yannosch
Goto Top

Konstellation PFsense SG-4860, Fritzbox 7490 und Telekom DeutschlandLAN IP VoiceData S

Hallo zusammen,

ich habe hier eine Fritte die Internetrouter & Telefonanlage für den Telekom DeutschlandLAN IP VoiceData S spielt.

Diese würde ich gerne durch die PFsense SG-4860 ersetzen.

Die Fritte soll dann nurnoch den Job der Telefonanlage übernehmen.

Meine Kernfrage bei dieser Konstellation wäre:
Ist die PFsense dazu geeignet über die Zugangsdaten der Telekom eine PPPOE Verbindung zum ISP herzustellen oder brauche ich noch ein zusätzliches Modem?

Es gibt ja einige Anleitung für genau diese Konstellation im Netz, nur habe ich auch gelesen, dass es bei der PFSense Probleme gibt bei der direkten Herstellung/Anmeldung der Verbindung zum Provider.

Kann mir hier jemand ein Statement dazu geben?

einen guten Wochenstart

Yannosch

Content-ID: 368538

Url: https://administrator.de/forum/konstellation-pfsense-sg-4860-fritzbox-7490-und-telekom-deutschlandlan-ip-voicedata-s-368538.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

aqui
aqui 19.03.2018 um 09:40:27 Uhr
Goto Top
Die 4860 ist wie immer ein kleiner Intel Rechner. Gibt es in ähnlicher Form auch bei Amazon
https://www.amazon.de/Appliance-VPN-Router-Netzwerksicherheit-Industriel ...
Wie immer haben solche Appliances als Ports reine Ethernet Ports also KEIN integriertes Modem.
Für xDSL Anschlüsse benötigst du also noch ein reines nur Modem.

Empfehlenswert wie immer sind hier Hybridmodems die ADSL und VDSL abdecken wie das Draytek Vigor 130 oder Allnet ALL-BM200VDSL2V usw.
Siehe dazu auch pfSense Tutorial hier im Forum.
Probleme gibt es wie immer keine bei einer direkten Anmeldung per PPPoE.
Viele Laien vergessen schlicht das VLAN Tagging zu aktivieren bei BNG Anschlüssen oder VDSL und scheitern dann an banalen Setup Fehlern.
Kannst du ja (fast) täglich hier mitlesen face-wink
Also keine Sorge, das klappt fehlerfrei. PPPoE ist ein weltweiter Standard.
Yannosch
Yannosch 19.03.2018 um 09:59:00 Uhr
Goto Top
Zitat von @aqui:

Die 4860 ist wie immer ein kleiner Intel Rechner. Gibt es in ähnlicher Form auch bei Amazon
https://www.amazon.de/Appliance-VPN-Router-Netzwerksicherheit-Industriel ...
Wie immer haben solche Appliances als Ports reine Ethernet Ports also KEIN integriertes Modem.
Für xDSL Anschlüsse benötigst du also noch ein reines nur Modem.

Schade... ich dachte ich könnte mich auch direkt mit der PFSense anmelden. Zumal es ja sogar in der Beschreibung steht dass die 4860 als Internetrouter eingesetzt werden kann.

Empfehlenswert wie immer sind hier Hybridmodems die ADSL und VDSL abdecken wie das Draytek Vigor 130 oder Allnet ALL-BM200VDSL2V usw.

Okay.. dann scheint ja hier kein Weg dran vorbei zu gehen.

Siehe dazu auch pfSense Tutorial hier im Forum.
Probleme gibt es wie immer keine bei einer direkten Anmeldung per PPPoE.
Viele Laien vergessen schlicht das VLAN Tagging zu aktivieren bei BNG Anschlüssen oder VDSL und scheitern dann an banalen Setup Fehlern.

Telekom muss es ja VLAN7 sein soweit ich weiß.

Kannst du ja (fast) täglich hier mitlesen face-wink
Also keine Sorge, das klappt fehlerfrei. PPPoE ist ein weltweiter Standard.

Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Nur aus Interesse: Wenn ich dann Ports auf der PFsense für die Telefonie freigebe, muss ich dass dann aber auch nicht mehr am Dreytek machen oder?

LG Yannosch
aqui
Lösung aqui 19.03.2018 aktualisiert um 10:20:39 Uhr
Goto Top
Schade... ich dachte ich könnte mich auch direkt mit der PFSense anmelden.
Wie sollte das denn technisch gehen ?! Denk doch mal nach...
Wenn du den Ethernet / LAN Port an deinem PC oder Laptop direkt ohne Modem/Router in die xDSL Buchse deines Providers steckst bekommst du ja auch keine Verbindung weil dort DSL Framing gemacht wird und die andere Seite macht eben eine reine Ethernet Signalisierung !
Wenn du an eine Gasleitung einen Gardena Gartenschlauch anschliesst kannst du damit auch nicht deinen Rasen wässern (Das Wort "sprengen" hab ich jetzt mal bewusst vermieden !).
Du verstehst aber wohl was damit gemeint ist.
Lautspecherkabel der Stereo Anlage nutzen auch Kupferdraht. Dennoch sollte man keinen TAE Stecker daran montieren und in die Telefon Steckdose stecken um Musik zu hören, weil eine ganz andere Signalisierung auf dem Kabel ist.
Prinzip ist vermutlich klar, oder ?

Ein Modem macht eine simple Medienwandlung von Ethernet basierten PPPoE Signalen werden diese auf DSL Framing umgesetzt damit der DSLAM es wieder versteht. Der setzt es dann wieder um auf Ethernet ums im Providernetz zu forwarden. Einfaches Prinzip (eben xDSL) um es über lange Kupferstrecken aus Telefon Klingeldraht zu übertragen.
Telekom muss es ja VLAN7 sein soweit ich weiß.
Wenn du Telekom D meinst ja. Bei ADSL sind aber nur neue BNG Anschlüsse getaggt, ältere ADSL Anschlüsse nicht !
VDSL hat immer einen Tag.
Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Ja, ganz genau !
Kein doppeltes NAT wie bei einer Router Kaskade usw. Die reine Modem Verbindung sollte man technisch immer bevorzugen, da performanter und weniger Stress mit dem doppelten NAT.
Das pfSense Tutorial hier beschreibt das auch im Detail...einfach mal lesen face-wink
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
muss ich dass dann aber auch nicht mehr am Dreytek machen oder?
Draytek...soviel Zeit muss sein.
Nein, das musst du nicht. Das Modem ist ein reiner passiver Medienwandler wie schon gesagt und hat NICHTS mit dem IP Forwarding zu tun. Es kennt nichtmal IP....
Um wieder beim Gartenschlauch von oben zu bleiben setzt das quasi Gardena Anschluss z.B. auf den alten Bajonett Anschluss um. Welches Wasser da dann durchfliesst ist völlig egal.
diemilz
Lösung diemilz 19.03.2018 um 10:16:45 Uhr
Goto Top
Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Nur aus Interesse: Wenn ich dann Ports auf der PFsense für die Telefonie freigebe, muss ich dass dann aber auch nicht mehr am Dreytek machen oder?

Nein, der Draytek agiert als reiner Umsetzer zwischen xDSL und Ethernet (ISO Layer 1 und 2). Der Übergabepunkt zwischen WAN (Internet) und LAN (Lokales Netz) ist aber die pfSense.
LordGurke
Lösung LordGurke 19.03.2018 um 10:16:50 Uhr
Goto Top
Du kannst dich mit der pfSense anmelden, du musst halt nur ein Modem zwischen Telefondose und Netzwerkport der pfSense stecken.
Wir reden hier wirklich von einem reinem Modem als L1-Medienwandler.
ChriBo
ChriBo 19.03.2018 um 10:21:10 Uhr
Goto Top
Die verlinkte Appliance ist für pfSense nicht (mehr) zu empfehlen.
Ab Version 2.5 muß der Prozessor AES-NI unterstützen, der verbaute Celeron Prozessor hat diese Unterstützung nicht.

