syosse
Goto Top

Opensense VPN für 1 Port

Hallo Zusammen face-smile

Idee: Ich will mein IP Telefon hier bei mir Zuhause konfigurieren dafür brauch ich aber das Netz vom Geschäft. Die Idee wäre wenn ich das Telefon beim Port-interface 4 bei der Opnsense Firewall einstecke, beim Telefon die IP/GW /Subnetz vom Geschäft zuweise und damit weitere Einstellungen testen kann. Leider bin ich aber nur soweit gekommen, dass ich von Zuhause aus auf das Netz vom Geschäft zugreifen kann.

Infos: Bei Standort A (Zuhause) 192.168.60.1/24 und Standort B (Geschäft) 192.168.10.1/24 laufen Opnsense Firewall. Die Firewalls sind direkt am Netz also keine Fremd-Router dazwischen.
Bei Standort A habe ich OPENVPN Client eingerichtet und bei Standort B OPENVPN SERVER Tunell Netz ist: 192.168.100.1/24. Die Verbindung steht und ich kann von Zuhause aus auf das Geschäfts-netz zugreifen.

Was muss ich aber noch machen, dass bei Port-interface 4 direkt das Netz vom Geschäft dahinter ist, so dass ich den Telefon einstecken kann.
Es geht mir darum dass ich das Telefon mit der PBX Anlage verbinden muss. Beim Telefon kann ich die IP eintragen sowie die PBX IP zuweisen.


Vielen herzlichen Dank.
Gruss
standord

Content-ID: 821823522

Url: https://administrator.de/contentid/821823522

Ausgedruckt am: 19.12.2024 um 13:12 Uhr

aqui
aqui 26.06.2021 aktualisiert um 17:57:05 Uhr
Goto Top
Die Grundlagen zum OpenVPN hast du alle gelesen ?!
Merkzettel: VPN Installation mit OpenVPN
Was muss ich aber noch machen
Du musst gar nichts machen, denn idealerweise machst du ein Split Tunneling mit deiner OpenVPN Installation so das beide Firewall ihre jeweiligen Netze kennen.
Routingtechnisch ist es bei OpenVPN nicht möglich das das Office Net direkt am anderen Ende ist, denn du hast immer die OpenVPN "Wolke" dazwischen mit einem eigenen IP Netz. Siehe Tutorial oben !
In der Bezihung ist also dein Port 4 im .10.0er Netz routimngtechnischer Usinn, das kann so nicht klappen denn dort musst du ein anderes IP Netz benutzen.

OpenVPN zu nehmen ist nicht gerade eine intelligende Wahl in diesem Setup, denn wenn du auf beiden Seiten die gleiche Hardware hast. Ein IPsec VPN wäre dort erheblich sinnvoller gewesen, denn das routet Office- und Heimnetz direkt. Außerdem ist es erheblich einfacher im Setup da du dir diese ganze Frickelei mit den Zertifikaten ersparst.
Letztlich ist es aber für die Voice Funktion an sich völlig egal welches VPN Protokoll du verwendest.
Wichtig ist nur das du vom Telefon den VoIP Server/PBX Pingen kannst und auch umgekehrt. Damit ist dann die IP Connectivity gegeben und die SIP Connection sollte sofort zustande kommen. face-wink
Ein simples VPN Standard Design !
Fazit:
Passe dein Telefon IP Segment an und darauf bezogen auch die OpenVPN Konfig, dann kommt das auch sofort zum Fliegen.
Syosse
Syosse 26.06.2021 um 18:01:33 Uhr
Goto Top
Zitat von @aqui:

Die Grundlagen zum OpenVPN hast du alle gelesen ?!
Merkzettel: VPN Installation mit OpenVPN
Was muss ich aber noch machen
Du musst gar nichts machen, denn idealerweise machst du ein Split Tunneling mit deiner OpenVPN Installation so das beide Firewall ihre jeweiligen Netze kennen.
Routingtechnisch ist es bei OpenVPN nicht möglich das das Office Net direkt am anderen Ende ist, denn du hast immer die OpenVPN "Wolke" dazwischen mit einem eigenen IP Netz. Siehe Tutorial oben !
In der Bezihung ist also dein Port 4 im .10.0er Netz routimngtechnischer Usinn, das kann so nicht klappen denn dort musst du ein anderes IP Netz benutzen.

