fabezz
Goto Top

Starface mit NGN verliert Gateway

Guten Morgen zusammen,
ich hoffe dass ich das richtige Thema getroffen habe.
In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht wird und es wurde eine Starface gekauft.

Installierte Version 7.0 aktueller Patchstand.

Ausgangsnetz:
Unser Anbieter für Internet und Telefon hat bei uns zwei Leitungen. Über die eine kommt das "normale" Internet und die andere ist die NGN Leitung über welche ausschließlich Phone anliegt.

Intern habe wir > 10 VLANs für die Mitarbeiter was auch alles routingtechnisch funktioniert.

Die Starface soll nun genauso direkt an die NGN mit einem Port und mit dem anderen Port in das interne Phonenet.
Das funktioniert bei der Openscape ohne Probleme (alles manuell konfigurierbar) jedoch verlangt die Starface dass der ngn ein DHCP Interface ist wodurch logischerweise durch den Provider ein zusätzliches Gateway auf der Starface erstellt wird. Klar wird dieses ebenfalls durch die NGN-Routes kastriert aber schön ist das nicht.

Nun zum eigentlichen Problem.
Auf dem anderen Interface ist das interne Netz inkl Gateway konfiguriert. Sobald die Starface neustartet (sei es durch Updates oder so) wird die Gateway Adresse des internen Netzes gelöscht und somit kann nicht mehr zugegriffen werden. Dann muss man dieses wieder über die Konsole Eintragen und alles funktioniert.
Hattet ihr auch schon solche Probleme? Kennt ihr eine Lösung?
Der Support hat uns gesagt wenn wir händisch im CentOS anfangen zu konfigurieren dann wären die Anlage aus dem Supportvertrag.

Freu mich auf die Rückmeldung ob jemand ein ähnliches Problem hat und wie er es gelöst hat.

Content-ID: 744811035

Url: https://administrator.de/forum/starface-mit-ngn-verliert-gateway-744811035.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

psannz
psannz 19.06.2021 um 10:06:30 Uhr
Goto Top
Sers,

ist ein bekanntes Problem, betrifft auch die 6.x Versionen.
Prinzipiell solltest du IP Routen, Gateways und DNS bei der Starface über die CLI / SSH definieren.

Der Grundgedanke von Starface ist nachvollziehbar: Viele ihrer Kunden haben ein VoIP VLAN und das war es. Die NIC fürs interne VoIP Netz kommt also ins VoIP VLAN und braucht dann kein eigenes Gateway mehr.
Fabezz
Fabezz 19.06.2021 um 10:19:06 Uhr
Goto Top
Hi,
danke für die Antwort.
Und warum werden dann die Appliances mit dedizierten NGN Port Verkauf und zusätzlich internen LAN Port?

Bekomm das nicht in mein Kopf.
Irgendwie muss hier doch der Gedanke sein. Voip VLAN gut und schön haben wir ja auch alles aber was ist mit den externen welche sich via vpn einwählen? Da muss ja schon geroutet werden und das wird schwierig ohne Gateway...
em-pie
em-pie 19.06.2021 um 10:58:39 Uhr
Goto Top
Moin,

Kennen die Starface nicht, daher "nur eine Idee":
Kannst du der Starface statische Routen mitgeben, die auch einen Neustart überleben?

Gehen wir mal von folgendem aus:
WAN-IP der Starface: 10.10.0.10/24 Default GW: 10.10.0.1
LAN-IP der STarface: 10.20.0.10/24

Interne LAN-Netze, verteilt in mehrere Subnetze auf dem Hauptnetz 10.20.0.0/ 16
Gateway im Netz 10.20.0.0/24 wäre die 10.20.0.1
statische Route 1 10.20.0.0/16 an 10.20.0.1
statische Route 2: 0.0.0.0/0 an 10.10.0.1


<OT>
In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht wird und es wurde eine Starface gekauft.
Schade eigentlich, die Openscapes sind gute Anlagen, meiner Meinung nach. Je nach Modell wäre eine Hochrüstung ja auch möglich gewesen.
</OT>

Gruß
em-pie
aqui
aqui 19.06.2021 aktualisiert um 11:41:23 Uhr
Goto Top
Appliances mit dedizierten NGN Port Verkauf und zusätzlich internen LAN Port?
Wäre eigentlich Unsinn denn eine VoIP PBX ist ja netzwerktechnisc h gesehen nichts anderes als ein simpler Server.
In klassischen Installationen sitzt dieser "Server" dann logischerweise in einem separaten Voice VLAN wie es durch die Bank üblich ist. Dort ist ein 2tes Interface dann völlig sinnfrei.
Ist es so oder so, denn üblicherweise arbeitet man in Designs mit dediziertem Voice Anschluss immer mit einem Dual WAN Router. Der Router nutzt dann übliches Policy Routing um den Voice Traffic entsprechend an den dafür vorgesehenen Anschluss zu routen.
In solchen üblichen Allerwelts Standard VoIP Installationen sind 2 NICs am UC Server/PBX also vollkommen überflüssig und bekommt man auch bei dieser sehr simplen Logik ganz einfach "in den Kopf". Das überwiegende Gros dieser Produkte benötigt also keinerlei 2ten Anschluss. Die Kollegen haben das oben ja auch schon erklärt.
Vermutlich ist dein "Denkansatz" zur Implementierung eines VoIP PBX nur grundsätzlich falsch.
Fabezz
Fabezz 19.06.2021 um 12:41:07 Uhr
Goto Top
Hi em-pie,
ja generell kann ich der Starface statische Routen mitgeben.
Das Problem an der Geschichte ist dass der NGN nach Definition von Starface als DHCP konfiguriert sein muss und somit auch die Route ins Internet auf den SiP Only Port jagt. Dummerweiße muss diese auch nach Hause telefonieren um Updates, Lizenzen etc zu erlangen.
Eine weitere Routing Instanz zwischen NGN und Starface ist einfach nicht schön.
Wenn ich die Routen händisch in die route-eno1 setzte klappt die interne Kommunikation jedoch Pflege ich mich tot bei Änderungen im Netz.

