Starface mit NGN verliert Gateway

Guten Morgen zusammen,
ich hoffe dass ich das richtige Thema getroffen habe.
In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht wird und es wurde eine Starface gekauft.

Installierte Version 7.0 aktueller Patchstand.

Ausgangsnetz:
Unser Anbieter für Internet und Telefon hat bei uns zwei Leitungen. Über die eine kommt das "normale" Internet und die andere ist die NGN Leitung über welche ausschließlich Phone anliegt.

Intern habe wir > 10 VLANs für die Mitarbeiter was auch alles routingtechnisch funktioniert.

Die Starface soll nun genauso direkt an die NGN mit einem Port und mit dem anderen Port in das interne Phonenet.
Das funktioniert bei der Openscape ohne Probleme (alles manuell konfigurierbar) jedoch verlangt die Starface dass der ngn ein DHCP Interface ist wodurch logischerweise durch den Provider ein zusätzliches Gateway auf der Starface erstellt wird. Klar wird dieses ebenfalls durch die NGN-Routes kastriert aber schön ist das nicht.

Nun zum eigentlichen Problem.
Auf dem anderen Interface ist das interne Netz inkl Gateway konfiguriert. Sobald die Starface neustartet (sei es durch Updates oder so) wird die Gateway Adresse des internen Netzes gelöscht und somit kann nicht mehr zugegriffen werden. Dann muss man dieses wieder über die Konsole Eintragen und alles funktioniert.
Hattet ihr auch schon solche Probleme? Kennt ihr eine Lösung?
Der Support hat uns gesagt wenn wir händisch im CentOS anfangen zu konfigurieren dann wären die Anlage aus dem Supportvertrag.

Freu mich auf die Rückmeldung ob jemand ein ähnliches Problem hat und wie er es gelöst hat.

Content-Key: 744811035

Url: https://administrator.de/contentid/744811035

Ausgedruckt am: 27.07.2021 um 09:07 Uhr

Mitglied: psannz
psannz 19.06.2021 um 10:06:30 Uhr
Goto Top
Sers,

ist ein bekanntes Problem, betrifft auch die 6.x Versionen.
Prinzipiell solltest du IP Routen, Gateways und DNS bei der Starface über die CLI / SSH definieren.

Der Grundgedanke von Starface ist nachvollziehbar: Viele ihrer Kunden haben ein VoIP VLAN und das war es. Die NIC fürs interne VoIP Netz kommt also ins VoIP VLAN und braucht dann kein eigenes Gateway mehr.
Mitglied: Fabezz
Fabezz 19.06.2021 um 10:19:06 Uhr
Goto Top
Hi,
danke für die Antwort.
Und warum werden dann die Appliances mit dedizierten NGN Port Verkauf und zusätzlich internen LAN Port?

Bekomm das nicht in mein Kopf.
Irgendwie muss hier doch der Gedanke sein. Voip VLAN gut und schön haben wir ja auch alles aber was ist mit den externen welche sich via vpn einwählen? Da muss ja schon geroutet werden und das wird schwierig ohne Gateway...
Mitglied: em-pie
em-pie 19.06.2021 um 10:58:39 Uhr
Goto Top
Moin,

Kennen die Starface nicht, daher "nur eine Idee":
Kannst du der Starface statische Routen mitgeben, die auch einen Neustart überleben?

Gehen wir mal von folgendem aus:
WAN-IP der Starface: 10.10.0.10/24 Default GW: 10.10.0.1
LAN-IP der STarface: 10.20.0.10/24

Interne LAN-Netze, verteilt in mehrere Subnetze auf dem Hauptnetz 10.20.0.0/ 16
Gateway im Netz 10.20.0.0/24 wäre die 10.20.0.1
statische Route 1 10.20.0.0/16 an 10.20.0.1
statische Route 2: 0.0.0.0/0 an 10.10.0.1


<OT>
In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht wird und es wurde eine Starface gekauft.
Schade eigentlich, die Openscapes sind gute Anlagen, meiner Meinung nach. Je nach Modell wäre eine Hochrüstung ja auch möglich gewesen.
</OT>

Gruß
em-pie
Mitglied: aqui
aqui 19.06.2021 aktualisiert um 11:41:23 Uhr
Goto Top
Appliances mit dedizierten NGN Port Verkauf und zusätzlich internen LAN Port?
Wäre eigentlich Unsinn denn eine VoIP PBX ist ja netzwerktechnisc h gesehen nichts anderes als ein simpler Server.
In klassischen Installationen sitzt dieser "Server" dann logischerweise in einem separaten Voice VLAN wie es durch die Bank üblich ist. Dort ist ein 2tes Interface dann völlig sinnfrei.
Ist es so oder so, denn üblicherweise arbeitet man in Designs mit dediziertem Voice Anschluss immer mit einem Dual WAN Router. Der Router nutzt dann übliches Policy Routing um den Voice Traffic entsprechend an den dafür vorgesehenen Anschluss zu routen.
In solchen üblichen Allerwelts Standard VoIP Installationen sind 2 NICs am UC Server/PBX also vollkommen überflüssig und bekommt man auch bei dieser sehr simplen Logik ganz einfach "in den Kopf". Das überwiegende Gros dieser Produkte benötigt also keinerlei 2ten Anschluss. Die Kollegen haben das oben ja auch schon erklärt.
Vermutlich ist dein "Denkansatz" zur Implementierung eines VoIP PBX nur grundsätzlich falsch.
Mitglied: Fabezz
Fabezz 19.06.2021 um 12:41:07 Uhr
Goto Top
Hi em-pie,
ja generell kann ich der Starface statische Routen mitgeben.
Das Problem an der Geschichte ist dass der NGN nach Definition von Starface als DHCP konfiguriert sein muss und somit auch die Route ins Internet auf den SiP Only Port jagt. Dummerweiße muss diese auch nach Hause telefonieren um Updates, Lizenzen etc zu erlangen.
Eine weitere Routing Instanz zwischen NGN und Starface ist einfach nicht schön.
Wenn ich die Routen händisch in die route-eno1 setzte klappt die interne Kommunikation jedoch Pflege ich mich tot bei Änderungen im Netz.