OpenVPN zu nehmen ist nicht gerade eine intelligende Wahl in diesem Setup, denn wenn du auf beiden Seiten die gleiche Hardware hast. Ein IPsec VPN wäre dort erheblich sinnvoller gewesen, denn das routet Office- und Heimnetz direkt. Außerdem ist es erheblich einfacher im Setup da du dir diese ganze Frickelei mit den Zertifikaten ersparst.
Letztlich ist es aber für die Voice Funktion an sich völlig egal welches VPN Protokoll du verwendest.
Wichtig ist nur das du vom Telefon den VoIP Server/PBX Pingen kannst und auch umgekehrt. Damit ist dann die IP Connectivity gegeben und die SIP Connection sollte sofort zustande kommen. face-wink
Ein simples VPN Standard Design !
Fazit:
Passe dein Telefon IP Segment an und darauf bezogen auch die OpenVPN Konfig, dann kommt das auch sofort zum Fliegen.


Vielen Dank für dein Tipp.

Grundlagen habe ich gelesen, aber ist auch schon eine Weile her.
Ich werde es nochmals durchgehen und ab jetzt IPsec verwenden.
Wenn das IPsec direkt vom Heim Netz zu Office Netz routet, dann ist natürlich viel einfacher.

Gruss
Syosse
Syosse 27.06.2021 um 12:10:54 Uhr
Goto Top
Die IP Sec habe ich gestern noch eingerichtet funktioniert einwandfrei. Die Grundlagen habe ich auch durchgelesen.
Leider stehe ich immer noch vor einem Verständnisproblem :/ Von meinem Home Netz routet es alles weiter zu Office Netz aber ich muss am Telefon die IP eintragen vom Office Netz, das Telefon ist wiederum am Port 4 bei Opnsense eingesteckt. Laut Wireshark macht das Telefon ständig ein ARP request über Broadcast und es findet das Gateway vom Office Netz nicht auch verständlich. Beim Port 4 Opnsense soll direkt das Interface Netz vom Office zur Verfügung stehen. Aber an meinem Heim Netz kann ich ja auch nicht das gleiche Office Netz erstellen.

Tut mir leid für die Umstände face-sad

Gruss Syosse
aqui
aqui 27.06.2021 aktualisiert um 15:11:15 Uhr
Goto Top
Die IP Sec habe ich gestern noch eingerichtet funktioniert einwandfrei.
Perfekt ! 👍
aber ich muss am Telefon die IP eintragen vom Office Netz
Ja, das ist ja klar, denn deine VoIP Telefonanlage steht ja vermutlich wohl im Office. Folglich musst du also immer diese IP Adresse der Anlage logischerweise immer als SIP Registrar am Telefon eingeben. Klassisches VoIP Standard Setup ! face-wink
das Telefon ist wiederum am Port 4 bei Opnsense eingesteckt.
Stellt sich dann natürlich die Frage WIE dein Port 4 an der Firewall definiert ist ?!? Das darf natürlich logischerweise NICHT das IP Netz aus dem Office sein, denn in der TCP/IP Grundschule lernt man ja schon das IP Netze einzigartig sein müssen !
Laut Wireshark macht das Telefon ständig ein ARP request über Broadcast
Ja, klar, das ist auch normal. Das Telefon "merkt" ja das sein SIP Registrar in einem anderen IP Netz ist als es selber also ARPed es nach seiner Gateway IP Adresse. Das ist die Mac Adresse deiner Firewall die diese am Port 4 von dir bekommen hat !!
Wenn sie die nicht ARPen kann stimmt die IP Adressierung zw. dem Telefon und dem IP Netz was du an Port 4 definiert hast nicht überein ! Wie bereits gesagt darf das NICHT gleich dem Office Netz sein, denn wie willst du dann noch eindeutig routen wenn Netze doppelt und 3fach vorhanden sind. Ist so wie wenn Köln 3mal in D vorhanden wäre. Wie sollte ein Navi dann das richtige finden ?!
Beim Port 4 Opnsense soll direkt das Interface Netz vom Office zur Verfügung stehen.
Nein, das muss zwingend ein separates IP Netz sein ! Ansonsten wäre ein Routing technisch unmöglich.
Aber an meinem Heim Netz kann ich ja auch nicht das gleiche Office Netz erstellen.
Einsicht ist der erste Weg zu einer korrekten Konfiguration ! face-wink
Tut mir leid für die Umstände
Welche Umstände denn ??? Alles gut.
So, und nun konfigurierst du das richtig und dann kommt das auch sofort zum Fliegen.
Tip:
Lad dir erstmal ein simples Softphone runter wie Phoner oder Phoner Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.
Mit Ping und Traceroute (tracert bei Winblows) kannst du dann erstmal wasserdicht die IP Connectivity zur FW und auch ins Office Netz checken und wenn das alles klappt auch die Telefonanlage pingen.
Klappt auch das startest du das Softphone. In dessen Log Dateien kannst du dann sofort sehen ob die SIP Registrierung klappt. Bzw. sollte das auch dein parallel laufender Wireshark zeigen.
Tut es das kannst du auch gleich lostelefonieren. face-wink
Syosse
Syosse 27.06.2021 aktualisiert um 15:59:55 Uhr
Goto Top
Zitat von @aqui:

Die IP Sec habe ich gestern noch eingerichtet funktioniert einwandfrei.
Perfekt ! 👍
aber ich muss am Telefon die IP eintragen vom Office Netz
Ja, das ist ja klar, denn deine VoIP Telefonanlage steht ja vermutlich wohl im Office. Folglich musst du also immer diese IP Adresse der Anlage logischerweise immer als SIP Registrar am Telefon eingeben. Klassisches VoIP Standard Setup ! face-wink
das Telefon ist wiederum am Port 4 bei Opnsense eingesteckt.
Stellt sich dann natürlich die Frage WIE dein Port 4 an der Firewall definiert ist ?!? Das darf natürlich logischerweise NICHT das IP Netz aus dem Office sein, denn in der TCP/IP Grundschule lernt man ja schon das IP Netze einzigartig sein müssen !
Laut Wireshark macht das Telefon ständig ein ARP request über Broadcast
Ja, klar, das ist auch normal. Das Telefon "merkt" ja das sein SIP Registrar in einem anderen IP Netz ist als es selber also ARPed es nach seiner Gateway IP Adresse. Das ist die Mac Adresse deiner Firewall die diese am Port 4 von dir bekommen hat !!
Wenn sie die nicht ARPen kann stimmt die IP Adressierung zw. dem Telefon und dem IP Netz was du an Port 4 definiert hast nicht überein ! Wie bereits gesagt darf das NICHT gleich dem Office Netz sein, denn wie willst du dann noch eindeutig routen wenn Netze doppelt und 3fach vorhanden sind. Ist so wie wenn Köln 3mal in D vorhanden wäre. Wie sollte ein Navi dann das richtige finden ?!
Beim Port 4 Opnsense soll direkt das Interface Netz vom Office zur Verfügung stehen.
Nein, das muss zwingend ein separates IP Netz sein ! Ansonsten wäre ein Routing technisch unmöglich.
Aber an meinem Heim Netz kann ich ja auch nicht das gleiche Office Netz erstellen.
Einsicht ist der erste Weg zu einer korrekten Konfiguration ! face-wink
Tut mir leid für die Umstände
Welche Umstände denn ??? Alles gut.
So, und nun konfigurierst du das richtig und dann kommt das auch sofort zum Fliegen.
Tip:
Lad dir erstmal ein simples Softphone runter wie Phoner oder Phoner Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.
Mit Ping und Traceroute (tracert bei Winblows) kannst du dann erstmal wasserdicht die IP Connectivity zur FW und auch ins Office Netz checken und wenn das alles klappt auch die Telefonanlage pingen.
Klappt auch das startest du das Softphone. In dessen Log Dateien kannst du dann sofort sehen ob die SIP Registrierung klappt. Bzw. sollte das auch dein parallel laufender Wireshark zeigen.
Tut es das kannst du auch gleich lostelefonieren. face-wink