CH
aqui
aqui 19.03.2018 aktualisiert um 10:24:49 Uhr
Goto Top
Nicht wenn du kein VPN nutzen willst !
AES-NI ist nur im VPN Umfeld relevant wenn man verschlüsseln will (oder muss).
Aber grundlegend hast du Recht. Besser ist in der Regel immer ein Prozessor der diese Unterstützung beinhaltet. Zumal wenn die pfSense Firmware es dann erzwingt.
em-pie
em-pie 19.03.2018 um 10:24:47 Uhr
Goto Top
Moin,
Die 4860 ist wie immer ein kleiner Intel Rechner. Gibt es in ähnlicher Form auch bei Amazon
https://www.amazon.de/Appliance-VPN-Router-Netzwerksicherheit-Industriel ...
Wie immer haben solche Appliances als Ports reine Ethernet Ports also KEIN integriertes Modem.
Für xDSL Anschlüsse benötigst du also noch ein reines nur Modem.
Schade... ich dachte ich könnte mich auch direkt mit der PFSense anmelden. Zumal es ja sogar in der Beschreibung steht dass die 4860 als Internetrouter eingesetzt werden kann.
Na das passt ja auch weiterhin. Ein Router ist ein Router, ein Modem ein Modem und eine Fritzbox (mal abgesehen von den 40x0er-Geräten) halt ein ModemRouter, genauso wie die ganzen Speedports, ein Teil der LANCOMs, etc...

Ein Router ist ja dafür da, um Pakete von A nach B zu routen. Ein Modem, um Informationen auf andere Frequenzen hoch-/ runter zu modulieren: https://de.wikipedia.org/wiki/Modem#DSL-Modem

Empfehlenswert wie immer sind hier Hybridmodems die ADSL und VDSL abdecken wie das Draytek Vigor 130 oder Allnet ALL-BM200VDSL2V usw.
Okay.. dann scheint ja hier kein Weg dran vorbei zu gehen.
Korrekt. Hat aber den Vorteil, dass du höchst flexibel bist. Ändert sich mal die WAN-Technologie (z.B. von Kupfer auf Glas), musst du nur die Einwahl an der pfSense anpassen, nicht abber alles von vorn konfigurieren.

Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Korrekt.
Nur aus Interesse: Wenn ich dann Ports auf der PFsense für die Telefonie freigebe, muss ich dass dann aber auch nicht mehr am Dreytek machen oder?
Nee... Das Modem moduliert nur, das Routing/ NAT, Portfreigaben bleiben an der pfSense weiterhin bestehen...

LG Yannosch
Gruß
em-pie
Yannosch
Yannosch 19.03.2018 um 10:27:12 Uhr
Goto Top
Zitat von @aqui:

Schade... ich dachte ich könnte mich auch direkt mit der PFSense anmelden.
Wie sollte das denn technisch gehen ?! Denk doch mal nach...

Technisch gehen indem dort auch ein Modem verbaut ist? Schafft AVM mit der Fritte ja auch. Vom Port als solches ist von außen ja auch kein Unterschied zu sehen. Ob es jetzt ein Modem Port oder Ethernetport ist.

Wenn du den Ethernet / LAN Port an deinem PC oder Laptop direkt ohne Modem/Router in die xDSL Buchse deines Providers steckst bekommst du ja auch keine Verbindung weil dort DSL Framing gemacht wird und die andere Seite macht eben eine reine Ethernet Signalisierung !
Wenn du an eine Gasleitung einen Gardena Gartenschlauch anschliesst kannst du damit auch nicht deinen Rasen wässern (Das Wort "sprengen" hab ich jetzt mal bewusst vermieden !).

Ja ist mir alles bewusst.

Du verstehst aber wohl was damit gemeint ist.
Lautspecherkabel der Stereo Anlage nutzen auch Kupferdraht. Dennoch sollte man keinen TAE Stecker daran montieren und in die Telefon Steckdose stecken um Musik zu hören, weil eine ganz andere Signalisierung auf dem Kabel ist.
Prinzip ist vermutlich klar, oder ?

Ist jetzt angekommen - ja ! face-big-smile

Ein Modem macht eine simple Medienwandlung von Ethernet basierten PPPoE Signalen werden diese auf DSL Framing umgesetzt damit der DSLAM es wieder versteht. Der setzt es dann wieder um auf Ethernet ums im Providernetz zu forwarden. Einfaches Prinzip (eben xDSL) um es über lange Kupferstrecken aus Telefon Klingeldraht zu übertragen.
Telekom muss es ja VLAN7 sein soweit ich weiß.
Wenn du Telekom D meinst ja. Bei ADSL sind aber nur neue BNG Anschlüsse getaggt, ältere ADSL Anschlüsse nicht !
VDSL hat immer einen Tag.
Mit dieser Modem-Konstallation liegt dann aber die öffentl. IP dierekt am WAN der Pfsense?
Ja, ganz genau !
Kein doppeltes NAT wie bei einer Router Kaskade usw. Die reine Modem Verbindung sollte man technisch immer bevorzugen, da performanter und weniger Stress mit dem doppelten NAT.
Das pfSense Tutorial hier beschreibt das auch im Detail...einfach mal lesen face-wink
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
muss ich dass dann aber auch nicht mehr am Dreytek machen oder?
Draytek...soviel Zeit muss sein.

Habe mir jetzt den Draytek bestellt - danke für die Infos.

Nein, das musst du nicht. Das Modem ist ein reiner passiver Medienwandler wie schon gesagt und hat NICHTS mit dem IP Forwarding zu tun. Es kennt nichtmal IP....
Um wieder beim Gartenschlauch von oben zu bleiben setzt das quasi Gardena Anschluss z.B. auf den alten Bajonett Anschluss um. Welches Wasser da dann durchfliesst ist völlig egal.

Okay super - Danke für eure Hilfe.

Vor der Fritte als reine TK Anlage habe ich jedoch respekt. Aber es gibt ja einige Anleitungen wie die zu konfigurieren ist im Zusammenhang mit der PFsense.

Melde mich nochmal, sollte es Probleme geben.

LG und nochmals Danke für die Infos.