Wollte nur wissen ob sonst jemand hier schon dieses Konstrukt hat.

NGN->Starface
Starface->internes GW ( VLAN Netze + Internet)
Mitglied: Fabezz
Fabezz 19.06.2021 um 12:47:27 Uhr
Goto Top
Hi Aqui,
wäre dies eine simple Abschaltung wie du sie auch kennst dann wäre es auch simple umsetzbar.
Jedoch gehst du davon aus dass zwischen NGN und TK eine Routing Instanz geschalten ist. Dies ist eben nicht der Fall. Durch diese Konstellation kann man etwaige Leitungsstörungen im Telefoniebereich direkt zum Anbieter Routen. Da kommt dann nicht die Aussage dass es am Netzwerk liegt da das Netzwerk Komplett Anbieter ist.

Genau aus diesem Grund gibt es PBXen mit dedizierten NGN Anschlüsse.

Netzwerk ist nicht der Fehler im Kopf wie du so abwertend wie immer schreibst.

Trotzdem dir noch ein schönes Wochenende.
Mitglied: em-pie
em-pie 19.06.2021 um 12:47:32 Uhr
Goto Top
Hi em-pie,

Wenn ich die Routen händisch in die route-eno1 setzte klappt die interne Kommunikation jedoch Pflege ich mich tot bei Änderungen im Netz.
Wieso. Beachte mein obiges Beispiel doch.
Wenn ihr mit VLANs arbeitet und alle Netze dem Schema 10.20.[VLAN].0/ 24 entsprechen, dann hast du exakt eine Route in LAN
10.20.0.0/16 -> 10.20.0.1
Es wird also alles von 10.20.0.1 bis 10.20.255.254 ins LAN geroutet und der Rest geht dann ins WAN.

Zum Rest kann ich im Details leider nicht viel mehr beisteuern, da ich noch keine Starface in den Fingern hatte.
Mitglied: aqui
aqui 19.06.2021 aktualisiert um 13:10:52 Uhr
Goto Top
Netzwerk ist nicht der Fehler im Kopf wie du so abwertend wie immer schreibst.
Nichtsdestotrotz ist und bleibt so eine VoIP Installation eher die exotische Ausnahme als die Regel. Da muss man sich dann auch nicht wundern das man manuell nacharbeiten muss an so einem Produkt. Mal ganz abgesehen von der Tatsache das du ja auch vom Provider da keinen nackten Draht gelegt bekommst sondern auch einen Router oder andere aktive Hardware die zwar in Provider Hoheit liegt, dennoch aber nach Kundenwünschen immer customizebar ist. Ganz besonders bei Business Kunden. Aber egal...
dann hast du exakt eine Route in LAN
Die Route ist etwas unsinnig. Siehst du als alter Netzwerk Hase auch sicher selber, denn sie zeigt auf ein Gateway was im zu routenden Netz liegt. ;-) face-wink Das geht routingtechnsich natürlich in die Hose und muss auch gar nicht sein.
Wenn der TO mit VLANs arbeitet und seiner o.a. etwas exotischen Konfig mit 2 NICs muss er keinerlei Routen irgendwo installieren.
Ein Bein der VoIP PBX hängt ja in diesem lokalen Voice VLAN und versorgt alle Voice Endgeräte mit IP Adressen und den Voice Credentials wie QoS usw.
Über das 2te Interface realisiert die PBX dann ja den direkten Provider Zugang. Folglich ist für das Voice VLAN keinerlei Route erforderlich denn die Endgeräte bekommen ja immer die PBX IP selber als Gateway. Es kann (und sollte) dann sogar in einem Layer 2 isolierten Voice VLAN betrieben werden.
Ob so ein direkter Anschluss der PBX ans Providernetz ohne jeglichen Firewall Schutz sinnvoll ist muss der TO dann selber entscheiden. Wenn sogar schon die NSA davon abrät
https://www.heise.de/news/Mit-diesem-Leitfaden-der-NSA-koennen-Admins-IP ...
muss es ja irgendwie doch einen Sinn haben...
Mitglied: Fabezz
Fabezz 19.06.2021 aktualisiert um 13:25:11 Uhr
Goto Top
Ja genau da ist ja der Knackpunkt was du wahrscheinlich überlesen habt.
Es gibt eben nicht nur das Voice VLan.
Wir haben aus Sicherheitsgründen so gut wie alles in VLANs segmentiert was zu segmentieren geht.

Sprich zum Beispiel
VLAN 120 -> Voip (PBX + Telefone) wisst ihr alten Hasen geht ohne Gateway
VLAN 100 -> Clients mit UCC Client (wisst ihr auch geht ohne GW nicht da anderes Netz
VLAN 130 -> Smartphone mit APP ( ohne GW NoGo)
VLAN 140 -> VPN Phones ( ohne GW?!? Ihr wisst es)
VLAN -> VPN Clients ( joa ne geht net)
Usw ...
Und jedes Gerät benötigt Zugriff.
Ganz stinkt normale Konstellation.

Darum die hoffnungsvolle Frage ob jemand schon eine schöne Starface in dieser Konstellation in der Hand hatte.

Em-pie hat schon Recht mit dem pflegen der Routen.
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 15 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 14 StundenFrageNetzwerkmanagement15 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 8 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...