7
Opensense VPN für 1 Port
Hallo Zusammen 
Idee: Ich will mein IP Telefon hier bei mir Zuhause konfigurieren dafür brauch ich aber das Netz vom Geschäft. Die Idee wäre wenn ich das Telefon beim Port-interface 4 bei der Opnsense Firewall einstecke, beim Telefon die IP/GW /Subnetz vom Geschäft zuweise und damit weitere Einstellungen testen kann. Leider bin ich aber nur soweit gekommen, dass ich von Zuhause aus auf das Netz vom Geschäft zugreifen kann.
Infos: Bei Standort A (Zuhause) 192.168.60.1/24 und Standort B (Geschäft) 192.168.10.1/24 laufen Opnsense Firewall. Die Firewalls sind direkt am Netz also keine Fremd-Router dazwischen.
Bei Standort A habe ich OPENVPN Client eingerichtet und bei Standort B OPENVPN SERVER Tunell Netz ist: 192.168.100.1/24. Die Verbindung steht und ich kann von Zuhause aus auf das Geschäfts-netz zugreifen.
Was muss ich aber noch machen, dass bei Port-interface 4 direkt das Netz vom Geschäft dahinter ist, so dass ich den Telefon einstecken kann.
Es geht mir darum dass ich das Telefon mit der PBX Anlage verbinden muss. Beim Telefon kann ich die IP eintragen sowie die PBX IP zuweisen.
Vielen herzlichen Dank.
Gruss
Idee: Ich will mein IP Telefon hier bei mir Zuhause konfigurieren dafür brauch ich aber das Netz vom Geschäft. Die Idee wäre wenn ich das Telefon beim Port-interface 4 bei der Opnsense Firewall einstecke, beim Telefon die IP/GW /Subnetz vom Geschäft zuweise und damit weitere Einstellungen testen kann. Leider bin ich aber nur soweit gekommen, dass ich von Zuhause aus auf das Netz vom Geschäft zugreifen kann.
Infos: Bei Standort A (Zuhause) 192.168.60.1/24 und Standort B (Geschäft) 192.168.10.1/24 laufen Opnsense Firewall. Die Firewalls sind direkt am Netz also keine Fremd-Router dazwischen.
Bei Standort A habe ich OPENVPN Client eingerichtet und bei Standort B OPENVPN SERVER Tunell Netz ist: 192.168.100.1/24. Die Verbindung steht und ich kann von Zuhause aus auf das Geschäfts-netz zugreifen.
Was muss ich aber noch machen, dass bei Port-interface 4 direkt das Netz vom Geschäft dahinter ist, so dass ich den Telefon einstecken kann.
Es geht mir darum dass ich das Telefon mit der PBX Anlage verbinden muss. Beim Telefon kann ich die IP eintragen sowie die PBX IP zuweisen.
Vielen herzlichen Dank.
Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 821823522
Url: https://administrator.de/contentid/821823522
Printed on: April 25, 2024 at 04:04 o'clock
7 Comments
Latest comment
Die Grundlagen zum OpenVPN hast du alle gelesen ?!
Merkzettel: VPN Installation mit OpenVPN
Routingtechnisch ist es bei OpenVPN nicht möglich das das Office Net direkt am anderen Ende ist, denn du hast immer die OpenVPN "Wolke" dazwischen mit einem eigenen IP Netz. Siehe Tutorial oben !
In der Bezihung ist also dein Port 4 im .10.0er Netz routimngtechnischer Usinn, das kann so nicht klappen denn dort musst du ein anderes IP Netz benutzen.
OpenVPN zu nehmen ist nicht gerade eine intelligende Wahl in diesem Setup, denn wenn du auf beiden Seiten die gleiche Hardware hast. Ein IPsec VPN wäre dort erheblich sinnvoller gewesen, denn das routet Office- und Heimnetz direkt. Außerdem ist es erheblich einfacher im Setup da du dir diese ganze Frickelei mit den Zertifikaten ersparst.
Letztlich ist es aber für die Voice Funktion an sich völlig egal welches VPN Protokoll du verwendest.
Wichtig ist nur das du vom Telefon den VoIP Server/PBX Pingen kannst und auch umgekehrt. Damit ist dann die IP Connectivity gegeben und die SIP Connection sollte sofort zustande kommen.
Ein simples VPN Standard Design !
Fazit:
Passe dein Telefon IP Segment an und darauf bezogen auch die OpenVPN Konfig, dann kommt das auch sofort zum Fliegen.