Soo, herzlichen Dankface-smile

Hoffe habe es nun verstanden, dass Telefon (Mitel 5370ip) habe ich als DHCP konfiguriert somit hatt es die IP sowie GW Adresse von meinem Home Netz bezogen. Dann habe ich noch die PBX Adresse beim Telefon eingetragen (IP Adresse von der Telefonanlage Office).
Nun habe ich mich bei der Telefonanlage (Web-Interface angemeldet) und siehe da es hatt die IP adresse vom Heim Netz eingetragen inkl. die MAC Adresse vom Telefon. Das Telefon ist registriert!
Das klingeln funktioniert ich kann abnehmen sowie extern anrufen, doch leider höre ich kein Gesprächston. Von der Gegenstelle nicht sowie beim Telefon. Werde das aber morgen nochmals testen ggf. die Telefonanlage überprüfen und noch paar SIP RTP Ports an der Firewall Regel testen, obwohl das ja eigt. gar nicht nötig wäre wenn alles getunnelt wird...

Hier mal der Ablauf.
Telefon->Opnsense (Heim)->IPSec VPN->Opnsense (Office)->Telefonanlage ->Telefonanbieter (VOIP)


Zitat von @aqui:


Lad dir erstmal ein simples Softphone runter wie Phoner oder Phoner Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.

Leider kann ich solche Daten nicht vom physischen Phone auslesen.


Vielen Dank nochmals face-smile @aqui Hast mir schon sehr weit geholfen.
aqui
Lösung aqui 27.06.2021 aktualisiert um 17:16:09 Uhr
Goto Top
Das Telefon ist registriert!
Perfekt ! 👏
doch leider höre ich kein Gesprächston.
Zeigt das deine Firewall ggf. auf einer oder beiden Seiten ein falsches oder fehlendes Regelwerk für den VPN Tunnel hat !! Du kannst also "Schrotschuß" im Regelwerk des Tunnels (IPsec) erstmal ein Any Any (* *) eingeben, dann forwardet der Tunnel alles.
Hört man keine Sprachdaten ist das immer ein Zeichen das RTP Frames nicht übertragen werden oder am fälschlich gesetzten NAT hängenbleiben. Was hier immer hilft ist STUN auf dem Telefon zu aktivieren.
obwohl das ja eigt. gar nicht nötig wäre wenn alles getunnelt wird...
Das ist richtig aber wenn du das Regelwerk am Tunnelinterface falsch oder gar nicht einträgst passiert sowas.
Leider kann ich solche Daten nicht vom physischen Phone auslesen.
Meistens schon denn in der Regel ist SIP nicht verschlüsselt und wenn du die Daten mit dem Wireshark mitsnifferst hast du sie auf dem Silbertablett. face-wink
Ganz sicher kannst du die Userdaten aber in der Telefonanlage auslesen, denn dort müssen sie hinterlegt sein.
Syosse
Syosse 27.06.2021 um 19:49:02 Uhr
Goto Top
Zitat von @aqui:

Das Telefon ist registriert!
Perfekt ! 👏
doch leider höre ich kein Gesprächston.
Zeigt das deine Firewall ggf. auf einer oder beiden Seiten ein falsches oder fehlendes Regelwerk für den VPN Tunnel hat !! Du kannst also "Schrotschuß" im Regelwerk des Tunnels (IPsec) erstmal ein Any Any (* *) eingeben, dann forwardet der Tunnel alles.
Hört man keine Sprachdaten ist das immer ein Zeichen das RTP Frames nicht übertragen werden oder am fälschlich gesetzten NAT hängenbleiben. Was hier immer hilft ist STUN auf dem Telefon zu aktivieren.
obwohl das ja eigt. gar nicht nötig wäre wenn alles getunnelt wird...
Das ist richtig aber wenn du das Regelwerk am Tunnelinterface falsch oder gar nicht einträgst passiert sowas.
Leider kann ich solche Daten nicht vom physischen Phone auslesen.
Meistens schon denn in der Regel ist SIP nicht verschlüsselt und wenn du die Daten mit dem Wireshark mitsnifferst hast du sie auf dem Silbertablett. face-wink
Ganz sicher kannst du die Userdaten aber in der Telefonanlage auslesen, denn dort müssen sie hinterlegt sein.


Perfekt, danke dir face-smile

Werde das morgen gleich in Angriff nehmen. IPsec Tunnel hab ich Any to Home Net eingestellt und umgekehrt bei Office habe ich Any to Office. Werde morgen noch auf Any Any einstellen.

Vielen Dank.

Gruss
fw rule