Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Policy Based Routing mit Edgerouter ER-4 oder doch Load Balancing?

Mitglied: Willhe

Willhe (Level 1) - Jetzt verbinden

29.05.2020, aktualisiert 15:52 Uhr, 363 Aufrufe, 11 Kommentare

Hallo,

ich möchte meine alte Fritzbox als Telefonanlage an meinen Edgerouter ER-4 anbinden (siehe Bild für mehr Details). Die Fritzbox ist mit aktuellem FritzOS ausgestattet und ist VLAN fähig WAN seitig. Die FTTH Internetverbindung mit VLAN 132 läuft bereits einwandfrei mit dem ER-4. Damit nun VOIP über die Fritzbox läuft , sind einige Routing-Einstellungen vorzunehmen, die mir auch nach ausgiebiger Recherche im WWW nicht klar sind. Offensichtlich sind die Zauberworte hierbei PBR und/oder Load Balancing. Ich denke, das Load Balancing habe ich prinzipiell verstanden und würde die CLI Commands auf die Kette bekommen. Bei PBR stehe ich allerdings auf dem Schlauch und ich denke, es geht hier hauptsächlich um PBR?! Wer kann mir dabei helfen, eine Config für den ER-4 zu "basteln" ?


- Ist ein next-hop-interface vti0 für DHCP WAN interface praktikabel?
- ist die PBR rule 1000 notwendig?

configure

edit protocols static
set table 11 description VOIP
set table 11 route 0.0.0.0/0 next-hop-interface vti0

set firewall group network-group PRIVATE_NETS network 10.0.0.0/8
set firewall group network-group PRIVATE_NETS network 172.16.0.0/12
set firewall group network-group PRIVATE_NETS network 192.168.0.0/16
set firewall group network-group ETH2_NETS network 172.16.10.0/24

set firewall modify PBR rule 10 description RFC1918_Route_Main
set firewall modify PBR rule 10 destination group network-group PRIVATE_NETS
set firewall modify PBR rule 10 modify table main

set firewall modify PBR rule 20 description ETH2_Route_Table11
set firewall modify PBR rule 20 source group network-group ETH2_NETS
set firewall modify PBR rule 20 modify table 11

set firewall modify PBR rule 1000 action modify
set firewall modify PBR rule 1000 modify table main

set interfaces ethernet eth2 vif 232 firewall in modify PBR

Commit
save
netzwerk - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
29.05.2020, aktualisiert um 20:26 Uhr
mit aktuellem FritzOS ausgestattet und ist VLAN fähig WAN seitig.
Sorry, aber das ist technischer Quatsch ! Es ist allgemein bekannt das die FritzBox mit originalem FritzOS nur ein simples outbound Tagging aber keine vollständigen 802.1q VLAN Fähigkeiten weder auf dem WAN noch auf dem LAN Port besitzt. Egal welches Modell.
In einem Administrator Forum sollte man wenn, dann schon etwas genauer hinsehen !
Bitte warten ..
Mitglied: Henere
29.05.2020 um 18:23 Uhr
Uhhhhh...

https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Oder ist das was anderes ?
Bitte warten ..
Mitglied: aqui
29.05.2020, aktualisiert um 18:59 Uhr
Das ist etwas Anderes !
Tagge an der FB einmal 3 VLANs am WAN Port und route dazwischen ! Sagt vermutlich alles zu dem Thema...?!

Im Grunde ist das Design ja kinderleicht.
FritzBox mit dem LAN Port und richtiger IP, DNS und Default Router an eth2 anklemmen
SIP Credentials einrichten und fertig ist der Lack
Idealerweise testet man das mit einem simplen Softphone wie z.B. dem Phoner:
http://phoner.de/index.htm
vorher wasserdicht im Voice Segment aus. Wenns damit klappt, klappt es auch mit der FB.
Wieso man hier sowas wie PBR oder LB machen will obwohl es in dem o.a. Design nichtmal einen Mehrfach Internet Zugang und somit ein sinvolles Einsatzszenario dafür gibt muss einem auch erstmal jemand erklären. Aber das versteht wohl auch nur der TO selber...?!
Bitte warten ..
Mitglied: Henere
29.05.2020 um 20:03 Uhr
Ich wollte nur Deinem KEINERLEI widersprechen. Von Funktionsumfang war nie die Rede.
Bitte warten ..
Mitglied: aqui
29.05.2020 um 20:25 Uhr
OK, korrigiert !
Bitte warten ..
Mitglied: Willhe
30.05.2020 um 08:43 Uhr
Erstmal möge man es mir verzeihen , dass ich kein IT Fachmann bin, sondern ein "engagierter Home-IT Nutzer"
Danke für den Tip mit dem Softphone. Es scheint, als ob ich die Dinge etwas zu kompliziert betrachtet habe. Ich habe mich an die VLAN Aufsplittung in VLAN 132 und 232 (VOIP) festgebissen und dachte die Lösung ist ein PBR. Es stimmt natürlich, dass es nur ein ISP und nur eine WAN Schnittstelle gibt. Es stimmt natürlich auch, dass die FB keine vollständigen 802.1q VLAN Fähigkeiten besitzt, das habe ich auch nicht behauptet. Ich kann der FB jedoch sagen "tagge VLAN 232 für Telefonie" und z.B. "tagge VLAN 132 für Internet". Wenn ich mich richtig erinnere, kann ich die FB aber für die Telefonie als IP Client über LAN1 an ER-4 eth2.232 übergeben?!