Merkzettel: VPN Installation mit OpenVPN
Was muss ich aber noch machen
Du musst gar nichts machen, denn idealerweise machst du ein Split Tunneling mit deiner OpenVPN Installation so das beide Firewall ihre jeweiligen Netze kennen.Routingtechnisch ist es bei OpenVPN nicht möglich das das Office Net direkt am anderen Ende ist, denn du hast immer die OpenVPN "Wolke" dazwischen mit einem eigenen IP Netz. Siehe Tutorial oben !
In der Bezihung ist also dein Port 4 im .10.0er Netz routimngtechnischer Usinn, das kann so nicht klappen denn dort musst du ein anderes IP Netz benutzen.
OpenVPN zu nehmen ist nicht gerade eine intelligende Wahl in diesem Setup, denn wenn du auf beiden Seiten die gleiche Hardware hast. Ein IPsec VPN wäre dort erheblich sinnvoller gewesen, denn das routet Office- und Heimnetz direkt. Außerdem ist es erheblich einfacher im Setup da du dir diese ganze Frickelei mit den Zertifikaten ersparst.
Letztlich ist es aber für die Voice Funktion an sich völlig egal welches VPN Protokoll du verwendest.
Wichtig ist nur das du vom Telefon den VoIP Server/PBX Pingen kannst und auch umgekehrt. Damit ist dann die IP Connectivity gegeben und die SIP Connection sollte sofort zustande kommen.
Ein simples VPN Standard Design !
Fazit:
Passe dein Telefon IP Segment an und darauf bezogen auch die OpenVPN Konfig, dann kommt das auch sofort zum Fliegen.
2
Zitat von @aqui:
Die Grundlagen zum OpenVPN hast du alle gelesen ?!
Merkzettel: VPN Installation mit OpenVPN
Routingtechnisch ist es bei OpenVPN nicht möglich das das Office Net direkt am anderen Ende ist, denn du hast immer die OpenVPN "Wolke" dazwischen mit einem eigenen IP Netz. Siehe Tutorial oben !
In der Bezihung ist also dein Port 4 im .10.0er Netz routimngtechnischer Usinn, das kann so nicht klappen denn dort musst du ein anderes IP Netz benutzen.
OpenVPN zu nehmen ist nicht gerade eine intelligende Wahl in diesem Setup, denn wenn du auf beiden Seiten die gleiche Hardware hast. Ein IPsec VPN wäre dort erheblich sinnvoller gewesen, denn das routet Office- und Heimnetz direkt. Außerdem ist es erheblich einfacher im Setup da du dir diese ganze Frickelei mit den Zertifikaten ersparst.
Letztlich ist es aber für die Voice Funktion an sich völlig egal welches VPN Protokoll du verwendest.
Wichtig ist nur das du vom Telefon den VoIP Server/PBX Pingen kannst und auch umgekehrt. Damit ist dann die IP Connectivity gegeben und die SIP Connection sollte sofort zustande kommen.
Ein simples VPN Standard Design !
Fazit:
Passe dein Telefon IP Segment an und darauf bezogen auch die OpenVPN Konfig, dann kommt das auch sofort zum Fliegen.
Die Grundlagen zum OpenVPN hast du alle gelesen ?!
Merkzettel: VPN Installation mit OpenVPN
Was muss ich aber noch machen
Du musst gar nichts machen, denn idealerweise machst du ein Split Tunneling mit deiner OpenVPN Installation so das beide Firewall ihre jeweiligen Netze kennen.Routingtechnisch ist es bei OpenVPN nicht möglich das das Office Net direkt am anderen Ende ist, denn du hast immer die OpenVPN "Wolke" dazwischen mit einem eigenen IP Netz. Siehe Tutorial oben !
In der Bezihung ist also dein Port 4 im .10.0er Netz routimngtechnischer Usinn, das kann so nicht klappen denn dort musst du ein anderes IP Netz benutzen.
OpenVPN zu nehmen ist nicht gerade eine intelligende Wahl in diesem Setup, denn wenn du auf beiden Seiten die gleiche Hardware hast. Ein IPsec VPN wäre dort erheblich sinnvoller gewesen, denn das routet Office- und Heimnetz direkt. Außerdem ist es erheblich einfacher im Setup da du dir diese ganze Frickelei mit den Zertifikaten ersparst.
Letztlich ist es aber für die Voice Funktion an sich völlig egal welches VPN Protokoll du verwendest.
Wichtig ist nur das du vom Telefon den VoIP Server/PBX Pingen kannst und auch umgekehrt. Damit ist dann die IP Connectivity gegeben und die SIP Connection sollte sofort zustande kommen.
