sat-fan
Goto Top

SIP Routing Fritzbox hinter Hex

Nachdem es schwierig ist meine 100 Devices im Betrieb auf VLAN umzustellen, habe ich erst mal die defalt Konfig angepasst. Das meiste geht jetzt. Aktuell ist das Problem noch die FB, bzw die SIP telefone. Ansonsten Funktioniert, FB mit ihrem Wlan.

Das ist der aktuelle stand:
Mein Provider braucht wohl die Vlan 132 ... gehe davon aus für SIP, da der Rest auch ohne geht. Habe das entsprechend angelegt, aber irgendwas stimmt nicht.
Danke
# 2023-10-17 14:21:11 by RouterOS 7.11.2
# software id = 1PJW-2I1W
#
# model = RB750Gr3
# serial number = XXXXXXX
/interface bridge
add admin-mac=74:4D:28:C6:DD:D8 auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    password=xxxxxx use-peer-dns=yes user=yyyyyyyyy
/interface vlan
add interface=ether1 name=vlan-netcom vlan-id=132
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp ranges=10.0.0.3-10.0.0.255
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=10m name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=10.0.0.1/24 comment=defconf interface=bridge network=10.0.0.0
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server lease
add address=10.0.0.40 client-id=1:18:c0:4d:64:9c:ad mac-address=\
    1xxxxxxxx:9C:AD server=defconf
add address=10.0.0.3 client-id=1:8:96:d7:6c:17:3 mac-address=\
    08:xxxxxxx:03 server=defconf
/ip dhcp-server network
add address=10.0.0.0/24 comment=defconf dns-server=10.0.0.1 gateway=10.0.0.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.0.0.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=drop chain=input comment="defconf: drop all not coming from LAN" \  
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \  
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \  
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \  
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \  
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \  
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=10.0.0.86 to-ports=443
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6  
add address=::1/128 comment="defconf: lo" list=bad_ipv6  
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6  
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6  
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6  
add address=100::/64 comment="defconf: discard only " list=bad_ipv6  
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6  
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6  
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6  
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\  
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\  
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\  
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \  
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\  
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\  
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\  
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6  
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \  
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\  
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139  
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\  
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\  
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\  
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\  
    !LAN
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Content-ID: 34047561189

Url: https://administrator.de/contentid/34047561189

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

aqui
aqui 17.10.2023 aktualisiert um 17:27:44 Uhr
Goto Top
Nachdem es schwierig ist meine 100 Devices im Betrieb auf VLAN umzustellen
Warum ist das schwierig?? Du denkst vermutlich zu kompliziert, kann das sein?
Normalerweise erstellt man ein VLAN mit IDx und gleicher IP und nennt es "Altnetz" und hängt da die 100 Devices rein. Dann können die schonmal wie gehabt ohne jegliche Störung wie gewohnt weiterarbeiten.

Nebenbei erstellt man sukzessive die VLANs in die man segmentieren möchte, richtet die fertig ein, testet sie auf saubere Grundfunktion mit einem Testrechner.
Ist das erledigt kann man Schritt für Schritt einzelne (oder auch mehrere) der Devices aus dem Altnetz in ihr neues VLAN migrieren.
Das kann dann ganz entspannt und problemlos im laufenden Betrieb passieren und man kann sich soviel Zeit nehmen wie man will weil alles ja wie gewohnt weiterrennt.
Zudem hat man gleich eine Troubleshooting Option sollte die Migration bei einem Gerät nicht klappen und falls alle Stricke reissen, steckt man es halt wieder zurück ins "Altnetz" Segment und sucht in Ruhe den Fehler.
Aktuell ist das Problem noch die FB, bzw die SIP telefone
Warum?
Nimm dir ein einfaches Softphone wie Phoner oder Phoner Lite
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Setze das mit deinen SIP Credentials auf und teste damit ganz entspannt nebenbei die VoIP Telefonie aus den dafür vorgesehenen Segmenten. Wenn es mit dem Phoner klappt, klappt es auch mit allen anderen SIP Endgeräten wie FB, DECT Gateways, Telefonen usw.
Der Phoner hat ein gutes Log was alle möglichen Fehler mitloggt und außerdem kannst du immer parallel den Kabelhai laufen lassen auf dem Rechner um dir ein mögliches Fehlverhalten im Detail anzusehen und ggf. darauf zu reagieren.
Das ist doch nun wahrlich alles kein Hexenwerk?! 🤔
sat-fan
sat-fan 17.10.2023 aktualisiert um 18:19:42 Uhr
Goto Top
@aqui für dich sicher nicht ... ;)
Vlan bekomme ich auch demnächst hin... ohne stress, den ich gerade nebenbei hatte