Yannosch
aqui
Lösung aqui 19.03.2018 aktualisiert um 10:44:25 Uhr
Goto Top
Technisch gehen indem dort auch ein Modem verbaut ist?
Da hast du zweifelsohne erstmal Recht wenn du auf deine kleinen Welt siehst. Aber auch hier hilft mal wieder etwas nachdenken...
pfSense ist weltweit eins der meistgenutzen Firewalls. Die Softwerker arbeiten aber primär nur an der Software, was ja auch Sinn macht.
Weltweit gibt es tausendfach unterschiedliche WAN Anbindungen und Techniken und jedes Land hat, wenn man jetzt mal rein nur auf die xDSL Anbindung sieht, auch nochmal zig unterschiedliche Optionen.
Würde das pfSense Projekt sich jetzt an einen oder mehrere HW Hersteller binden, müsste der tausendfach unterschiedliche HW supporten und auch managen.
Wie stellst du dir das vor in einem Open Source Projekt wo das Gros der Leute ja nix bezahlen will. Wer soll sowas finanzieren und auch noch up to date halten ?
Da liegt es ja also auf der Hand das man eine weltweit genormte Schnittstelle wie Ethernet nimmt und den Anwendern dann die Adaption auf die Länder- oder Regions spezifische Anbindung überlässt.
So hast du einen Win Win für beide Seiten.
Das sagt einem ja aber auch schon der gesunde und ökonomische Menschenverstand, oder ?! face-wink
Eine FritzBox wirst du in Amerika oder Aserbeidschan sicher auch nicht so out of the Box betreiben können.
Habe mir jetzt den Draytek bestellt
Damit machst du nix falsch !!
Aber denk dran: Als reines Modem betreiben !!
Wie das geht mit dem Draytek 130 siehe hier:
https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ...
Du kannst es auch immer an der pfSense genau verifizieren !
Wie du schon richtig gesagt hast ist die öffentliche Provider IP dann immer am WAN Port der pfSense.
(Ausgenommen du hast jetzt einen DS-Lite Anschluss mit CGN oder sowas.)
Vor der Fritte als reine TK Anlage habe ich jedoch respekt.
Musst du nicht !
Wenn du das hier liest:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
verlierst du jeglichen Respekt davor. Ist eher ne Lachnummer.
LG und nochmals Danke für die Infos.
Immer gerne wieder face-smile
ChriBo
ChriBo 19.03.2018 um 11:04:20 Uhr
Goto Top
Hi,
meinen Informationen nach lässt sich Version 2.5 und Folgende gar nicht mehr auf Geräten ohne AES-NI Unterstützung installieren.
...
While we’re not revealing the extent of our plans, we do want to give early notice that, in order to support the increased cryptographic loads that we see as part of pfSense verison 2.5, pfSense Community Edition version 2.5 will include a requirement that the CPU supports AES-NI.
...

schau hier

CH
aqui
aqui 19.03.2018 aktualisiert um 11:07:22 Uhr
Goto Top
Macht ja auch letztlich Sinn, denn wer nutzt eine FW komplett ohne VPN ?
Für die wenigen die das machen und alte HW haben ohne AES-NI wird es ja immer auch noch den älteren Release Train geben.
Yannosch
Yannosch 19.03.2018 um 11:47:58 Uhr
Goto Top
Zitat von @aqui:

Technisch gehen indem dort auch ein Modem verbaut ist?
Da hast du zweifelsohne erstmal Recht wenn du auf deine kleinen Welt siehst. Aber auch hier hilft mal wieder etwas nachdenken...
pfSense ist weltweit eins der meistgenutzen Firewalls. Die Softwerker arbeiten aber primär nur an der Software, was ja auch Sinn macht.
Weltweit gibt es tausendfach unterschiedliche WAN Anbindungen und Techniken und jedes Land hat, wenn man jetzt mal rein nur auf die xDSL Anbindung sieht, auch nochmal zig unterschiedliche Optionen.
Würde das pfSense Projekt sich jetzt an einen oder mehrere HW Hersteller binden, müsste der tausendfach unterschiedliche HW supporten und auch managen.

Macht schon Sinn.

Habe mir jetzt den Draytek bestellt
Damit machst du nix falsch !!
Aber denk dran: Als reines Modem betreiben !!
Wie das geht mit dem Draytek 130 siehe hier:
https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ...

Ja gut ... ist zwar keine genaue Anleitung, aber schonmal eine gute Basis.

Die PPPoe Authentifizierung macht dann auch der Draytek? Oder soll ich dass dann die PFsense machen lassen? Welches Szenario ist denn das Bessere?

Du kannst es auch immer an der pfSense genau verifizieren !
Wie du schon richtig gesagt hast ist die öffentliche Provider IP dann immer am WAN Port der pfSense.
(Ausgenommen du hast jetzt einen DS-Lite Anschluss mit CGN oder sowas.)

Ne, stink normaler DeutschlandLAN IP Voice/Data S

Vor der Fritte als reine TK Anlage habe ich jedoch respekt.
Musst du nicht !
Wenn du das hier liest:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
verlierst du jeglichen Respekt davor. Ist eher ne Lachnummer.

Okay super - sollte ja dann funktionieren face-smile

LG und nochmals Danke für die Infos.
Immer gerne wieder face-smile
diemilz
diemilz 19.03.2018 aktualisiert um 14:41:48 Uhr
Goto Top
Habe mir jetzt den Draytek bestellt
Damit machst du nix falsch !!
Aber denk dran: Als reines Modem betreiben !!
Wie das geht mit dem Draytek 130 siehe hier:
https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ...

Ja gut ... ist zwar keine genaue Anleitung, aber schonmal eine gute Basis.

Die PPPoe Authentifizierung macht dann auch der Draytek? Oder soll ich dass dann die PFsense machen lassen? Welches Szenario ist denn das Bessere?

Da der Draytek als reines Modem betrieben werden sollte, muss die pfSense dann PPPoE machen. Auf dem Draytek muss dafür aber PPPoE-Pass-Through aktiviert sein.
aqui
aqui 19.03.2018 aktualisiert um 14:56:57 Uhr
Goto Top
Auf dem Draytek muss dafür aber PPPoE-Pass-Through aktiviert sein.
Das gibt es so unter der Bezeichnung da nicht. Das kommt vom Speedport oder FritzBox wo sowas auch geht wenn man damit den Router Modus deaktiviert und diese Boxen nur als reine Modems betreibt. Siehe:
Kopplung von 2 Routern am DSL Port

Bei Draytek heisst das Bridge Mode !
Und klar...die pfSense muss am WAN Port im PPPoE Mode arbeiten. Dort werden dann auch Username/Passwort für den Zugang konfiguriert.
diemilz
diemilz 19.03.2018 um 15:08:34 Uhr
Goto Top
Dass die Hersteller sich da nicht mal auf einheitliche Begriffe einigen können. face-smile
aqui
aqui 19.03.2018 um 15:12:14 Uhr
Goto Top
Stimmt...es ist die Pest aber dafür (oder dagegen) gibt es ja Foren wie dieses hier... face-wink
Yannosch
Yannosch 20.03.2018 um 09:55:33 Uhr
Goto Top
Hi Leute, muss mich grad nochmal hier einklinken, mit der Bitte nicht zu harsch zu reagieren sollte ich falsch liegen.

Wenn ich nun den Vigor 130 als Modem, also im Bridge Mode konfiguriere, dann sollte ich ihn doch aber nicht mehr aus dem LAN erreichen, oder?

Daher die Frage : Hat der gute auch ein Console-Port oder wie sollte ich da die Konfigurationen am besten vor nehmen?

Vielleicht stehe ich auch nur wieder auf dem Schlauch.

Liebe Grüße
Yannosch
LordGurke
Lösung LordGurke 20.03.2018 um 10:02:38 Uhr
Goto Top
Ohne den Vigor jetzt besonders gut zu kennen:
Normalerweise behalten die Geräte immer ihre IP-Adresse für die Administration. Eine IP zu haben und zeitgleich eine Bridge zwischen dem Netzwerkport und der Telefondose zu sein, schließt sich nicht aus.
Du solltest dem Vigor also in jedem Fall eine IP aus einem Bereich geben, den du sonst nirgendwo verwendest.
Yannosch
Yannosch 20.03.2018 um 10:14:09 Uhr
Goto Top
Zitat von @LordGurke:

Ohne den Vigor jetzt besonders gut zu kennen:
Normalerweise behalten die Geräte immer ihre IP-Adresse für die Administration. Eine IP zu haben und zeitgleich eine Bridge zwischen dem Netzwerkport und der Telefondose zu sein, schließt sich nicht aus.
Du solltest dem Vigor also in jedem Fall eine IP aus einem Bereich geben, den du sonst nirgendwo verwendest.