Ein simples VPN Standard Design !
Fazit:
Passe dein Telefon IP Segment an und darauf bezogen auch die OpenVPN Konfig, dann kommt das auch sofort zum Fliegen.
Vielen Dank für dein Tipp.
Grundlagen habe ich gelesen, aber ist auch schon eine Weile her.
Ich werde es nochmals durchgehen und ab jetzt IPsec verwenden.
Wenn das IPsec direkt vom Heim Netz zu Office Netz routet, dann ist natürlich viel einfacher.
Gruss
Die IP Sec habe ich gestern noch eingerichtet funktioniert einwandfrei. Die Grundlagen habe ich auch durchgelesen.
Leider stehe ich immer noch vor einem Verständnisproblem :/ Von meinem Home Netz routet es alles weiter zu Office Netz aber ich muss am Telefon die IP eintragen vom Office Netz, das Telefon ist wiederum am Port 4 bei Opnsense eingesteckt. Laut Wireshark macht das Telefon ständig ein ARP request über Broadcast und es findet das Gateway vom Office Netz nicht auch verständlich. Beim Port 4 Opnsense soll direkt das Interface Netz vom Office zur Verfügung stehen. Aber an meinem Heim Netz kann ich ja auch nicht das gleiche Office Netz erstellen.
Tut mir leid für die Umstände
Gruss Syosse
Leider stehe ich immer noch vor einem Verständnisproblem :/ Von meinem Home Netz routet es alles weiter zu Office Netz aber ich muss am Telefon die IP eintragen vom Office Netz, das Telefon ist wiederum am Port 4 bei Opnsense eingesteckt. Laut Wireshark macht das Telefon ständig ein ARP request über Broadcast und es findet das Gateway vom Office Netz nicht auch verständlich. Beim Port 4 Opnsense soll direkt das Interface Netz vom Office zur Verfügung stehen. Aber an meinem Heim Netz kann ich ja auch nicht das gleiche Office Netz erstellen.
Tut mir leid für die Umstände
Gruss Syosse
Die IP Sec habe ich gestern noch eingerichtet funktioniert einwandfrei.
Perfekt ! 👍aber ich muss am Telefon die IP eintragen vom Office Netz
Ja, das ist ja klar, denn deine VoIP Telefonanlage steht ja vermutlich wohl im Office. Folglich musst du also immer diese IP Adresse der Anlage logischerweise immer als SIP Registrar am Telefon eingeben. Klassisches VoIP Standard Setup ! das Telefon ist wiederum am Port 4 bei Opnsense eingesteckt.
Stellt sich dann natürlich die Frage WIE dein Port 4 an der Firewall definiert ist ?!? Das darf natürlich logischerweise NICHT das IP Netz aus dem Office sein, denn in der TCP/IP Grundschule lernt man ja schon das IP Netze einzigartig sein müssen !Laut Wireshark macht das Telefon ständig ein ARP request über Broadcast
Ja, klar, das ist auch normal. Das Telefon "merkt" ja das sein SIP Registrar in einem anderen IP Netz ist als es selber also ARPed es nach seiner Gateway IP Adresse. Das ist die Mac Adresse deiner Firewall die diese am Port 4 von dir bekommen hat !!Wenn sie die nicht ARPen kann stimmt die IP Adressierung zw. dem Telefon und dem IP Netz was du an Port 4 definiert hast nicht überein ! Wie bereits gesagt darf das NICHT gleich dem Office Netz sein, denn wie willst du dann noch eindeutig routen wenn Netze doppelt und 3fach vorhanden sind. Ist so wie wenn Köln 3mal in D vorhanden wäre. Wie sollte ein Navi dann das richtige finden ?!
Beim Port 4 Opnsense soll direkt das Interface Netz vom Office zur Verfügung stehen.
Nein, das muss zwingend ein separates IP Netz sein ! Ansonsten wäre ein Routing technisch unmöglich.Aber an meinem Heim Netz kann ich ja auch nicht das gleiche Office Netz erstellen.
Einsicht ist der erste Weg zu einer korrekten Konfiguration ! Tut mir leid für die Umstände
Welche Umstände denn ??? Alles gut.So, und nun konfigurierst du das richtig und dann kommt das auch sofort zum Fliegen.
Tip:
Lad dir erstmal ein simples Softphone runter wie Phoner oder Phoner Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.
