11
Routing: Zyxel USG200 SIP+RTP via VLAN
Hallo,
mein ISP (bitel) stellt am FTTH Anschluss zwei Netze bereit. Einmal klassisch Internet und auf dem VLAN 2222 das VOIP-Netz. Über das VLAN 2222 wird kein Internet angeboten.
Ich habe also auf der Zywall einen WAN-Anschluss auf WAN2 konfiguriert und auf dem WAN2 ein VLAN (vlan2222). Das klappt auch soweit. Ich bekomme zwei IP-Adresse zugewiesen. Einmal auf dem WAN2 und einmal auf den vlan2222. Der Internetanschluss funktioniert.
Meine Herausforderung ist jetzt die Routingregel.
Was ich bislang weiß:
Bei Anmeldung an sip.bitel.net muss über das vlan2222 erfolgen
Die gesamte SIP+RTP muss über das vlan2222 erfolgen.
Alles andere über WAN2.
Für mich ist das Neuland, daher hoffe ich hier auf Hilfe.
Wie würde die Routinregel(n) aussehen? Ich scheitere bereits daran, dass ich unter Policy Route in der Zywall keine domain (sip.bitel.net) erfassen kann sondern nur eine IP-Adresse. Auch weiß ich nicht wie ich SIP+RTP Kommunikation vom Rest unterscheide. Ist für mich aktuell alles Neuland.
mein ISP (bitel) stellt am FTTH Anschluss zwei Netze bereit. Einmal klassisch Internet und auf dem VLAN 2222 das VOIP-Netz. Über das VLAN 2222 wird kein Internet angeboten.
Ich habe also auf der Zywall einen WAN-Anschluss auf WAN2 konfiguriert und auf dem WAN2 ein VLAN (vlan2222). Das klappt auch soweit. Ich bekomme zwei IP-Adresse zugewiesen. Einmal auf dem WAN2 und einmal auf den vlan2222. Der Internetanschluss funktioniert.
Meine Herausforderung ist jetzt die Routingregel.
Was ich bislang weiß:
Bei Anmeldung an sip.bitel.net muss über das vlan2222 erfolgen
Die gesamte SIP+RTP muss über das vlan2222 erfolgen.
Alles andere über WAN2.
Für mich ist das Neuland, daher hoffe ich hier auf Hilfe.
Wie würde die Routinregel(n) aussehen? Ich scheitere bereits daran, dass ich unter Policy Route in der Zywall keine domain (sip.bitel.net) erfassen kann sondern nur eine IP-Adresse. Auch weiß ich nicht wie ich SIP+RTP Kommunikation vom Rest unterscheide. Ist für mich aktuell alles Neuland.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4532286297
Url: https://administrator.de/forum/routing-zyxel-usg200-sip-rtp-via-vlan-4532286297.html
Ausgedruckt am: 05.02.2025 um 14:02 Uhr
11 Kommentare
Neuester Kommentar
Mit einer Policy Route bist du schonmal auf dem richtigen Weg. Wenn dir die Doku des Providers keinerlei Auskunft über dess VoIP Netze in Bezug auf die Adressierung gibt musst du natürlich selber recherchieren.
Sehr wahrscheinlich wird das VoIP Netz dann private RFC1918 oder RFC6598 Netze im VLAN 2222 nutzen.
Das du eine IP Route natürlich nicht auf eine Domain legen kannst ist evident. Was du aber machen kannst ist ein nslookup sip.bitel.net was dir dann die IP Adresse des SIP Servers zurückgibt der dann zumindest einen Rückschluss auf die IP Adressierung im VoIP des Providers gibt.
Wenn beispielsweise da die IP 10.1.2.3 rauskommt könntest du eine Policy Route auf das Ziel 10.0.0.0 /16 legen, was dir dann den gesamten VoIP Traffic mit 10er Zieladressen auf das WAN2 legt.
Etwas Grundlagen zum Policy Routing findest du u.a. hier.
Sehr wahrscheinlich wird das VoIP Netz dann private RFC1918 oder RFC6598 Netze im VLAN 2222 nutzen.
Das du eine IP Route natürlich nicht auf eine Domain legen kannst ist evident. Was du aber machen kannst ist ein nslookup sip.bitel.net was dir dann die IP Adresse des SIP Servers zurückgibt der dann zumindest einen Rückschluss auf die IP Adressierung im VoIP des Providers gibt.