Okay gut ... ich dachte das würde sich gegenseitig ausschließen.
aqui
Lösung aqui 20.03.2018 aktualisiert um 10:27:23 Uhr
Goto Top
Normalerweise behalten die Geräte immer ihre IP-Adresse für die Administration.
So ist das auch beim Draytek und bei allen anderen NUR Modems auch damit sie zur Konfiguration erreichbar sind.
Anders wäre es ja auch nicht machbar.
Yannosch
Yannosch 20.03.2018 um 10:35:05 Uhr
Goto Top
Ja über Console Port oder halt eben ein extra Interface...

Aber wenn es ja so funktioniert ist alles in Butter.

Bin mal gespannt wenn das Ding morgen ankommt.
aqui
aqui 20.03.2018 um 12:51:30 Uhr
Goto Top
Das wird schon klappen...keine Sorge face-wink
Yannosch
Yannosch 20.03.2018 um 13:28:02 Uhr
Goto Top
Würdest du empfehlen das VLAN Tag auf der PFsense oder auf dem Vigor direkt mitzugeben?

Ich glaube auch der PFsense ist es praktikabler oder?
aqui
aqui 20.03.2018 aktualisiert um 14:13:03 Uhr
Goto Top
Wenn der Vigor das gleich mitliefert dann lass den das machen. Das vereinfacht die Konfig auf der pfSense.
Wenn man es gerne auf der pfSense haben möchte um "alles in einer Box" zu haben ist das auch OK.
Technisch ist es egal wer das mitgibt. Ist Geschmakssache wie immer.
Du solltest nur ganz sicher stellen ob das Modem transparent ist oder eben nicht was das Tagging anbetrifft.
Einen getaggten Frame nochmal taggen geht natürlich nicht (oder in diesem Umfeld nicht) und wird dir dann graue Haare bereiten face-wink
Yannosch
Yannosch 20.03.2018 um 14:49:02 Uhr
Goto Top
ich machs wie in deinem Tutorial [Verweiß auf Heise] und tagge es auf dem WAN der PFsense.
VPN Funktionalität sollte ja bei dieser Konstellation problemlos möglich sein...

Ich hoffe das läuft glatt ... Samstag werde ich's sehen.

LG & nochmal danke bis hier hin!
Yannosch
aqui
aqui 20.03.2018 um 15:18:36 Uhr
Goto Top
und tagge es auf dem WAN der PFsense.
Stelle dann aber sicher das das Modem dann NICHT noch zusätzlich taggt !
Ich hoffe das läuft glatt ..
Wir sind ja Samstag hier zum helfen face-wink
P.S.:
https://www.duden.de/rechtschreibung/Verweis
Soviel Zeit muss sein... face-wink
Yannosch
Yannosch 20.03.2018 aktualisiert um 15:19:39 Uhr
Goto Top
Zitat von @aqui:

und tagge es auf dem WAN der PFsense.
Stelle dann aber sicher das das Modem dann NICHT noch zusätzlich taggt !
Ich hoffe das läuft glatt ..
Wir sind ja Samstag hier zum helfen face-wink

Joar face-smile

P.S.:
https://www.duden.de/rechtschreibung/Verweis
Soviel Zeit muss sein... face-wink
Klugsch...
aber hast ja recht face-big-smile
Yannosch
Yannosch 22.03.2018 aktualisiert um 21:01:15 Uhr
Goto Top
Hallo nochmals zusammen,

bin mir gerade wieder das Hirn am zermartern...

Hier nochmals die Konstellation aktuell:

Telekom DeutschlandLAN -> Fritzbox 7490 als Internetrouter

An der Fritte sind folgende Geräte verbunden:

ISDN S0 -> Telekom Concept px 722 Telefon
FON1 -> Faxgerät

Das ist die gewünschte Konstellation:

Telekom DeutschlandLAN -> Draytek Vigor 130 -> PFSense [als Router, VPN & DHCP] ->Fritte als reine Telefonanlage

Ich frage mich jetzt allerdings: Ist es so überhaupt möglich das Fax & das alte Concept PX 722 zu betreiben? [Also das PX 722 am ISDN S0 und das Fax an FON1]

Habe sowas halt noch nicht gemacht & frage es mich deshalb gerade...

Liebe Grüße
Yannosch


EDIT:

Eigentlich sollte es laut folgender Beiträge ja möglich sein:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

https://telekomhilft.telekom.de/t5/Telefonie-Internet/IP-SIP-Telefonanla ...

Frage ist halt nur, ob ich dafür auch die alten Endgeräte nutzen kann...
aqui
aqui 23.03.2018 um 09:09:27 Uhr
Goto Top
Warum sollte es nicht gehen ? Was ändert sich denn an der Telefonie selber ? Doch gar nichts.
Ob die FritzBox nun über Ethernet eine SIP Connection aufbaut auf den Voice Provider oder via xDSL ist doch Latte.
Es ändert sich ja nichtmal die SIP Gateway IP.
Wenn du so willst ist die FB ja nur Voice Adapter wie ein Cisco SPA112. Das war sie ja vorher auch schon und auch mit diesen Endgeräten. Wen es nicht gehen würde, würde es ja logischerweise im jetzigen Status auch nicht gehen und das ist ja nicht der Fall, oder ?
Yannosch
Yannosch 23.03.2018 um 09:25:10 Uhr
Goto Top
Zitat von @aqui:

Warum sollte es nicht gehen ? Was ändert sich denn an der Telefonie selber ? Doch gar nichts.
Ob die FritzBox nun über Ethernet eine SIP Connection aufbaut auf den Voice Provider oder via xDSL ist doch Latte.
Es ändert sich ja nichtmal die SIP Gateway IP.

Hast recht!
Aber ein SIP-Gateway IP als solches ist ja nicht eingetragen, sondern eher der SIP-Gateway Name ... aber ja im Grunde genommen sollte es eigentlich funktionieren.

Wenn du so willst ist die FB ja nur Voice Adapter wie ein Cisco SPA112. Das war sie ja vorher auch schon und auch mit diesen Endgeräten. Wen es nicht gehen würde, würde es ja logischerweise im jetzigen Status auch nicht gehen und das ist ja nicht der Fall, oder ?

Ja stimmt - ich bin halt alles genaustens am berücksichtigen, nicht dass es nachher an einer Telekom Besonderheit scheitert.
aqui
aqui 23.03.2018 aktualisiert um 09:43:27 Uhr
Goto Top
Aber ein SIP-Gateway IP als solches ist ja nicht eingetragen, sondern eher der SIP-Gateway Name
Ob DNS Hostname oder IP Adresse ist doch Latte solange du der FB eine gültige DNS Server IP mitgibst face-wink

Du kannst das doch auch VORHER alles mal ganz tiefentspannt austesten:
Du lädst du dir ein kostenloses Softphone runter wie z.B. Phoner:
http://phoner.de/index.htm
oder wenns das Smartphone sein soll Zoiper:
https://www.zoiper.com/en/voip-softphone/download/current
Konfigurierst dem die SIP Credentials die auf der FB hinterlegt sind und telefonierst mal drauf los !

