Opensense VPN für 1 Port
Hallo Zusammen
Idee: Ich will mein IP Telefon hier bei mir Zuhause konfigurieren dafür brauch ich aber das Netz vom Geschäft. Die Idee wäre wenn ich das Telefon beim Port-interface 4 bei der Opnsense Firewall einstecke, beim Telefon die IP/GW /Subnetz vom Geschäft zuweise und damit weitere Einstellungen testen kann. Leider bin ich aber nur soweit gekommen, dass ich von Zuhause aus auf das Netz vom Geschäft zugreifen kann.
Infos: Bei Standort A (Zuhause) 192.168.60.1/24 und Standort B (Geschäft) 192.168.10.1/24 laufen Opnsense Firewall. Die Firewalls sind direkt am Netz also keine Fremd-Router dazwischen.
Bei Standort A habe ich OPENVPN Client eingerichtet und bei Standort B OPENVPN SERVER Tunell Netz ist: 192.168.100.1/24. Die Verbindung steht und ich kann von Zuhause aus auf das Geschäfts-netz zugreifen.
Was muss ich aber noch machen, dass bei Port-interface 4 direkt das Netz vom Geschäft dahinter ist, so dass ich den Telefon einstecken kann.
Es geht mir darum dass ich das Telefon mit der PBX Anlage verbinden muss. Beim Telefon kann ich die IP eintragen sowie die PBX IP zuweisen.
Vielen herzlichen Dank.
Gruss
Idee: Ich will mein IP Telefon hier bei mir Zuhause konfigurieren dafür brauch ich aber das Netz vom Geschäft. Die Idee wäre wenn ich das Telefon beim Port-interface 4 bei der Opnsense Firewall einstecke, beim Telefon die IP/GW /Subnetz vom Geschäft zuweise und damit weitere Einstellungen testen kann. Leider bin ich aber nur soweit gekommen, dass ich von Zuhause aus auf das Netz vom Geschäft zugreifen kann.
Infos: Bei Standort A (Zuhause) 192.168.60.1/24 und Standort B (Geschäft) 192.168.10.1/24 laufen Opnsense Firewall. Die Firewalls sind direkt am Netz also keine Fremd-Router dazwischen.
Bei Standort A habe ich OPENVPN Client eingerichtet und bei Standort B OPENVPN SERVER Tunell Netz ist: 192.168.100.1/24. Die Verbindung steht und ich kann von Zuhause aus auf das Geschäfts-netz zugreifen.
Was muss ich aber noch machen, dass bei Port-interface 4 direkt das Netz vom Geschäft dahinter ist, so dass ich den Telefon einstecken kann.
Es geht mir darum dass ich das Telefon mit der PBX Anlage verbinden muss. Beim Telefon kann ich die IP eintragen sowie die PBX IP zuweisen.
Vielen herzlichen Dank.
Gruss
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 821823522
Url: https://administrator.de/contentid/821823522
Ausgedruckt am: 19.12.2024 um 13:12 Uhr
7 Kommentare
Neuester Kommentar
Die Grundlagen zum OpenVPN hast du alle gelesen ?!
Merkzettel: VPN Installation mit OpenVPN
Routingtechnisch ist es bei OpenVPN nicht möglich das das Office Net direkt am anderen Ende ist, denn du hast immer die OpenVPN "Wolke" dazwischen mit einem eigenen IP Netz. Siehe Tutorial oben !
In der Bezihung ist also dein Port 4 im .10.0er Netz routimngtechnischer Usinn, das kann so nicht klappen denn dort musst du ein anderes IP Netz benutzen.
OpenVPN zu nehmen ist nicht gerade eine intelligende Wahl in diesem Setup, denn wenn du auf beiden Seiten die gleiche Hardware hast. Ein IPsec VPN wäre dort erheblich sinnvoller gewesen, denn das routet Office- und Heimnetz direkt. Außerdem ist es erheblich einfacher im Setup da du dir diese ganze Frickelei mit den Zertifikaten ersparst.
Letztlich ist es aber für die Voice Funktion an sich völlig egal welches VPN Protokoll du verwendest.
Wichtig ist nur das du vom Telefon den VoIP Server/PBX Pingen kannst und auch umgekehrt. Damit ist dann die IP Connectivity gegeben und die SIP Connection sollte sofort zustande kommen.
Ein simples VPN Standard Design !
Fazit:
Passe dein Telefon IP Segment an und darauf bezogen auch die OpenVPN Konfig, dann kommt das auch sofort zum Fliegen.
Merkzettel: VPN Installation mit OpenVPN
Was muss ich aber noch machen
Du musst gar nichts machen, denn idealerweise machst du ein Split Tunneling mit deiner OpenVPN Installation so das beide Firewall ihre jeweiligen Netze kennen.Routingtechnisch ist es bei OpenVPN nicht möglich das das Office Net direkt am anderen Ende ist, denn du hast immer die OpenVPN "Wolke" dazwischen mit einem eigenen IP Netz. Siehe Tutorial oben !
In der Bezihung ist also dein Port 4 im .10.0er Netz routimngtechnischer Usinn, das kann so nicht klappen denn dort musst du ein anderes IP Netz benutzen.
