqui
aqui 16.09.2022 um 08:07:06 Uhr
Goto Top
Wenn es das denn nun war bitte dann nicht vergessen deinen Thread auch als erledigt zu schliessen!
BigAndyT
BigAndyT 16.09.2022 aktualisiert um 11:07:20 Uhr
Goto Top
@aqui Die Verbindungsabbrüche haben sich in der Tat erledigt und gehören der Vergangenheit an. Leider gibt es vermehrt noch leichtes Rauschen und schlechte Qualität.

Ich bin nicht sicher ob dies nicht an der Firewall liegt. Habe noch zwei weitere Kunden die auch den gruseligen HPE Switch haben. Dort steht aber keine Auerswald TK sondern jeweils ein Gateway von Innovaphone. Bei beiden Kunden ist keine Priorisierung für VOIP vorhanden. Lediglich per VLAN getrennt.

Der neue Switch kommt die nächsten Tage und wird dann eingebunden.
Csui8n1
Csui8n1 19.09.2022 um 00:07:13 Uhr
Goto Top
Zitat von @BigAndyT:

Die Verbindungsabbrüche haben sich in der Tat erledigt und gehören der Vergangenheit an.

Das klingt doch gut.
Kannst Du noch nachvollziehen woran es denn jetzt lag?
BigAndyT
BigAndyT 20.09.2022 aktualisiert um 10:32:34 Uhr
Goto Top
Zitat von @Csui8n1:
Das klingt doch gut.
Kannst Du noch nachvollziehen woran es denn jetzt lag?

Nachdem der DNS Server auf den am Router dynamisch per PPPoE zugewiesen umgestellt wurde war es mit den Verbindungsabbrüche erledigt!
BigAndyT
BigAndyT 20.09.2022 um 11:39:09 Uhr
Goto Top
Nun noch eine Frage zu LLDP / Priorisierung:
5 Systemtelefone liegen untagged an Switch-Ports an und werden per DSCP (Layer-3) priorisiert.
1 Systemtelefon nutzt den internen Switch-Port des Telefons welches das VoiP-VLAN "tagged" anliegen hat. Dieses muss ja dann zwingend per CoS/802.1p (Layer-2) erfolgen.

Der neue Cisco kommt nun morgen endlich. Ist es ausreichend das ich in der Sprach-VLAN-Konfiguration die ID 20 mit Auto Voice VLAN enabled setzte und die entsprechenden Ports dem Sprach-VLAN einer Schnittstelle untagged/tagged zuweise oder muss es explizit per LLDP-med erfolgen?

Beispiel für Port 6 (Telefon tagged)
Interface gi6
lldp med network-policy application voice tagged vlan 20 priority 5 dscp 46
lldp med network-policy application voice-signaling tagged vlan 20 priority 3 dscp 40

Beispiel für Port 7 (Telefon tagged)
Interface gi7
lldp med network-policy application voice untagged dscp 46
lldp med network-policy application voice-signaling untagged dscp 40
aqui
aqui 21.09.2022 aktualisiert um 11:57:52 Uhr
Goto Top
Was für einer denn?? Ein Catalyst mit IOS oder ein einfaches SoHo Modell SG oder CBS??
Diese Aussage ist wenig zielführend, denn die QoS Konfigs unterscheiden sich fundamental zwischen diesen Modellen. face-sad

Beim CBS oder SG Modell musst du zusätzlich zum LLDP Setup zwingend auch noch die QoS Variante aktivieren die du nutzen möchtest. Das ist entweder auf L2 Basis 802.1p was dann ein Tagging des Telefonieports erzwingt, da .1p immer Teil des .1q VLAN Headers ist.
Oder DSCP Priorisierung auf IP Header Basis wo kein Tagging erforderlich ist. Beides zusammen geht nicht bzw. macht keinen Sinn.
Frage ist also: WELCHES QoS willst DU nutzen??
BigAndyT
BigAndyT 21.09.2022 um 13:44:56 Uhr
Goto Top
@aqui
Es ist ein CBS250-48PP-4G-EU der hoffentlich heute, spätestens morgen geliefert wird.

Das beides zusammen keinen Sinn macht ist mir verständlich. Da die TK-Anlage Voice Pakete per DiffServ klassifiziert, würde ich mich für DSCP (Layer-3) entscheiden. Aber für welches man sich schlussendlich entscheidet ist doch egal oder nicht?
aqui
Lösung aqui 28.09.2022 aktualisiert um 15:08:12 Uhr
Goto Top
Ja, das ist egal. Beide QoS Verfahren tun was sie sollen und führen zum Erfolg! face-wink

Die DSCP Basic Priorisierung im Cisco sieht z.B. so aus:
qos1
qos2
DSCP to Queue Tabelle muss man ggf. je nach DSCP Wert der eigenen Telefonanlage anpassen sofern man andere Prio Queues haben will.