Das geht natürlich auch mit einem kostenlosen Basis Account bei SIPgate. Einrichten, SIP Credentials einstellen und lostelefonieren.
Wenn das klappt klappts auch mit deiner FB.
Weitere Infos z.B. hier:
Cisco Telefone für All IP Anschluss, FritzBox und andere VoIP Anlagen fit machen
Yannosch
Yannosch 26.03.2018 um 08:57:35 Uhr
Goto Top
Sers,

also mit dem Draytek Vigor hats schonmal funktioniert. PFSense läuft in diesem Zuge auch. Leider musste ich das VLAN Tag durch den Draytek erledigen lassen, da es nicht funktionierte als es die PFSense machen sollte. Warum auch immer.

C2S VPN Tunnel wird auch established nur die Netzwerkkomponenten sind aktuell nicht erreichbar.

Mit der Fritzbox konnte ich nichtmal die Rufnummern registrieren.
Wieder zu Hause habe ich dann mit XLite getestet. Einfach die SIP Daten von der Telekom eingeben & es lief. Vermutlich habe ich da aber nur ein falsches Passwort verwendet... für die Rufnummern sind nämlich nicht das "persönliche Kennwort" sondern das PW vom T-Online Kundencenter relevant wie ich im Nachgang festgestellt habe.

Muss nochmal danach sehen.

Das nur als Statusupdate...

LG
Yannosch
aqui
aqui 26.03.2018 aktualisiert um 10:03:38 Uhr
Goto Top
da es nicht funktionierte als es die PFSense machen sollte. Warum auch immer.
Da hast du dann wohl was falsch gemacht !
Oder.... du hast dann vergessen das Tagging im Modem auszuschalten. Tust du das nicht wird dann das von der pfSense getaggte Paket durch das Modem nochmal getaggt.
Das führt dann zu einem sofortigen MTU Problem, zusätzlich kann natürlich der empfangene DSLAM so ein doppelt getaggtes Paket nicht lesen.
Da ist es dann vollkommen klar das sowas scheitern muss. Nur mal so als Info....
nur die Netzwerkkomponenten sind aktuell nicht erreichbar.
Vermitlich wie immer lokale Firewall die fremde IPs blockt, oder ?
Was bitte ist "C2S" ???
Mit der Fritzbox konnte ich nichtmal die Rufnummern registrieren.
Firewall entsprechend customized für SIP und für RTP ??
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"
Wieder zu Hause habe ich dann mit XLite getestet. Einfach die SIP Daten von der Telekom eingeben & es lief.
Genau mit dem Design ??
Wenn ja hast du ja alles richtig gemacht !!
Vermutlich habe ich da aber nur ein falsches Passwort verwendet...
Wie oder wo "da" ?? Da am anderen Standort oder da bei dir ?? Verwirrung komplett face-sad
Für die Rufnummern sind nämlich nicht das "persönliche Kennwort" sondern das PW vom T-Online Kundencenter relevant
Sollte man als Telekom Kunde aber auch wissen face-wink
Das nur als Statusupdate...
Es bleibt also spannend face-smile
Yannosch
Yannosch 26.03.2018 um 10:26:54 Uhr
Goto Top
Zitat von @aqui:

da es nicht funktionierte als es die PFSense machen sollte. Warum auch immer.
Da hast du dann wohl was falsch gemacht !

Vermutlich ... aber was genau lässt sich jetzt im Nachgang halt nicht sagen. Jetzt tagged der Draytek & alles läuft wie es soll.

Oder.... du hast dann vergessen das Tagging im Modem auszuschalten. Tust du das nicht wird dann das von der pfSense getaggte Paket durch das Modem nochmal getaggt.
Das führt dann zu einem sofortigen MTU Problem, zusätzlich kann natürlich der empfangene DSLAM so ein doppelt getaggtes Paket nicht lesen.

Nene, das habe ich alles schon so eingestellt wie es sein muss. Doppelter Tag war also definiv nicht vorhanden - ich habe ihn ja manuell eingeschaltet als es nicht lief.

Da ist es dann vollkommen klar das sowas scheitern muss. Nur mal so als Info....
nur die Netzwerkkomponenten sind aktuell nicht erreichbar.
Vermitlich wie immer lokale Firewall die fremde IPs blockt, oder ?

Gut das könnte es vermutlich sein. Ein Tracert vom verbundenen Client bringt aber auch keine Results - also nichtmal einen ersten Hop.

Was bitte ist "C2S" ???

Client-to-Site sorry - war vermutlich ein bisschen unverständlich erklärt.

Mit der Fritzbox konnte ich nichtmal die Rufnummern registrieren.
Firewall entsprechend customized für SIP und für RTP ??
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"

Habe ich gemacht, werde ich allerdings nochmal kontrollieren. Frage ist jedoch: müssen die Ports für die Registrierung der Nummer überhaupt freigeschaltet sein? Ich habe doch als ich den SIP Account zu hause eingebunden habe auch meine Firewall nicht angepasst und könnte mich mit dem XLITE anmelden?

Wieder zu Hause habe ich dann mit XLite getestet. Einfach die SIP Daten von der Telekom eingeben & es lief.
Genau mit dem Design ??

Mit welchem Design?

Wenn ja hast du ja alles richtig gemacht !!
Vermutlich habe ich da aber nur ein falsches Passwort verwendet...
Wie oder wo "da" ?? Da am anderen Standort oder da bei dir ?? Verwirrung komplett face-sad

Am Standort wo die ganze Schose steht.

Für die Rufnummern sind nämlich nicht das "persönliche Kennwort" sondern das PW vom T-Online Kundencenter relevant
Sollte man als Telekom Kunde aber auch wissen face-wink

Tjoar..

Das nur als Statusupdate...
Es bleibt also spannend face-smile

Exakt. face-smile
aqui
aqui 26.03.2018 aktualisiert um 10:40:24 Uhr
Goto Top
Ein Tracert vom verbundenen Client bringt aber auch keine Results
Traceroute basiert bei Microsoft auf ICMP und ICMP wird in der lokalen Firewall komplett geblockt. Klar also das das scheitern musste:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wenn du das anpasst klappt auch wieder Ping und Traceroute.
Mit welchem Design?
Also Modem, pfsense davor wie du es ursprünglich installieren wolltest. Sprich also du hast die gleiche HW Konstellation an deinem Privatanschluss gehabt ?!
Client-to-Site sorry - war vermutlich ein bisschen unverständlich erklärt.
Welches Protokoll ??
Yannosch
Yannosch 26.03.2018 um 10:40:13 Uhr
Goto Top
Zitat von @aqui:

Firewall entsprechend customized für SIP und für RTP ??
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"

Erster externer Link ist tot. Das andere Admin Topic ist nicht komplett einleuchtend für mich irgendwie.

Hast du noch andere HowTo's für die Sache mit den Portweiterleitungen?

LG
Yannosch
Yannosch
Yannosch 26.03.2018 um 10:43:33 Uhr
Goto Top
Zitat von @aqui:

Ein Tracert vom verbundenen Client bringt aber auch keine Results
Traceroute basiert bei Microsoft auf ICMP und ICMP wird in der lokalen Firewall komplett geblockt. Klar also das das scheitern musste:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wenn du das anpasst klappt auch wieder Ping und Traceroute.

Glaube ich irgendwie nicht dran, weil auch RDP & Zugriff auf Laufwerke nicht funktioniert haben. Nur durch erlauben von ICMP sollte es ja nicht auf einmal funktionieren oder sehe ich das falsch?

Ich richte es aber mal probehalber ein um es zu testen.

Mit welchem Design?
Also Modem, pfsense davor wie du es ursprünglich installieren wolltest. Sprich also du hast die gleiche HW Konstellation an deinem Privatanschluss gehabt ?!