Wenn beispielsweise da die IP 10.1.2.3 rauskommt könntest du eine Policy Route auf das Ziel 10.0.0.0 /16 legen, was dir dann den gesamten VoIP Traffic mit 10er Zieladressen auf das WAN2 legt.
Etwas Grundlagen zum Policy Routing findest du u.a. hier.
Hallo aqui,
danke für die ersten Infos. Ich habe mal ein nslookup auf sip.bitel.net gemacht und bekomme folgende Meldung:
Nicht autorisierende Antwort:
Name: sip.bitel.net
Addresses: 10.0.43.200
10.0.43.201
Auf dem vlan2222 bekomme ich per DHCP vom ISP die ip 10.8.x.x, als DNS wird mir im vlan2222 der 10.0.44.141 mitgegeben.
Mein eigener IP-Bereich ist 10.1.x.x
Das ist meine Maske zum anlegen der Policy Route:
Nur damit ich es richtig verstehe. Das in Klammern ist mein Verständnis dessen. Wenn falsch bitte korrigieren:
user: any (die Route gilt für alle Nutzer)
incoming: any (bedeutet die route gilt aus allen netzen, ich könnte hier ggf. ein vlan eintragen dann gilt die route nur wenn ich aus dem vlan komme)
source adress: any (incoming und source unterscheidet sich für mich wenig, unter incoming kann ich das Interface spezifieren, unter source aber eben auch die vlans)
destination adress: IP Range(10.0.43.1 ... 10.0.43.254) (ich kann eine ip-range festlegen, bedeutet wenn er auf diesen IP-Bereich will, greift die policy route oder als SUBNET? 10.0.0.0/16 = 10.0.0.0 255.255.0.0 => 10.0.0.1 - 10.0.255.254 Korrekt? Mich irritiert etwas deine Aussage: "10.1.2.3 rauskommt könntest du eine Policy Route auf das Ziel 10.0.0.0 /16", 10.0.0.0/16 dürfte ja 10.1.x.x nicht umfassen oder?)
dsp code: any(keine Ahnung)
schedule: none (Zeitplan wann die regel gilt, none gilt quasi immer)
service: any(gilt für alle Dienste)
next-hop: interface/vlan2222(wenn obige regel greift, ist der next Hop, das vlan2222)
DSCP Marking: preserve(keine Ahnung)
Source Network adress translation: outgoing interface(keine Ahnung)//
Beduetet wenn ich die Regel so anlege, leitet er jeden Datenverkehr über das vlan2222 wenn ich auf eine IP in der Range 10.0.43.1 .... 10.0.43.254 zugreifen will und da dort mein sip.bitel.net liegt sollten sich die telefone verbinden können.
In der Firewall auf der Zywall muss ich dann nur mein LAN nach VLAN2222 gestatten und umgekehrt.
Ziemlich Laienhaft dargestellt aber ist das korrekt soweit? Brauche ich dann noch eine Route zurück? Ich will ja angerufen werden können.
danke für die ersten Infos. Ich habe mal ein nslookup auf sip.bitel.net gemacht und bekomme folgende Meldung:
Nicht autorisierende Antwort:
Name: sip.bitel.net
Addresses: 10.0.43.200
10.0.43.201
Auf dem vlan2222 bekomme ich per DHCP vom ISP die ip 10.8.x.x, als DNS wird mir im vlan2222 der 10.0.44.141 mitgegeben.
Mein eigener IP-Bereich ist 10.1.x.x
Das ist meine Maske zum anlegen der Policy Route:
Nur damit ich es richtig verstehe. Das in Klammern ist mein Verständnis dessen. Wenn falsch bitte korrigieren:
user: any (die Route gilt für alle Nutzer)
incoming: any (bedeutet die route gilt aus allen netzen, ich könnte hier ggf. ein vlan eintragen dann gilt die route nur wenn ich aus dem vlan komme)
source adress: any (incoming und source unterscheidet sich für mich wenig, unter incoming kann ich das Interface spezifieren, unter source aber eben auch die vlans)
destination adress: IP Range(10.0.43.1 ... 10.0.43.254) (ich kann eine ip-range festlegen, bedeutet wenn er auf diesen IP-Bereich will, greift die policy route oder als SUBNET? 10.0.0.0/16 = 10.0.0.0 255.255.0.0 => 10.0.0.1 - 10.0.255.254 Korrekt? Mich irritiert etwas deine Aussage: "10.1.2.3 rauskommt könntest du eine Policy Route auf das Ziel 10.0.0.0 /16", 10.0.0.0/16 dürfte ja 10.1.x.x nicht umfassen oder?)