Wollte nur wissen ob sonst jemand hier schon dieses Konstrukt hat.

NGN->Starface
Starface->internes GW ( VLAN Netze + Internet)
Fabezz
Fabezz 19.06.2021 um 12:47:27 Uhr
Goto Top
Hi Aqui,
wäre dies eine simple Abschaltung wie du sie auch kennst dann wäre es auch simple umsetzbar.
Jedoch gehst du davon aus dass zwischen NGN und TK eine Routing Instanz geschalten ist. Dies ist eben nicht der Fall. Durch diese Konstellation kann man etwaige Leitungsstörungen im Telefoniebereich direkt zum Anbieter Routen. Da kommt dann nicht die Aussage dass es am Netzwerk liegt da das Netzwerk Komplett Anbieter ist.

Genau aus diesem Grund gibt es PBXen mit dedizierten NGN Anschlüsse.

Netzwerk ist nicht der Fehler im Kopf wie du so abwertend wie immer schreibst.

Trotzdem dir noch ein schönes Wochenende.
em-pie
em-pie 19.06.2021 um 12:47:32 Uhr
Goto Top
Hi em-pie,

Wenn ich die Routen händisch in die route-eno1 setzte klappt die interne Kommunikation jedoch Pflege ich mich tot bei Änderungen im Netz.
Wieso. Beachte mein obiges Beispiel doch.
Wenn ihr mit VLANs arbeitet und alle Netze dem Schema 10.20.[VLAN].0/ 24 entsprechen, dann hast du exakt eine Route in LAN
10.20.0.0/16 -> 10.20.0.1
Es wird also alles von 10.20.0.1 bis 10.20.255.254 ins LAN geroutet und der Rest geht dann ins WAN.

Zum Rest kann ich im Details leider nicht viel mehr beisteuern, da ich noch keine Starface in den Fingern hatte.
aqui
aqui 19.06.2021 aktualisiert um 13:10:52 Uhr
Goto Top
Netzwerk ist nicht der Fehler im Kopf wie du so abwertend wie immer schreibst.
Nichtsdestotrotz ist und bleibt so eine VoIP Installation eher die exotische Ausnahme als die Regel. Da muss man sich dann auch nicht wundern das man manuell nacharbeiten muss an so einem Produkt. Mal ganz abgesehen von der Tatsache das du ja auch vom Provider da keinen nackten Draht gelegt bekommst sondern auch einen Router oder andere aktive Hardware die zwar in Provider Hoheit liegt, dennoch aber nach Kundenwünschen immer customizebar ist. Ganz besonders bei Business Kunden. Aber egal...
dann hast du exakt eine Route in LAN
Die Route ist etwas unsinnig. Siehst du als alter Netzwerk Hase auch sicher selber, denn sie zeigt auf ein Gateway was im zu routenden Netz liegt. face-wink Das geht routingtechnsich natürlich in die Hose und muss auch gar nicht sein.
Wenn der TO mit VLANs arbeitet und seiner o.a. etwas exotischen Konfig mit 2 NICs muss er keinerlei Routen irgendwo installieren.
Ein Bein der VoIP PBX hängt ja in diesem lokalen Voice VLAN und versorgt alle Voice Endgeräte mit IP Adressen und den Voice Credentials wie QoS usw.
Über das 2te Interface realisiert die PBX dann ja den direkten Provider Zugang. Folglich ist für das Voice VLAN keinerlei Route erforderlich denn die Endgeräte bekommen ja immer die PBX IP selber als Gateway. Es kann (und sollte) dann sogar in einem Layer 2 isolierten Voice VLAN betrieben werden.
Ob so ein direkter Anschluss der PBX ans Providernetz ohne jeglichen Firewall Schutz sinnvoll ist muss der TO dann selber entscheiden. Wenn sogar schon die NSA davon abrät
https://www.heise.de/news/Mit-diesem-Leitfaden-der-NSA-koennen-Admins-IP ...
muss es ja irgendwie doch einen Sinn haben...
Fabezz
Fabezz 19.06.2021 aktualisiert um 13:25:11 Uhr
Goto Top
Ja genau da ist ja der Knackpunkt was du wahrscheinlich überlesen habt.
Es gibt eben nicht nur das Voice VLan.
Wir haben aus Sicherheitsgründen so gut wie alles in VLANs segmentiert was zu segmentieren geht.

Sprich zum Beispiel
VLAN 120 -> Voip (PBX + Telefone) wisst ihr alten Hasen geht ohne Gateway
VLAN 100 -> Clients mit UCC Client (wisst ihr auch geht ohne GW nicht da anderes Netz
VLAN 130 -> Smartphone mit APP ( ohne GW NoGo)
VLAN 140 -> VPN Phones ( ohne GW?!? Ihr wisst es)
VLAN -> VPN Clients ( joa ne geht net)
Usw ...
Und jedes Gerät benötigt Zugriff.
Ganz stinkt normale Konstellation.

Darum die hoffnungsvolle Frage ob jemand schon eine schöne Starface in dieser Konstellation in der Hand hatte.

Em-pie hat schon Recht mit dem pflegen der Routen.