Nein, dass natürlich nicht. HomeServer von 1&1 das ist alles was ich an HW priv. habe.
Client-to-Site sorry - war vermutlich ein bisschen unverständlich erklärt.

Welches Protokoll ??
IPsec
aqui
aqui 26.03.2018 aktualisiert um 10:53:44 Uhr
Goto Top
Man benötigt eigentlich keine wenn man STUN aktiviert hat.
Ohne STUN oder Keepalives müsste man immer ein SIP Forwarding aktivieren. Klar, denn wenn die Firewall dicht macht , dann aber ein Call am Provider eingeht versucht der eine SIP Session aufzubauen zur Firewall, denn deren IP ist ja für den Provider das Ziel wo das Telefon ist.
Die Firewall sagt dann aber: "Inbound Session ?" Nee, du kommst hier nicht rein !!!
Mit einem statischen Port Forwarding auf die Anlage würde das dann aber gehen.
Ein STUN oder Keepalive macht das gleiche. Das pollt innerhalb des SIP FW Session Timeouts den Provider und vice versa. So bleibt die SIP Session in der Firewall offen und inbound Calls von außen kommen auch ganz ohne Fummelei in den Firewall Settings zustande.
Versuche es erstmal damit...
Übrigens der korrigierte erste URL von oben ist:
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
weil auch RDP & Zugriff auf Laufwerke nicht funktioniert haben.
Das kann auch nicht gehen, da du ja mit einer fremden Absender IP reinkommst im VPN. Die lokale Win Firewall blockt sowas sofort, denn die lässt nur IPs des gleichen netzes zu.
Hier musst du die Firewall für die Remote Access und Datei- und Druckerfreigabe entsprechend anpassen.
HomeServer von 1&1
Igitt !!
IPsec
OK, Regeln im Tunnel Interface nicht vergessen ?? Dieses Tutorial dazu kennst du ja sicherlich:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lokale LAN IP der pfSense kannst du aber vom VPN Client pingen, oder ??
Das muss immer gehen wenn das VPN funktionsfähig ist. Zeigt dann zu 98% das das Problem dann an der lokalen Firewall der LAN Clients liegt.
Solltest du es nicht pingen können hast du ein generelles Problem mit dem VPN. (Oder eine fehlende ICMP Regel am FW LAN Interface)
Yannosch
Yannosch 26.03.2018 aktualisiert um 10:55:53 Uhr
Goto Top
Zitat von @aqui:

Man benötigt eigentlich keine wenn man STUN aktiviert hat.

Bitte erläutere mir mal was es heißt "wenn man STUN aktiviert hat"? Ich wüsste nicht wo ich das aktivieren geschweige denn deaktivieren sollte.

Ohne STUN oder Keepalives müsste man immer ein SIP Forwarding aktivieren. Klar, denn wenn die Firewall dicht macht , dann aber ein Call am Provider eingeht versucht der eine SIP Session aufzubauen zur Firewall, denn deren IP ist ja für den Provider das Ziel wo das Telefon ist.
Die Firewall sagt dann aber: "Inbound Session ?" Nee, du kommst hier nicht rein !!!
Mit einem statischen Port Forwarding auf die Anlage würde das dann aber gehen.

Genau, das ist auch verständlich & so wollte ich es eigentlich auch umsetzen.

Ein STUN oder Keepalive macht das gleiche. Das pollt innerhalb des SIP FW Session Timeouts den Provider und vice versa. So bleibt die SIP Session in der Firewall offen und inbound Calls von außen kommen auch ganz ohne Fummelei in den Firewall Settings zustande.


Ja das klingt doch eigentlich genau so wie ich es gerne machen würde. Wenn ich dann einfach die Telekomrufnummern in der Fritte registrieren kann bin ich doch glücklich.

Versuche es erstmal damit...
Übrigens der korrigierte erste URL von oben ist:
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
weil auch RDP & Zugriff auf Laufwerke nicht funktioniert haben.
Das kann auch nicht gehen, da du ja mit einer fremden Absender IP reinkommst im VPN. Die lokale Win Firewall blockt sowas sofort, denn die lässt nur IPs des gleichen netzes zu.
Hier musst du die Firewall für die Remote Access und Datei- und Druckerfreigabe entsprechend anpassen.

EDIT zum VPN Thema:

Die Einrichtung des ShrewSoft könnte ggf. doch auch die Möglichkeit sein, damit es läuft oder?

Einstellungen im Register Policy

Deaktivieren der Option ☐ Obtain Topology Automatically or Tunnel All

Auf die Schaltfläche Add klicken und das entfernte Zielnetzwerk (privates Netzwerk hinter der pfSense) eingeben. Damit wird später eine passender Eintrag in der Routingtabelle erzeugt um das Zielnetzwerk zu erreichen.
Type : Include
Address : <Netzwerk hinter der pfSense ( z.B. 192.168.0.0 )
Netmask : <Netzwerkmaske für das entfernte Netzwerk ( z.B. 255.255.255.0 )


QUELLE
aqui
aqui 26.03.2018 aktualisiert um 11:11:55 Uhr
Goto Top
Thema STUN:
https://www.3cx.de/voip-sip/stun-server/
Die Einrichtung des ShrewSoft könnte ggf. doch auch
Das wäre möglich. Eine fehlerhafte Einrichtung könnte auch einen Fehlerquelle sein.
Fragt sich warum du überhaupt Shrew verwendest. Windows, Mac OS usw. kann das auch einfach mit Bordmitteln. Siehe Tutorial !
Yannosch
Yannosch 26.03.2018 um 13:22:04 Uhr
Goto Top
Da ist man was die Einrichtung betrifft bisschen Plattformunabhängiger m.E.n.
Die Config Datei des ShrewSoft Clients läuft auf jedem Computer der ShrewSoft installieren kann... anders als die Integrierten Clients von Windows & Apple.
aqui
aqui 26.03.2018 um 13:39:52 Uhr
Goto Top
Das ist wohl wahr aber anderseits arbeiten die anderen mit 3 Mausklicks in den onboard Clients ohne irgendwelche Extras. Aber egal, ist ja eher ne kosmetische Frage und das kann jeder individuell entscheiden.
Das Ziel erreicht man mit beiden Optionen face-wink
Yannosch
Yannosch 26.03.2018 um 13:50:10 Uhr
Goto Top
Ich teste später mal ob es an dem Fehlenden Eintrag im ShrewClient liegt.
Vielleicht kann ich dann im Netz arbeiten.
Yannosch
Yannosch 27.03.2018 um 19:24:05 Uhr
Goto Top
Servues Aqui,

habe nochmal alles was ipsec betrifft resettet und nochmal mit deiner Anleitung von vorne begonnen.
habe alles gemäß deines Tutorials befolgt... allerdings bekomme ich leider keine VPN Verbindung. Der Shrewsoft meldet mir: negotiation timout occured

Was kann ich dort tun? Bin bisschen Ratlos - habe nämlich alles 1 zu 1 wie in deinem Tutorial gemacht & allzuschwierig ist es jetzt ja nicht...

LG Yannosch
aqui
aqui 27.03.2018 aktualisiert um 19:34:48 Uhr
Goto Top
Du meinst die aktuelle IPsec_Anleitung hier vom Forum ?
Das kann auch nicht gehen, denn die Anleitung bezieht sich rein auf die aktuelle IKEv2 Version. Der Shrew Client macht nur IKEv1.
Das ist klar das das scheitert. Sorry hatte ich oben nicht sofort erkannt.

