mikethomson
Goto Top

Konfiguration Router USG200 - VOIP im VLAN und Fritzbox in der DMZ?

Hallo,

ich habe folgendes Problem.

Ich betreibe eine Zyxel USG200 als Router. Wir haben aktuell auf Glasfaser umgestellt. Unser neuer Anbieter trennt virtuell in das Internet und in das VOIP Netz. Bedeutet das VOIP Netz ist nicht über das Internet erreichbar. Hierfür ist auf dem WAN Interface eine eigene Verbindung ins VLAN2222 zu erzeugen.

Ich musste etwas basteln. Aber aktuell habe ich auf der USG auf WAN1 sowohl das Internet als auch das VLAN2222. Das sieht dann auf dem Router so aus:
interfacestatuskurz

Jetzt stehe ich vor der Herausforderung alles was VOIP betrifft in das VLAN2222 und nicht auf wan2_ppp zu routen.

Ich habe aktuell eine Fritzbox. Meine Idee, bitte korrigiert mich wenn es besser geht ist, die Fritzbox in die DMZ zu hängen und zwischen vlan2222 und der DMZ ein Bridge Interface einzurichen. Letztenendes hängen alle Telefone an der Fritzbox.

Das ganze Thema VOIP ist für mich neu, auch die DMZ und das Bridge-Interface. Hier könnte ich etwas Hilfe gebrauchen.

Die Fritzbox ist aktuell als IP-Client konfiguriert. Und in der Doku von der Fritzbox heißt es z.B. es müsste ein Portforwarding im Router von UDP 5060 auf die Fritzbox eingerichtet werden.

1) Ist der Aufbau so überhaupt korrekt?
2) Wie erstelle ich das Bridge-Interface und worauf habe ich hier zu achten? Ich habe hier mal ein Screenshot vom Konfigurationsmenü. Verstehe aber gerade nicht was IP und DHCP an der Stelle soll? Er soll doch nur alles was von vlan2222 kommt auf die DMZ schaufeln und umgekehrt.
bridge

3) Oder reicht es wenn ich einfach ein Routing einrichte: Alles was an sip.provider.de geht Next-Hop VLAN2222 und ich dann die Fritzbox einfach ins LAN1 hänge?

Ich bin für jeden Hinweis dankbar!

Content-ID: 4886333932

Url: https://administrator.de/contentid/4886333932

Ausgedruckt am: 19.12.2024 um 09:12 Uhr

aqui
aqui 08.12.2022 aktualisiert um 00:16:44 Uhr
Goto Top
Herausforderung alles was VOIP betrifft in das VLAN2222 und nicht auf wan2_ppp zu routen.
Ist recht einfach. Das VoIP VLAN ist ja ein separtes Netz/VLAN bei dir. Das Zauberwort heisst PBR, Policy based Routing (Grundlagen siehe hier), sprich über eine simple ACL klassifizierst du den Voice Traffic anhand der Absender IPs aus dem Voice Netz und routest diesen Traffic auf das next Hop Gateway des Provider VLANs 2222. So geht aller VoIP Traffic ins VLAN 2222 und der Rest in dein WAN2. Fertisch... Macht deine USG mit links!
MikeThomson
MikeThomson 08.12.2022 um 09:14:13 Uhr
Goto Top
Danke!

Dem Grunde hab ich deine Ausführungen verstanden. Dennoch einmal ein paar Fragen.

Ich hänge also die Fritzbox z.B. das lan1? Oder macht es Sinn hier ein eigenes VLAN einzurichten?

Hier einmal die möglichen Einstellungen bzgl. einer Policy Route in der USG.

policyroute

Was mir eben nicht klar ist. Die Fritzbox braucht doch z.B. für das Einspielen von Updates Internetzugang. Das gleiche gilt ja für jedes andere VOIP-Telefon auch. Jetzt kann ich aber z.B. nur eine Policy Route einstellen die mir am Beispiel des Screenshots sagt: Route alles aus LAN1_SUBNET per Next Hop in das VLAN2222.

In meinem Laienhaften Verständnis brauche ich doch eine Route die mir sagt: Route den VOIP Traffic aus LAN1_SUBNET per Nexthop in das VLAN2222. Denn wenn sich das VOIP-Telefon ein Update aus dem Internet ziehen will geht das nur über den wan2_ppp aber nicht über das vlan2222. Aber wie differenziere ich das?

Macht es Sinn für die VOIP Geräte intern ein eigenes VLAN anzulegen? Da wäre aktuell dann nur die Fritzbox drin.

Brauche ich dann noch eine Portweiterleitung? Auf die Fritte um angerufen werden zu können?
aqui
aqui 08.12.2022 um 10:46:49 Uhr
Goto Top
Ich hänge also die Fritzbox z.B. das lan1?
Rembrandt, Ägypten?? Was sollen uns diese kryptischen Worte sagen?
Die Fritzbox braucht doch z.B. für das Einspielen von Updates Internetzugang.
Das ist richtig! Wenn der Provider über das VLAN 2222 lediglich nur sein eigenes Voicenetz an die Kunden gibt ohne das dieses Voicenetz Internet Zugang hat dann scheitert natürlich ein Update. Dann musst du die PBR Route etwas granularer machen und nur SIP und RTP Traffic ans 2222 routen alles andere dann über den Internet Link.
Macht es Sinn für die VOIP Geräte intern ein eigenes VLAN anzulegen?
In einem Firmennetz ist das ein Muß. Ob man das im heimischen Privatnetz macht ist dann eher eine kosmetische Frage.
Brauche ich dann noch eine Portweiterleitung?
Nein, denn sie hängt ja als lokaler VoIP Server im lokalen LAN. Port Forwarding benötigst du ausschliesslich nur in einem Kaskaden Setup was du ja nicht hast, denn deine USG ist ja direkt am ONT angeschlossen.
MikeThomson
MikeThomson 08.12.2022 um 19:41:01 Uhr
Goto Top
Zitat von @aqui:

Ich hänge also die Fritzbox z.B. das lan1?
Rembrandt, Ägypten?? Was sollen uns diese kryptischen Worte sagen?

Also die Fritzbox nicht wie zuerst geplant in die DMZ sondern einfach in das LAN1 auf z.b. 192.168.1.irgendwas ;)


Das ist richtig! Wenn der Provider über das VLAN 2222 lediglich nur sein eigenes Voicenetz an die Kunden gibt ohne das dieses Voicenetz Internet Zugang hat dann scheitert natürlich ein Update. Dann musst du die PBR Route etwas granularer machen und nur SIP und RTP Traffic ans 2222 routen alles andere dann über den Internet Link.

Genau und da ist die Frage wie? Deshalb der Screenshot von den Routing einstellungen die ich habe. Wie kann ich dies nur auf SIP und RTP Traffic beschränken? Reicht es wenn ich unter Destination Adress sip.provider.de eingebe? Läuft jeder SIP und RTP Traffic immer über den Server unter sip.provider.de?

Macht es Sinn für die VOIP Geräte intern ein eigenes VLAN anzulegen?
In einem Firmennetz ist das ein Muß. Ob man das im heimischen Privatnetz macht ist dann eher eine kosmetische Frage.

Danke!

Brauche ich dann noch eine Portweiterleitung?
Nein, denn sie hängt ja als lokaler VoIP Server im lokalen LAN. Port Forwarding benötigst du ausschliesslich nur in einem Kaskaden Setup was du ja nicht hast, denn deine USG ist ja direkt am ONT angeschlossen.

Aber meine Fritzbox, die als "Telefondienstleister" gilt eben nicht. Ich stelle mir die Frage wie mich jemand von außen anrufen möchte? Muss da der Server des Providers keine Verbindung zu meinem "Telefon" aufbauen?

Sorry für die dummen Fragen aber VOIP ist absolutes Neuland für mich.
MikeThomson
MikeThomson 08.12.2022 um 19:45:20 Uhr
Goto Top
Sorry sehe gerade das ich unter Destination gar keine URL eintragen kann sondern nur IP-Adressen. Dann stelle ich mir wirklich die Frage wie man SIP und RTP Traffic vom "normalen" Traffic im Routing unterscheiden soll?
MikeThomson
MikeThomson 08.12.2022 um 20:23:09 Uhr
Goto Top
Ich habe jetzt mal eine PBR erstellt. Alles was von der Fritzbox kommt (192.168.1.154) soll per Nexthop auf das Interface vlan2222.

policyroute1

Allerdings lassen sich die Telefone in der Fritzbox immer noch nicht registrieren. Leider hat die Fritzbox keine Shell, dass ich mal ein Ping davon absetzen könnte.

Hat noch jemand eine Idee?
aqui
aqui 09.12.2022 aktualisiert um 09:55:02 Uhr
Goto Top
Genau und da ist die Frage wie?
Du hast doch oben ein Feld "Source Port"!
SIP nutzt in der Regel TCP und UDP 5060 und 5061
https://de.wikipedia.org/wiki/Session_Initiation_Protocol
Bei RTP muss du sehen welche Range deine Voice Geräte mit dem Provider negotiaten.
https://de.wikipedia.org/wiki/Real-Time_Transport_Protocol
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
Leider hat die Fritzbox keine Shell, dass ich mal ein Ping davon absetzen könnte.
Sie hat aber einen Paket Sniffer an Bord mit dem du genau sehen kannst wie die SIP Registrierung der Telefone aussieht und ob dort Fehler auftreten!
https://www.heise.de/ratgeber/Paketmitschnitte-der-Fritzbox-automatisch- ...
https://www.tipps-tricks-kniffe.de/fritzbox-packet-sniffer-schnueffelfun ...
Bedenke das die FB über LAN-4 Port an das lokale LAN oder Voice VLAN angeschlossen werden muss. (Im Setup "Bestehendes Internet nutzen...")

Noch besserer Tip:
Nutze zuerst zum Testen immer ein kostenloses Softphone wie Phoner:
https://phoner.de/index.htm
Oder Phoner Lite
https://lite.phoner.de/index_de.htm
Konfiguriere dort deine VoIP Provider Credentials und teste in Ruhe damit.
Das Softphone hat ein detailiertes Log in dem du genau sehen kannst was ggf. bei der SIP Registrierung falsch läuft.
Alternativ installierst du einen Wireshark auf dem Softphone PC und siehst dir die VoIP Kommunikation dort genauer an.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Logs oder Wireshark Traces ggf. hier posten wenn du nicht selber erkennen kannst wo der Fehler liegt. Ist aber alles selbsterklärend.