dsp code: any(keine Ahnung)
schedule: none (Zeitplan wann die regel gilt, none gilt quasi immer)
service: any(gilt für alle Dienste)
next-hop: interface/vlan2222(wenn obige regel greift, ist der next Hop, das vlan2222)
DSCP Marking: preserve(keine Ahnung)
Source Network adress translation: outgoing interface(keine Ahnung)//
Beduetet wenn ich die Regel so anlege, leitet er jeden Datenverkehr über das vlan2222 wenn ich auf eine IP in der Range 10.0.43.1 .... 10.0.43.254 zugreifen will und da dort mein sip.bitel.net liegt sollten sich die telefone verbinden können.
In der Firewall auf der Zywall muss ich dann nur mein LAN nach VLAN2222 gestatten und umgekehrt.
Ziemlich Laienhaft dargestellt aber ist das korrekt soweit? Brauche ich dann noch eine Route zurück? Ich will ja angerufen werden können.
und bekomme folgende Meldung:
Wie vermutet... 
Eine Policy Route von relevantem SIP und RSTP Traffic also mit Zielnetz: 10.0.0.0, Maske: 255.0.0.0 und next Hop Gateway VLAN 2222 sollte dein Problem dann im Handumdrehen lösen.
aber ist das korrekt soweit?
Das ist soweit korrekt!ich dann noch eine Route zurück?
Nein. Dein SIP Endgerät führt normalerweise ein SIP Keepalive aus um die Verbindung aufrecht zu erhalten. Im Zweifel kann man auch STUN einrichten.Lesenswert dazu:
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
Hallo aqui,
nochmal kurz wegen der Maske. Du schreibst:
10.0.0.0, Maske: 255.0.0.0
Das ist 10.0.0.1 bis 10.255.255.254
Mein internes Netz für die Clients etc. ist jedoch 10.1.0.1 bis 10.1.255.254.
Ich darf doch den Adressbereich bei der Route nicht einschließen oder? Würde das nicht bedeuten, dass eine Anfrage an 10.1.10.10 über das vlan2222 ins VOIP-Netz geht?
Deswegen hatte ich geschrieben: 10.0.0.0 Masek 255.255.0.0 damit ich nur 10.0.0.1 bis 10.0.255.254 abdecke.
Oder habe ich ein Verständnisproblem?
nochmal kurz wegen der Maske. Du schreibst:
10.0.0.0, Maske: 255.0.0.0
Das ist 10.0.0.1 bis 10.255.255.254
Mein internes Netz für die Clients etc. ist jedoch 10.1.0.1 bis 10.1.255.254.
Ich darf doch den Adressbereich bei der Route nicht einschließen oder? Würde das nicht bedeuten, dass eine Anfrage an 10.1.10.10 über das vlan2222 ins VOIP-Netz geht?
Deswegen hatte ich geschrieben: 10.0.0.0 Masek 255.255.0.0 damit ich nur 10.0.0.1 bis 10.0.255.254 abdecke.
Oder habe ich ein Verständnisproblem?
Du schreibst: 10.0.0.0, Maske: 255.0.0.0
Ja, bedeutet das der Router dann vorsorglich das gesamte 10er Netz zum Provider routet.Du kannst natürlich auch nur 10.0.0.0 255.255.0.0 nehmen was dann nur das 10.0.x.y Netz routet, das birgt aber die große Gefahr das dir dann ggf. redundante SIP Server usw. usw. durch die Lappen gehen und wieder die Hälfte nicht funktioniert.
Da du das VoIP Provider Netz ja gar nicht kennst macht es doch logischerweise mehr Sinn erstmal vorsorglich ALLES was 10er Netz ist an das Provider VoIP Segment zu senden um auf Nummer sicher zu gehen um ggf. auch noch andere Hosts dort mit abzudecken. Woher willst du wissen das die nur 10.0er Netze verwenden?
Mein internes Netz für die Clients etc. ist jedoch 10.1.0.1 bis 10.1.255.254.
Nicht besonders intelligent dann wenn du weisst das dein Provider sein gesamte VoIP Netz auch mit 10er IP Adressen ausgelegt hat! Wenn der Provider intern auch diese Adressierung verwendet solltest du sicherheitshalber private Netze NICHT auch in dem Bereich betreiben.Da solltest du deine privaten Netze auf alle Fälle besser in den 172.10.0.0 /12er RFC1918 Bereich oder 192.168er legen um da safe zu sein!