Du musst dann auf der pfSense eine IPsec Access Konfig mit IKEv1 aufsetzen.
Wie das geht ist hier beschrieben:
https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-T ...
IKEv1 erfordert keine CA und Zertifikate und ist daher generell einfacher aufzusetzen !
Yannosch
Yannosch 27.03.2018 um 19:39:27 Uhr
Goto Top
Hey,

kein Problem - bin ja froh dass du hilfst face-smile

Nein - laut dieser hier

Also soll ich es nach dieser hier machen?
https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-T ...

Dort wird dann aber nicht gezeigt wie der ShrewSoft Client zu konfigurieren ist.
aqui
Lösung aqui 27.03.2018 um 20:00:26 Uhr
Goto Top
Das stimmt, primär war das Tutorial als SiteToSite VPN für IPsec gedacht, weniger fürs Client Dialin.
Das müsste mal überarbeitet werden...(du siehst es an den alten Screenshots) face-sad
Du solltest also besser die pfSense Anleitung nehmen face-wink
Gibt auch noch einige andere mehr wenn man danach sucht:
http://blog.schaefer-it.net/wissenswertes/ipsec-verbindung-zwischen-pfs ...
https://www.thegeekpub.com/5855/pfsense-road-warrior-ipsec-config-works/
Yannosch
Yannosch 28.03.2018 aktualisiert um 13:48:11 Uhr
Goto Top
Servus Aqui,

lööft jetzt alles was das VPN betrifft.
Jetzt habe ich was die PFsense betrifft noch EIN Mysterium was derzeit auftritt & welches es zu lösen gilt:

Die PFsense bekommt in unregelmäßigen Abständen eine neue IP vom Provider über PPP zugewiesen. Warum? Ich weiß es nicht.

Ich habe den Anschluss noch nicht auf eine statische IP umgestellt, aber es muss ja einen Grund geben warum die FW, teilweise 2-3 Mal in 2 Stunden eine neue IP bekommt.

Das sagen die Logs:

Mar 28 10:52:58 	ppp 		[wan] IPADDR XX.XXX.225.18
Mar 28 10:52:58 	ppp 		[wan] XX.XXX.225.18 is OK
Mar 28 10:52:58 	ppp 		[wan] PRIDNS 217.0.43.97
Mar 28 10:52:58 	ppp 		[wan] SECDNS 217.0.43.113
Mar 28 10:52:58 	ppp 		[wan] IPCP: SendConfigReq #3
Mar 28 10:52:58 	ppp 		[wan] IPADDR XX.XXX.225.18
Mar 28 10:52:58 	ppp 		[wan] PRIDNS 217.0.43.97
Mar 28 10:52:58 	ppp 		[wan] SECDNS 217.0.43.113
Mar 28 10:52:59 	ppp 		[wan] IPCP: rec'd Configure Ack #3 (Ack-Sent)  
Mar 28 10:52:59 	ppp 		[wan] IPADDR XX.XXX.225.18
Mar 28 10:52:59 	ppp 		[wan] PRIDNS 217.0.43.97
Mar 28 10:52:59 	ppp 		[wan] SECDNS 217.0.43.113
Mar 28 10:52:59 	ppp 		[wan] IPCP: state change Ack-Sent --> Opened
Mar 28 10:52:59 	ppp 		[wan] IPCP: LayerUp
Mar 28 10:52:59 	ppp 		[wan] XX.XXX.225.18 -> XX.XXX.224.87
Mar 28 10:52:59 	check_reload_status 		Rewriting resolv.conf 

Kannst du ggf. was damit anfangen?
LG Yannosch
aqui
Lösung aqui 28.03.2018 aktualisiert um 14:13:28 Uhr
Goto Top
Tadaaa !! face-smile
Glückwunsch ! Könnten wir das Tutorial ja nochmal mit einer IKEv1 Konfig erweitern face-wink
Die PFsense bekommt in unregelmäßigen Abständen eine neue IP vom Provider über PPP zugewiesen.
Das ist ja normal an xDSL. Die allseits bekannte Zwangstrennung.
teilweise 2-3 Mal in 2 Stunden eine neue IP bekommt.
Das wäre in der Tat etwas außergewöhnlich. Kannst du aber ganz sicher ausschliessen das der Provider das nicht initiiert ??
Hast du die MTU richtig gesetzt auf dem WAN/PPPoE Port auf 1492 ?
Kannst du ggf. was damit anfangen?
Ja, und du sicher auch. Ein klassisches sauberes PPP Handshaking wie es im Buche steht.
  • IP Adress Zuteilung
  • DNS Zuteilung
  • PPP meldet Layer UP und damit Handshaking OK.
Du müsstest mal einen Abbruch mitprotokollieren.
Yannosch
Yannosch 28.03.2018 um 14:16:55 Uhr
Goto Top
Zitat von @aqui:

Tadaaa !! face-smile
Glückwunsch ! Könnten wir das Tutorial ja nochmal mit einer IKEv1 Konfig erweitern face-wink

Dein Wunsch sei mir Befehl - hast eh wieder mal dick was gut! Hoffe ich komme mal irgendwie dazu mich zu revanchieren.

Die PFsense bekommt in unregelmäßigen Abständen eine neue IP vom Provider über PPP zugewiesen.
Das ist ja normal an xDSL. Die allseits bekannte Zwangstrennung.
teilweise 2-3 Mal in 2 Stunden eine neue IP bekommt.
Das wäre in der Tat etwas außergewöhnlich. Kannst du aber ganz sicher ausschliessen das der Provider das nicht initiiert ??
Hast du die MTU richtig gesetzt auf dem WAN/PPPoE Port auf 1492 ?

Ich check das mal, aber ich glaube ich hab da sogar gar nichts eingetragen also den Default wert.

Kannst du ggf. was damit anfangen?
Ja, und du sicher auch. Ein klassisches sauberes PPP Handshaking wie es im Buche steht.
  • IP Adress Zuteilung
  • DNS Zuteilung
  • PPP meldet Layer UP und damit Handshaking OK.
Du müsstest mal einen Abbruch mitprotokollieren.

Okay...
Versuch da auch mal was zu bekommen.
aqui
Lösung aqui 28.03.2018 aktualisiert um 14:26:43 Uhr
Goto Top
glaube ich hab da sogar gar nichts eingetragen also den Default wert.
Böses Faul bei PPPoE !!! Warum...??? Hier lesen:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Zusätzlich solltest du auf dem LAN Port dann noch die MSS auf 1452 setzen. Nur auf den LAN Ports !
Yannosch
Yannosch 28.03.2018 um 14:41:24 Uhr
Goto Top
Zitat von @aqui:

glaube ich hab da sogar gar nichts eingetragen also den Default wert.
Böses Faul bei PPPoE !!! Warum...??? Hier lesen:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Zusätzlich solltest du auf dem LAN Port dann noch die MSS auf 1452 setzen. Nur auf den LAN Ports !

Ok, habe jetzt alles eingestellt & mir den Cisco Artikel mal zu Gemüte geführt.
Ich schau mal wie es sich verhält.

Aber nochmal eine doofe Frage: Wenn ich den Anschluss im Kundencenter auf Static IP schalte - muss dann an der Gesamten konfig was geändert werden bzw. im am Draytek Vigor 130? Oder läuft die PPPOE Prozedur dann genauso ab nur der Anschluss bekommt halt immer die selbe öfftl. IP zugewiesen?