Es ist eine Fritzbox als Telefonanlage drin mit 5 Telefonen ect. Das soll auch so bleiben.
Mein Problem ist das Vlan132 das mein Provider braucht nicht richtig eingebunden ist.
Die Provider nextmobile und sipgate funktionieren nur mein wichtigster netcomcity.de nicht,
da er iwi den vlan braucht

Dabei brauche ich hilfe.
Danke
aqui
aqui 17.10.2023 um 18:25:56 Uhr
Goto Top
Mein Problem ist das Vlan132 das mein Provider braucht nicht richtig eingebunden ist.
Sowas konfiguriert man immer direkt auf dem nur Modem und nur dann auf dem Endgerät wenn man es zwingend muss.
Das Modem erledigt das Tagging deutlich einfacher und erspart dir eine unnötig komplizierte Konfig auf dem NAT Router!!
Hier am Beispiel einen Vigor 165/167 Modems zu sehen:
vigor165_2
Mach dir also dein Admin Leben leichter und lass das dein Modem erledigen!
sat-fan
sat-fan 17.10.2023 um 19:15:04 Uhr
Goto Top
misst .. Passwort vergessen ...15min warten... War doch bisschen viel gestern ... ;)
sat-fan
sat-fan 18.10.2023 aktualisiert um 08:39:58 Uhr
Goto Top
Leider war es das nicht. Hier mal die Einstellung. Evtl. ist auch Vlan gar nicht das Problem, sondern irgend etwas anderes.


In der Anleitung der Netcom steht noch folgender Satz:

Setzen Sie einen Haken bei Portweiterleitung des Internet-Routers für
Telefonie aktiv halten und wählen 1 Minute als Zeitintervall aus.

Nur wo ... thx
admin@10.0.0.1 (mikrotik) - winbox (64bit) v7.11.2 on hex (mmips) 18.10.2023 08_09_39
hex
commodity
commodity 18.10.2023 um 10:43:18 Uhr
Goto Top
Ich habe nur mit ganz normalen IPv4-Anschlüssen Erfahrung, daher liege ich vielleicht falsch:
Das ist ein IPv6-Anschluss, oder? In Deinem Bild vom Zyxel ist bei IPv6 aber ein "N" zu sehen.

Dein netcomcity-Provider ist doch der hier, oder?
https://netcom-kassel.de/privatkunden/faqs/

Wenn ja, findest Du im Link ziemlich weit unten die FAQ "Wie richte ich Internet und Telefonie in Routern anderer Hersteller ein? "
Dort wiederum findet sich die Einrichtung von Internet und SIP für "Router anderer Hersteller", mit u.a. dem Hinweis auf DS Lite und
Hinweis: Bei einigen Endgeräten muss das AFTR-Gateway manuell gesetzt werden wie zum Beispiel vom Hersteller Bintec IP Plus: IPv6 Adr. NCK AFTR-Gateway für DS Lite: 2a03:7500::1:7"
Wenn Du dann noch den Hinweis des Kollegen @colinardo in diesem Thread beachtest: Mikrotik: RouterOS mit DS-Lite von Netcologne? könnte das auf den Weg zum Internet führen. Ich hoffe, ich liege nicht völlig daneben.