Woher willst du wissen das der Provider nicht auch deine 10er IP Segmente irgendwo verwendet. Es sei denn du weisst das sicher?!
Nicht besonders intelligent ...
Die Frage ist halt wer war zuerste da ... Der Provider oder Ich
Die Aussage impliziert, dass ich das Netz im Wissen des Providers angelegt habe. Bitte wer macht soetwas? Es ist doch warscheinlicher, dass der Provider nicht 20 Jahre lang der Gleiche ist ...
Ich finde die Konfiguration vom ISP sowieso sehr suspekt aber es ist eben der einzige der in unserer Region Glasfaser anbietet. Die Telekom schläft ja. Nur bei der Telekom wäre die Konfiguration einfacher, da - soweit mir bekannt - keine getrennten Netze für VOIP notwendig sind.
Danke erstmal für die Hilfe aqui! Ich versuche mal mein Glück sobald das IP Phone angekommen ist kann ich es konfigurieren.
DANKE!
Die Frage ist halt wer war zuerste da ... Der Provider oder Ich
Absolut richtig. Nur wenn's drauf ankommt wirst du im Gegensatz zum Provider immer den Kürzeren ziehen, denn der wird sich ganz sicher nicht bewegen. Der Gedanke gemeinsame IP Netze mit einem Provider zu sharen ist aber schon etwas gruselig...Es ist in der Tat das Design des Providers was man aber bei kleinen Regionalanbietern oft sieht, da denen oft das KnowHow und auch die IPv4 Adressen fehlen. Wer also auf so einen wechselt weiss in der Regel auch um diese Punkte und ggf. Nachteile die er dann ggf. in Kauf nehmen muss....
Die Telekom und auch alle anderen sind schlau. Die warten bis der Alleinutzungszeitraum abgelaufen ist und satteln dann auf die Infrastruktur drauf. Außerdem gibts ja immer noch xDSL als Alternative.
sobald das IP Phone angekommen ist kann ich es konfigurieren.
Solange musst du gar nicht warten...Nimm eins der bekannten freien VoIP Softphones wie Phoner oder Phoner Lite zum Testen!
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Mal ehrlich: Auf die einfache Idee kommt doch auch ein Laie...
Ist ja möglich das die nur den 10.0.x.y Bereich nutzen und du Glück hast!
Hallo aqui,
danke für den Hinweis mit lite.phoner. Ein Software-Telefon wi geil Kannte ich wirklich noch nicht aber klar sowas muss es ja geben.
Zurück zum Thema.
FUNKTIONIERT
Vielen Dank!
danke für den Hinweis mit lite.phoner. Ein Software-Telefon wi geil
Kannte ich wirklich noch nicht aber klar sowas muss es ja geben.Zurück zum Thema.
FUNKTIONIERT
Vielen Dank!
Kannte ich wirklich noch nicht
Oha, da lebst du aber schon lange etwas hinterm Mond... Gibt es übrigens auch fürs Smartphone...
https://www.zoiper.com
Hallo aqui,
darf ich nochmal auf deine Hilfe bauen?
Das LitePhone verbindet sich, ich kann Telefonnummern wählen. Wenn ich meine Handynummer anrufe klingelt das Handy auch ganz brav, nur wenn ich drangehe, dann klingelt das LitePhone weiter. Das Gespräch wird also nicht aufgebaut.
Hast du eine Idee was da fehlt? Du sagtest ja eine Rückroute braucht es nicht ... dann verstehe ich das Problem gerade nicht.
darf ich nochmal auf deine Hilfe bauen?
Das LitePhone verbindet sich, ich kann Telefonnummern wählen. Wenn ich meine Handynummer anrufe klingelt das Handy auch ganz brav, nur wenn ich drangehe, dann klingelt das LitePhone weiter. Das Gespräch wird also nicht aufgebaut.
Hast du eine Idee was da fehlt? Du sagtest ja eine Rückroute braucht es nicht ... dann verstehe ich das Problem gerade nicht.
darf ich nochmal auf deine Hilfe bauen?
Aber immer doch, dafür ist ein Forum doch da! Hört sich so ein bisschen danach an das der SIP Rücktraffic über das falsche VLAN geht. SIP (UDP/TCP 5060) muss über die PBR zwingend immer auf das Voice VLAN gesendet werden. Sehr wahrscheinlich geht da irgendwas schief so das der Call nicht zustande kommt.
Die PBR sollte generell jeglichen SIP und RTP Traffic ins Voice VLAN routen.