Mit Ping und Traceroute (tracert bei Winblows) kannst du dann erstmal wasserdicht die IP Connectivity zur FW und auch ins Office Netz checken und wenn das alles klappt auch die Telefonanlage pingen.
Klappt auch das startest du das Softphone. In dessen Log Dateien kannst du dann sofort sehen ob die SIP Registrierung klappt. Bzw. sollte das auch dein parallel laufender Wireshark zeigen.
Tut es das kannst du auch gleich lostelefonieren.
Zitat von @aqui:
Wenn sie die nicht ARPen kann stimmt die IP Adressierung zw. dem Telefon und dem IP Netz was du an Port 4 definiert hast nicht überein ! Wie bereits gesagt darf das NICHT gleich dem Office Netz sein, denn wie willst du dann noch eindeutig routen wenn Netze doppelt und 3fach vorhanden sind. Ist so wie wenn Köln 3mal in D vorhanden wäre. Wie sollte ein Navi dann das richtige finden ?!
So, und nun konfigurierst du das richtig und dann kommt das auch sofort zum Fliegen.
Tip:
Lad dir erstmal ein simples Softphone runter wie Phoner oder Phoner Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.
Mit Ping und Traceroute (tracert bei Winblows) kannst du dann erstmal wasserdicht die IP Connectivity zur FW und auch ins Office Netz checken und wenn das alles klappt auch die Telefonanlage pingen.
Klappt auch das startest du das Softphone. In dessen Log Dateien kannst du dann sofort sehen ob die SIP Registrierung klappt. Bzw. sollte das auch dein parallel laufender Wireshark zeigen.
Tut es das kannst du auch gleich lostelefonieren.
Die IP Sec habe ich gestern noch eingerichtet funktioniert einwandfrei.
Perfekt ! 👍aber ich muss am Telefon die IP eintragen vom Office Netz
Ja, das ist ja klar, denn deine VoIP Telefonanlage steht ja vermutlich wohl im Office. Folglich musst du also immer diese IP Adresse der Anlage logischerweise immer als SIP Registrar am Telefon eingeben. Klassisches VoIP Standard Setup ! das Telefon ist wiederum am Port 4 bei Opnsense eingesteckt.
Stellt sich dann natürlich die Frage WIE dein Port 4 an der Firewall definiert ist ?!? Das darf natürlich logischerweise NICHT das IP Netz aus dem Office sein, denn in der TCP/IP Grundschule lernt man ja schon das IP Netze einzigartig sein müssen !Laut Wireshark macht das Telefon ständig ein ARP request über Broadcast
Ja, klar, das ist auch normal. Das Telefon "merkt" ja das sein SIP Registrar in einem anderen IP Netz ist als es selber also ARPed es nach seiner Gateway IP Adresse. Das ist die Mac Adresse deiner Firewall die diese am Port 4 von dir bekommen hat !!Wenn sie die nicht ARPen kann stimmt die IP Adressierung zw. dem Telefon und dem IP Netz was du an Port 4 definiert hast nicht überein ! Wie bereits gesagt darf das NICHT gleich dem Office Netz sein, denn wie willst du dann noch eindeutig routen wenn Netze doppelt und 3fach vorhanden sind. Ist so wie wenn Köln 3mal in D vorhanden wäre. Wie sollte ein Navi dann das richtige finden ?!
Beim Port 4 Opnsense soll direkt das Interface Netz vom Office zur Verfügung stehen.
Nein, das muss zwingend ein separates IP Netz sein ! Ansonsten wäre ein Routing technisch unmöglich.Aber an meinem Heim Netz kann ich ja auch nicht das gleiche Office Netz erstellen.
Einsicht ist der erste Weg zu einer korrekten Konfiguration ! Tut mir leid für die Umstände
Welche Umstände denn ??? Alles gut.So, und nun konfigurierst du das richtig und dann kommt das auch sofort zum Fliegen.
Tip:
Lad dir erstmal ein simples Softphone runter wie Phoner oder Phoner Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.
Mit Ping und Traceroute (tracert bei Winblows) kannst du dann erstmal wasserdicht die IP Connectivity zur FW und auch ins Office Netz checken und wenn das alles klappt auch die Telefonanlage pingen.
Klappt auch das startest du das Softphone. In dessen Log Dateien kannst du dann sofort sehen ob die SIP Registrierung klappt. Bzw. sollte das auch dein parallel laufender Wireshark zeigen.
Tut es das kannst du auch gleich lostelefonieren.