Im Übrigen findest Du hier u.U. auch noch ein paar Hinweise zur Einrichtung von IPv6 über PPoE: IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)

Viele Grüße, commodity
aqui
aqui 18.10.2023 um 11:29:05 Uhr
Goto Top
In Deinem Bild vom Zyxel ist bei IPv6 aber ein "N" zu sehen.
Wenn das Zyxel eine reines "nur" Modem ist also kein Router, dann ist das irrelevant.
Eine reines NUR Modem wandelt ja nur Ethernet Frames in xDSL Format im Layer 1. Dort spielen IP Adressierung usw. keinerlei Rolle.
Bei einem NUR Modem fängt IP erst am Routerport an.
Karinalsfrage ist also ob der TO sein Zyxel wirklich als reines NUR Modem konfiguriert hat.
Bedenklich ist auch die Verwendung des MT Wizzards. Bekanntlich richtet der immer mehr Konfig Schaden an als das er nutzt. face-sad

Auch einen Port Forwarding Eintrag braucht es in der Regel nicht, denn so gut wie alle VoIP Endgeräte und Anlagen (z.B.) Fritzbox arbeiten mit einem Keepalive. Also einem zyklisch gesendeten IP Paket von VoIP Endgerät zum Provider SIP Server was den SIP Firewall Port immer offenhält. Ein unsicheres Port Forwarding ist damit obsolet.
Sollte ein Endgerät wider Erwarten kein Keepalive machen oder können nutzt man dort ein STUN Setup was das gleiche macht.
7907292512
7907292512 18.10.2023 um 11:43:45 Uhr
Goto Top
Setzen Sie einen Haken bei Portweiterleitung des Internet-Routers für
Telefonie aktiv halten und wählen 1 Minute als Zeitintervall aus.

Nur wo ... thx

Hier

screenshot
sat-fan
sat-fan 18.10.2023 aktualisiert um 12:07:30 Uhr
Goto Top
Habe es nach dieser anleitung gemacht. Gehe davon aus der de Bridge Modus bedeutet nur als Router nutzen:
https://support.zyxel.eu/hc/de/articles/360001482220-Einstellen-des-VMG- ...
aqui
aqui 18.10.2023 aktualisiert um 12:26:21 Uhr
Goto Top
Gehe davon aus der de Bridge Modus bedeutet nur als Router nutzen:
Das wäre ja ziemlicher Blödsinn. Eine Bridge ist rein nur Layer 2 und ein Router nur Layer 3.
Würde der Zyxel als reiner Router arbeiten dann hast du einen klassische Router Kaskade mit doppeltem NAT und doppeltem Firewalling und beiden Komponenten im reinen Routing Mode. Also genau das was man mit einem NUR Modem (Bridge) NICHT will.
Du meintest wohl "...nur als Modem/Bridge nutzen:" oder? 🤔
Kann man auf dem MT ja auch eindeutig sehen wenn das PPPoE Interface eine öffentliche IP erhält. face-wink

Zudem kann man dem Zyxel im Modem Mode auch das Provider Tagging beibringen wie oben schon erwähnt und muss es dann nicht auf dem MT umsetzen:
zymod
sat-fan
Lösung sat-fan 18.10.2023 aktualisiert um 13:52:19 Uhr
Goto Top
sorry was schreib ich da ...
Wollte schreiben das der Bridge Modus bedeutet das Ding nur als Modem zu nutzen !
Im MT sehe ich die öffentliche IP, denke damit ist das klar.
Wie man oben sieht, habe ich die 237 auch im Modem getaggt.

Bleibt aber mein Problem, das die telefone an der FB sich nicht verbinden

erledigt ... Beim Vlan Port vertippt
231 statt 132 .... bin eindeutig überlastet.
7907292512
Lösung 7907292512 18.10.2023 aktualisiert um 13:56:54 Uhr
Goto Top
Die VLAN-ID stimmt nicht 231 statt 132 laut netcom ...

screenshot

edit, to late, hast es selbst gesehen face-wink.
commodity
Lösung commodity 18.10.2023 um 15:45:51 Uhr
Goto Top
Ich fasse zusammen:

  • kein DS Lite,
  • Modem ist gebridged
  • VLAN jetzt korrekt getagged
  • Router bekommt öffentliche IP
  • FB bekommt Daten

prima.

Viele Grüße, commodity
aqui
aqui 19.10.2023 um 13:47:38 Uhr
Goto Top
Case closed! 😉