OpenVPN zu nehmen ist nicht gerade eine intelligende Wahl in diesem Setup, denn wenn du auf beiden Seiten die gleiche Hardware hast. Ein IPsec VPN wäre dort erheblich sinnvoller gewesen, denn das routet Office- und Heimnetz direkt. Außerdem ist es erheblich einfacher im Setup da du dir diese ganze Frickelei mit den Zertifikaten ersparst.
Letztlich ist es aber für die Voice Funktion an sich völlig egal welches VPN Protokoll du verwendest.
Wichtig ist nur das du vom Telefon den VoIP Server/PBX Pingen kannst und auch umgekehrt. Damit ist dann die IP Connectivity gegeben und die SIP Connection sollte sofort zustande kommen.
Ein simples VPN Standard Design !
Fazit:
Passe dein Telefon IP Segment an und darauf bezogen auch die OpenVPN Konfig, dann kommt das auch sofort zum Fliegen.
Die IP Sec habe ich gestern noch eingerichtet funktioniert einwandfrei.
Perfekt ! 👍aber ich muss am Telefon die IP eintragen vom Office Netz
Ja, das ist ja klar, denn deine VoIP Telefonanlage steht ja vermutlich wohl im Office. Folglich musst du also immer diese IP Adresse der Anlage logischerweise immer als SIP Registrar am Telefon eingeben. Klassisches VoIP Standard Setup ! das Telefon ist wiederum am Port 4 bei Opnsense eingesteckt.
Stellt sich dann natürlich die Frage WIE dein Port 4 an der Firewall definiert ist ?!? Das darf natürlich logischerweise NICHT das IP Netz aus dem Office sein, denn in der TCP/IP Grundschule lernt man ja schon das IP Netze einzigartig sein müssen !Laut Wireshark macht das Telefon ständig ein ARP request über Broadcast
Ja, klar, das ist auch normal. Das Telefon "merkt" ja das sein SIP Registrar in einem anderen IP Netz ist als es selber also ARPed es nach seiner Gateway IP Adresse. Das ist die Mac Adresse deiner Firewall die diese am Port 4 von dir bekommen hat !!Wenn sie die nicht ARPen kann stimmt die IP Adressierung zw. dem Telefon und dem IP Netz was du an Port 4 definiert hast nicht überein ! Wie bereits gesagt darf das NICHT gleich dem Office Netz sein, denn wie willst du dann noch eindeutig routen wenn Netze doppelt und 3fach vorhanden sind. Ist so wie wenn Köln 3mal in D vorhanden wäre. Wie sollte ein Navi dann das richtige finden ?!
Beim Port 4 Opnsense soll direkt das Interface Netz vom Office zur Verfügung stehen.
Nein, das muss zwingend ein separates IP Netz sein ! Ansonsten wäre ein Routing technisch unmöglich.Aber an meinem Heim Netz kann ich ja auch nicht das gleiche Office Netz erstellen.
Einsicht ist der erste Weg zu einer korrekten Konfiguration ! Tut mir leid für die Umstände
Welche Umstände denn ??? Alles gut.So, und nun konfigurierst du das richtig und dann kommt das auch sofort zum Fliegen.
Tip:
Lad dir erstmal ein simples Softphone runter wie Phoner oder Phoner Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dem gibst du dann die SIP Credentials deines physischen Phones und klemmst diesen Softphone Rechner dann an deinen FW Port 4 im dortigen IP Netz.
Mit Ping und Traceroute (tracert bei Winblows) kannst du dann erstmal wasserdicht die IP Connectivity zur FW und auch ins Office Netz checken und wenn das alles klappt auch die Telefonanlage pingen.
Klappt auch das startest du das Softphone. In dessen Log Dateien kannst du dann sofort sehen ob die SIP Registrierung klappt. Bzw. sollte das auch dein parallel laufender Wireshark zeigen.
Tut es das kannst du auch gleich lostelefonieren.
Das Telefon ist registriert!
Perfekt ! 👏doch leider höre ich kein Gesprächston.
Zeigt das deine Firewall ggf. auf einer oder beiden Seiten ein falsches oder fehlendes Regelwerk für den VPN Tunnel hat !! Du kannst also "Schrotschuß" im Regelwerk des Tunnels (IPsec) erstmal ein Any Any (* *) eingeben, dann forwardet der Tunnel alles.Hört man keine Sprachdaten ist das immer ein Zeichen das RTP Frames nicht übertragen werden oder am fälschlich gesetzten NAT hängenbleiben. Was hier immer hilft ist STUN auf dem Telefon zu aktivieren.
obwohl das ja eigt. gar nicht nötig wäre wenn alles getunnelt wird...
Das ist richtig aber wenn du das Regelwerk am Tunnelinterface falsch oder gar nicht einträgst passiert sowas.Leider kann ich solche Daten nicht vom physischen Phone auslesen.
Meistens schon denn in der Regel ist SIP nicht verschlüsselt und wenn du die Daten mit dem Wireshark mitsnifferst hast du sie auf dem Silbertablett. Ganz sicher kannst du die Userdaten aber in der Telefonanlage auslesen, denn dort müssen sie hinterlegt sein.