Und im ER-4 erstelle ich einfache NAT-Rules wie diese?

set service nat rule 5000 description "Masquerade for Internet"
set service nat rule 5000 log enable
set service nat rule 5000 outbound-interface eth0.132
set service nat rule 5000 protocol all
set service nat rule 5000 type masquerade

set service nat rule 5001 description "Masquerade for VOIP"
set service nat rule 5001 log enable
set service nat rule 5001 outbound-interface eth0.232
set service nat rule 5001 protocol all
set service nat rule 5001 type masquerade

Oder muss es eine Rule sein wie z.B. masquerade alles von 172.16.10.0/24 zum eth0.232 Interface?
Bitte warten ..
Mitglied: aqui
30.05.2020, aktualisiert um 11:40 Uhr
Das Voice IP Netz ist ja nur ein Subnetz des gleichen Providers fast immer nutzen die auch RFC 1918 IP Netze dafür. Deshalb ist PBR und LB hier irrelevant. Hättest du auch gesehen wenn du dir die Routing Tabelle deines Routers einmal angesehen hättest.
Ob du eine Schrotschuss Masquerade Rule oder eine Spezifische setzt ist eher eine kosmetische Frage.
Aus dem Voice VLAN kann ja logischerweise niemals etwas anderes kommen was KEIN anderen Absender IP als 172.16.10.x /24 hat. Insofern kann man auch spezifisch werden. Wie gesagt...Kosmetik.
Bitte warten ..
Mitglied: Willhe
30.05.2020 um 14:57 Uhr
Danke, so langsam sehe ich Licht am Ende des Tunnels Habe mir noch einmal die Einstellmöglichkeiten in der FB angesehen. Wenn sie als "IP-Client" über LAN1 eingestellt ist, also keine Internetverbindung selbst aufbaut, kann ich keine VLANs mehr vergeben. Wenn ich das nun richtig verstanden habe, muss sie das auch nicht. Ich vergebe der FB die IP Adresse 172.16.10.2, klemme sie an ER-4 eth2 172.16.10.1 als Standard Gateway (eth2 ist nicht VLAN 232 getaggt) und masquerade das Ganze durch eth0.232 Richtung WAN (VLAN 232 getaggt). Sollte es so funktionieren? Mir ist nicht ganz klar, wie spezifisch ich beim Routing sein muss, da meine NAT Rule momentan wie auf dem Bild aussieht und WAN eth0.232 momentan überhaupt nicht eingebunden ist.

nat - Klicke auf das Bild, um es zu vergrößern

Und wie sieht es mit der Portweiterleitung für SIP aus? Im ER-4 kann ich "Auto-Firewall" anklicken. Oder eine SIP port Gruppe erstellen und mit WAN_IN verlinken? Wäre das Sip port Bereich 5060-5090 ?
Bitte warten ..
Mitglied: aqui
30.05.2020 um 19:48 Uhr
kann ich keine VLANs mehr vergeben.
Nöö, musst du ja auch gar nicht und ist zudem ja auch falsch, denn das macht doch üblicherweise dein Internet Router über das entsprechende Subinterface !!
Wenn ich das nun richtig verstanden habe, muss sie das auch nicht.
Bingo ! Der Kandidat hat 100 Punkte !
Sollte es so funktionieren?
Es sollte !
Mir ist nicht ganz klar, wie spezifisch ich beim Routing sein muss
Gar nicht. Über das Subinterface wird dem Internet Router ja eine Routing Tabelle injiziert. Er "weiss" also welche Netze er über welches Interface senden muss. Kannst du dir auch in der Routing Tabelle selber ansehen.
In der FB liegen ja die SIP Adresse des VoIP Servers und die löst er zu einer Provider IP auf und entscheidet dann je nach Zielnetz über Subinterface x oder y.
Eigentlich doch ganz einfach...?!
Und wie sieht es mit der Portweiterleitung für SIP aus?
Braucht man eigentlich nicht wenn SIP Keepalives aktiv sind oder noch besser man mit dem STUN Server des Providers arbeitet was die FB in der regel macht.
Wenn nicht richtest du wie üblich ein Forwarding ein von UDP/TCP 5060 auf die lokale IP der FB.
Wäre das Sip port Bereich
Eigentlich nur 5060 TCP und UDP, da SIP beides benutzen kann aber die FritzBox bekanntlich rein nur UDP nutzt beoi SIP.
Wireshark ist wie immer hier im Zweifelsfalle dein allerbester Freund ! Nutze den also.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Bitte warten ..
Mitglied: Willhe
31.05.2020 um 15:49 Uhr
Ich verzweifele langsam am 2. VLAN für VOIP über eth0.232. Die Internetverbindung geht nicht bzw braucht seeeehr lange, um Seiten aufzulösen, sobald der Router über DHCP an eth0.232 (VOIP) eine IP-Adresse bekommen hat. Da stimmt doch irgendetwas mit dem Routing nicht oder?!