Soo, herzlichen Dank
Hoffe habe es nun verstanden, dass Telefon (Mitel 5370ip) habe ich als DHCP konfiguriert somit hatt es die IP sowie GW Adresse von meinem Home Netz bezogen. Dann habe ich noch die PBX Adresse beim Telefon eingetragen (IP Adresse von der Telefonanlage Office).
Nun habe ich mich bei der Telefonanlage (Web-Interface angemeldet) und siehe da es hatt die IP adresse vom Heim Netz eingetragen inkl. die MAC Adresse vom Telefon. Das Telefon ist registriert!
Das klingeln funktioniert ich kann abnehmen sowie extern anrufen, doch leider höre ich kein Gesprächston. Von der Gegenstelle nicht sowie beim Telefon. Werde das aber morgen nochmals testen ggf. die Telefonanlage überprüfen und noch paar SIP RTP Ports an der Firewall Regel testen, obwohl das ja eigt. gar nicht nötig wäre wenn alles getunnelt wird...
Hier mal der Ablauf.
Telefon->Opnsense (Heim)->IPSec VPN->Opnsense (Office)->Telefonanlage ->Telefonanbieter (VOIP)
Lad dir erstmal ein simples Softphone runter wie Phoner oder Phoner Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.
Leider kann ich solche Daten nicht vom physischen Phone auslesen.
Vielen Dank nochmals
@aqui Hast mir schon sehr weit geholfen.Das Telefon ist registriert!
Perfekt ! 👏doch leider höre ich kein Gesprächston.
Zeigt das deine Firewall ggf. auf einer oder beiden Seiten ein falsches oder fehlendes Regelwerk für den VPN Tunnel hat !! Du kannst also "Schrotschuß" im Regelwerk des Tunnels (IPsec) erstmal ein Any Any (* *) eingeben, dann forwardet der Tunnel alles.Hört man keine Sprachdaten ist das immer ein Zeichen das RTP Frames nicht übertragen werden oder am fälschlich gesetzten NAT hängenbleiben. Was hier immer hilft ist STUN auf dem Telefon zu aktivieren.
obwohl das ja eigt. gar nicht nötig wäre wenn alles getunnelt wird...
Das ist richtig aber wenn du das Regelwerk am Tunnelinterface falsch oder gar nicht einträgst passiert sowas.Leider kann ich solche Daten nicht vom physischen Phone auslesen.
Meistens schon denn in der Regel ist SIP nicht verschlüsselt und wenn du die Daten mit dem Wireshark mitsnifferst hast du sie auf dem Silbertablett. Ganz sicher kannst du die Userdaten aber in der Telefonanlage auslesen, denn dort müssen sie hinterlegt sein.
Zitat von @aqui:
Hört man keine Sprachdaten ist das immer ein Zeichen das RTP Frames nicht übertragen werden oder am fälschlich gesetzten NAT hängenbleiben. Was hier immer hilft ist STUN auf dem Telefon zu aktivieren.
Ganz sicher kannst du die Userdaten aber in der Telefonanlage auslesen, denn dort müssen sie hinterlegt sein.
Das Telefon ist registriert!
Perfekt ! 👏doch leider höre ich kein Gesprächston.
Zeigt das deine Firewall ggf. auf einer oder beiden Seiten ein falsches oder fehlendes Regelwerk für den VPN Tunnel hat !! Du kannst also "Schrotschuß" im Regelwerk des Tunnels (IPsec) erstmal ein Any Any (* *) eingeben, dann forwardet der Tunnel alles.Hört man keine Sprachdaten ist das immer ein Zeichen das RTP Frames nicht übertragen werden oder am fälschlich gesetzten NAT hängenbleiben. Was hier immer hilft ist STUN auf dem Telefon zu aktivieren.
obwohl das ja eigt. gar nicht nötig wäre wenn alles getunnelt wird...
Das ist richtig aber wenn du das Regelwerk am Tunnelinterface falsch oder gar nicht einträgst passiert sowas.Leider kann ich solche Daten nicht vom physischen Phone auslesen.
Meistens schon denn in der Regel ist SIP nicht verschlüsselt und wenn du die Daten mit dem Wireshark mitsnifferst hast du sie auf dem Silbertablett. Ganz sicher kannst du die Userdaten aber in der Telefonanlage auslesen, denn dort müssen sie hinterlegt sein.
Perfekt, danke dir
Werde das morgen gleich in Angriff nehmen. IPsec Tunnel hab ich Any to Home Net eingestellt und umgekehrt bei Office habe ich Any to Office. Werde morgen noch auf Any Any einstellen.
Vielen Dank.
Gruss