LG Yannosch
aqui
Lösung aqui 28.03.2018 um 14:55:52 Uhr
Goto Top
Aber nochmal eine doofe Frage:
Doofe Fragen jibbet doch nit face-wink
muss dann an der Gesamten konfig was geändert werden
Das ist eine sehr gute Frage... Müsste mal jemand beantworten der das in der Praxis betreibt.
Möglich das die Telekom ein PPPoE Nailing mit deinen Credentials macht auf eine feste IP. Das ist dann so wie Mac Adress Nailing in der FritzBox DHCP.
Da bleibt dann alles beim alten.. Wenns wirklich statisch ist dann musst du ggf. was umstellen.
Versuch macht klug face-wink
Yannosch
Yannosch 28.03.2018 aktualisiert um 15:16:43 Uhr
Goto Top
Aber da mache ich mal ein anderen Fred auf - ich glaube das hier niemand mehr vorbeischaut.

Aber danke bis hier hin face-smile

EDIT:

Das sagt die Telekom im eigenen Forum dazu:

Einfach auf aktivieren klicken, bestätigen, dass die Anmeldedaten im Router eingetragen sind und ausführen.

Der Router trennt die Verbindung innerhalb der nächsten Minute und kommt dann mit fester IP wieder Online.

bei mir hat es gestern Abend an der Stelle auch geklemmt, ging aber dann irgendwann.
Yannosch
Yannosch 29.03.2018 um 09:07:41 Uhr
Goto Top
Also habs einfach mal umgestellt & es läuft.
Ist wahrscheinlich dann wie ne DHCP-Adressreservierung. Also einfach immer die selbe geben.

Okay cool - läuft also alles. Jetzt muss nurnoch die Fritte Leben bekommen.
Verfolge gerade diesen Fred Telefon über VoIP an Telefonanlage aus Internet anmelden

Verstehe ich das richtig, dass eine Portweiterleitung für die SIP und RTP Ports auf die Fritten-IP ein Sicherheitsrisiko darstellt?
Wie soll man das in diesem Fall denn überhaupt anders lösen?

LG Yannosch
aqui
Lösung aqui 29.03.2018 aktualisiert um 09:17:31 Uhr
Goto Top
Das was in dem Thread steht gilt für dich NICHT !
Der TO dort will von einem externen Telefon was irgendwo im Internet steht seine eigene interne VoIP Anlage erreichen.
Ohne VPN muss er dann natürlich ein Loch in die FB Firewall bohren, damit sich das Telefon an der internen PBX hinter der FB NAT Firewall registrieren kann.
Du hast ja ein komplett anderes Szenario. (Genau andersrum)
Bei dir ist die FB ja die Anlage die von sich aus eine SIP Connection auf den Provider aufmacht. Also alles genau umgedreht und deshalb musst du nix machen.
Infos zur FB Telefonie findet du hier:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
https://www.heise.de/ct/ausgabe/2015-6-Fritzbox-als-GSM-Gateway-und-VoIP ...
Yannosch
Yannosch 29.03.2018 um 09:30:55 Uhr
Goto Top
Okay sorry, hab ich falsch interpretiert.

Ja das wird klappen ist jetzt nicht die Welt face-smile

Danke dir!
aqui
aqui 29.03.2018 um 14:24:56 Uhr
Goto Top
Und du hast ordentlich Zeit über Ostern face-wink
Yannosch
Yannosch 29.03.2018 um 20:07:41 Uhr
Goto Top
Soo ....

so Gott will brauche ich diese Zeit nichtmal.

Was mich wieder extrems verrückt macht:
Habe die Fritte als IP-Client / WLAN Mesh eingerichtet mit fixer IP - siehe hier:

fritte

Gespeichert, Internetverbindung steht dann auch - die vorher eingerichteten Rufnummern sind alle aktiv - alles gut, NUR:

fritte2

Ist sie unter der angegebenen Adresse - nämlich die 192.168.1.203 nicht erreichbar. Lediglich unter der "Notfall IP 169.254.1.1" und der 192.168.1.113 ?! Warum auch immer.

Diese Sache mit der Statischen IP kann ich überhaupt nicht nachvollziehen face-confused Warum sollte AVM hier die Möglichkeit geben eine statische IP festzulegen wenn die Fritte eh eine über DHCP bekommt?

Hast du zufällig ne Idee?

LG & schonmal frohe Ostern!
aqui
aqui 29.03.2018 aktualisiert um 23:04:31 Uhr
Goto Top
Du solltest mal einen etwas Standard konformen DNS Namen konfigurieren wie yannosch.home.arpa oder sowas.
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Das ist aber bezogen auf deine Frage erstmal nur Kosmetik.
Man müsste dazu wissen was AVM genau unter einem "Mesh" versteht ?! Normal ist das ein Terminus fürs WLAN um das es hier ja gar nicht geht...
Die Frage ist warum du das überhaupt aktivierst ?!
Warum nicht einfach eine statische IP auf dem LAN Interface, DHCP deaktivieren, and LAN anschliessen und gut iss. Wäre doch das Naheliegenste statt dieser Mesh Frickelei wo keiner weiss was die Box dann macht.
Yannosch
Yannosch 29.03.2018 aktualisiert um 23:22:04 Uhr
Goto Top
Sorry ... aber da muss ich widersprechen ... die Funktion um die Fritzbox als IP Client einzurichten - sprich, den Zugang zum Internet über einen vorhandenen Router zu etablieren - ist eben genau diese Funktion. So wird es auch von AVM empfohlen ... mit deiner genannten Konstellation wurde eben keine Internetverbindung hergestellt ... das ist quasi die AP Config für die Fritte.. so kann ich leider die VoIP Nummern nicht registrieren ... da "Internet nicht vorhanden".
aqui
aqui 30.03.2018 aktualisiert um 09:13:02 Uhr
Goto Top
ist eben genau diese Funktion.
Das kann nicht sein, denn das ist kein Mesh aus technsicher Sicht.
Dafür gilt DAS hier:
Kopplung von 2 Routern am DSL Port
Wie bei jedem anderen stinknormalen Router auch. Nur so betreibt man einen Router als simplen WLAN Access Point. Meshing ist was anderes. Dafür benötigst du einen Dual Radio AP !
Hier mal für Total Laien erklärt: https://www.stern.de/digital/technik/mesh-wlan--die-router-revolution--7 ...
Das kann auch AVM niemals für den reinen AP Betrieb "empfehlen" wäre ja Unsinn auch technsicher Sicht. Vermutlich scheiterst du deshalb genau dan diesem Punkt ?!
Yannosch
Yannosch 30.03.2018 um 11:23:41 Uhr
Goto Top
Die Funktion heißt IP Client / WLAN Mesh. Und dient dazu einen Internetzugang mit der Fritzbox über einen andern Router herzustellen. Wenn ich der Fritte einfach eine statische IP im internen Netz gebe und das WLAN aktiviere habe ich nur einen AP. Dann wird aber in der Übersicht der Fritte eine NICHT AKTIVE Internetverbindung gezeigt. Die Clients im WLAN können dann surfen, aber die Fritte kann nicht direkt ins Internet.

https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Yannosch
Yannosch 30.03.2018 um 21:01:02 Uhr
Goto Top
Noch ne andere Sache ... Wie funktioniert das eigentlich mit dem Fax dann?

Habe ein Faxgerät auf der Fritte eingerichtet mit einer verfügbaren registrierten Nummer für die Schnittstelle FON01.

Wenn ich allerdings jetzt dort anrufe bekomme ich gar nicht den bekannten Faxton...

Sollte ich da noch etwas spezielles beachten? Ich muss zugeben mit Faxen im zusammenhang mit Voip kenne ich mich nicht aus. Ich weiß nur dass es wohl eine sehr diffizile Angelegenheit sein soll.
aqui
aqui 31.03.2018 um 00:26:14 Uhr
Goto Top