Grob habe ich das bis jetzt gemacht:

- FB für SIP Telefonie konfiguriert und ohne VLAN tag an ER-4 eth2 mit statische IP Adresse
- WAN eth0.132 und eth0.232 an die selben WAN_IN und WAN-LOCAL firewall Regeln gebunden
- NAT Regel 5010 masq eth0.132 saddr 10.111.0.0/17 proto-all to <ISP IP-Adresse via VLAN 132>
- NAT Regel 5011 masq eth0.232 saddr 172.16.10.0/24 proto-all to <ISP IP Adresse via VLAN 232>

Was mache ich nur falsch bzw. habe ich vergessen? Muss ich doch expliziter werden bei den Regeln "alles aus eth2 geht Richtung eth0.232" und "alles aus eth1 geht Richtung eth0.132"? Ein Setup mit unterschiedlichen Routing Tables hat mit diesem Vorhaben doch wenig zu tun und sollte nur bei PBR oder Load Balancing interessant werden bei mehr als ein ISP?

Am Mittwoch startet der FTTH Vertrag offiziell und die Telefonnummern werden portiert. Ich bitte um Hilfe!
Bitte warten ..
Mitglied: aqui
31.05.2020 um 19:30 Uhr
Da stimmt doch irgendetwas mit dem Routing nicht oder?!
Was sagt die Router Routing Tabelle ?? Da sollte doch immer der erste Blick hingehen !
Muss ich doch expliziter werden bei den Regeln "alles aus eth2 geht Richtung eth0.232"
Was denn für Regeln ??? Unverständlich ??
Ein Setup mit unterschiedlichen Routing Tables
Es gibt nur eine zentrale Routing Tabelle !!! Du arbeitest doch nicht mit VRFs ! Mal ganz abgesehen davon das die UBQT Gruselgurke sowas gar nicht kann. Oder was meintest du mit "mehrfachen" Tabellen ? Auch unverständlich.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Routing und Load Balancing TP Link TL-R470T+

Frage von TGW712Router & Routing4 Kommentare

Liebe Administratoren, ich habe drei Fragen zum im Betreff genannten Router. Es geht um einen Einsatz im privaten Umfeld. ...

LAN, WAN, Wireless

Cisco IOS Load Balancing

gelöst Frage von PharITLAN, WAN, Wireless2 Kommentare

Hallo allerseits, bevor ich mir einen zweiten Internetanschluss anschaffe, wollte ich mal folgendes fragen: Mein Cisco 891er hat nur ...

DNS

Load Balancing - Webservice Server

gelöst Frage von eyetSolutionsDNS1 Kommentar

Hallo, ich habe 2 Webservice Server in einem Rechenzentrum: Server 1 - NAT Adresse = 1.1.1.1 Server 2 - ...

Linux Netzwerk

Policy Based Routing für Linux Client (OwnCloud, OpenVPN)

Frage von bugzzzLinux Netzwerk40 Kommentare

Hallo, bin gerade dabei mir ein OwnCloud Server (Ubuntu Server 20.04) aufzusetzen, was auch soweit funktioniert, jedoch ist der ...

Neue Wissensbeiträge
Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 22 StundenOff Topic3 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 1 TagRouter & Routing10 Kommentare

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Netzwerke

PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Anleitung von aqui vor 1 TagNetzwerke

Allgemeine Einleitung Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von ...

Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 4 TagenDatenschutz2 Kommentare

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

Heiß diskutierte Inhalte
Windows Server
Domäne nach Ausfall eines DC komplett gestört
Frage von thaddaeus93Windows Server43 Kommentare

Hallo Zusammen, wir haben hier zwei DC's (einen 2011 SBS und einen 2016 Standard) - ursprünglich sollte die Migration ...

Windows Server
GPO Kennwortrichtlinie wird nicht angewandt
Frage von SabSchapWindows Server36 Kommentare

Hallo, ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert. Das Kennwort soll nach 365 Tage ...

VB for Applications
VBS wird nach Anmeldung (Aufgabenplanung) nicht richtig ausgeführt
gelöst Frage von MrLabelVB for Applications30 Kommentare

Hallo, ich habe ein VB Script geschrieben, welches morgens mit der Aufgabenplanung gestartet wird. (Ich weiß die Lösung ist ...

Festplatten, SSD, Raid
Raid5 SAS HDD auf RAID10 SSD ML350 G8
gelöst Frage von DCFan01Festplatten, SSD, Raid25 Kommentare

Hallo Community, ich habe hier bei mir einen HPE ML350G8, mit P440 Raid-Controller und derzeit 4x SAS 10K HDD ...