VOIP Telefon im anderem LAN als die TK OPNsense
Hallo Leute
Frage
Ich habe 2 Netzwerke
das 192.168.120.0 und das 192.168.100.0
im 120er ist das Sip Endgerät 192.168.120.203
und im 100er ist die TK mit 192.168.100.16 wo das Endgerät sich anmelden kann.
Die Kommunikation von einem zum anderen Netz ist gewährleistet.
Man sieht auch, das die TK die Anmeldung bekommt im Wireshark Mitschnitt. Allerdings ist es wohl so, so wurde mir von Agfeo gesagt (Pure IP 20), dass die TK eine Anfrage von 192.168.120.203 erhält aber nicht weiß wohin es zurück soll.
Nun habe ich was von NAT und Umschreiben gehört.
Kann mir dazu jemand was sagen ?
Frage
Ich habe 2 Netzwerke
das 192.168.120.0 und das 192.168.100.0
im 120er ist das Sip Endgerät 192.168.120.203
und im 100er ist die TK mit 192.168.100.16 wo das Endgerät sich anmelden kann.
Die Kommunikation von einem zum anderen Netz ist gewährleistet.
Man sieht auch, das die TK die Anmeldung bekommt im Wireshark Mitschnitt. Allerdings ist es wohl so, so wurde mir von Agfeo gesagt (Pure IP 20), dass die TK eine Anfrage von 192.168.120.203 erhält aber nicht weiß wohin es zurück soll.
Nun habe ich was von NAT und Umschreiben gehört.
Kann mir dazu jemand was sagen ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8048828491
Url: https://administrator.de/contentid/8048828491
Ausgedruckt am: 19.12.2024 um 15:12 Uhr
55 Kommentare
Neuester Kommentar
Moin...
äh... wie so hast du NAT zwischen deinen Netzen, wo ist da der sinn?
wie hast du die netze eingerichtet- zum test mal eine Firewall Rule mit Any angelegt?
Frank
Zitat von @Decker2022:
@Vision2015
Nun komm ich ins straucheln
Aber die Übersetzung muss doch unter lan(120) zu lan (100) und umgekehrt erfolgen
In deinem Beispiel steht ja WAN adress
äh ja... sorry, falsch gelesen... ich war der meineung die RTPs gehen nicht raus.@Vision2015
Nun komm ich ins straucheln
Aber die Übersetzung muss doch unter lan(120) zu lan (100) und umgekehrt erfolgen
In deinem Beispiel steht ja WAN adress
äh... wie so hast du NAT zwischen deinen Netzen, wo ist da der sinn?
wie hast du die netze eingerichtet- zum test mal eine Firewall Rule mit Any angelegt?
Frank
eine Anfrage von 192.168.120.203 erhält aber nicht weiß wohin es zurück soll.
Dann hast du wohl dummerweise vergessen der TK Anlage ein Default Gateway und zwar die IP der lokalen pfSense zu konfigurieren?!NAT ist doch völliger Unsinn, wenn du zwischen 2 lokalen IP Segmenten ganz normal routest. Wenn du testweise 2 „Scheunentorregeln“ an den beiden Netzwerkinterfaces definiert hast wird doch alles ganz stinknormal geroutet und zwar ganz ohne NAT Frickelei.
Fazit: Setze ein korrektes Gateway in der VoIP Anlagen, checke dein Regelwerk und gut iss.
VoIP funktioniert bekanntlich natürlich problemlos auch über geroutete Netze ohne jegliche Einschränkung.
Zitat von @Decker2022:
@aqui
Kein Problem, danke dir dafür.
So, ich habe mich zu früh gefreut, nun habe ich das eigentliche Problem bemerkt und ich erinnere mich dran, dass ich diesbezüglich mal Kontakt zum Anlagenhersteller hatte.
Und zwar gestaltet sich das so, das SIP Telefon aus dem Netz 120.0 ist angemelet an der TK im Netz 100.0
Nun kommt das große Aber, die Sprache und Signalisierung sind gestört. Wie ich mich erinnerte sind dafür die RTP Ports zuständig. Die Tk hat zwar die Anmeldung akzeptiert aber er weß nicht wohin mit der Sprache und umgekehrt.
Gibt es dafür überhaupt eine Lösung oder muss ich das Telefon doch ins 100er Netz bringen.
das sollte eigentlich kein problem sein... oder machst du aus irgendwelchen gründen doch NAT?@aqui
Kein Problem, danke dir dafür.
So, ich habe mich zu früh gefreut, nun habe ich das eigentliche Problem bemerkt und ich erinnere mich dran, dass ich diesbezüglich mal Kontakt zum Anlagenhersteller hatte.
Und zwar gestaltet sich das so, das SIP Telefon aus dem Netz 120.0 ist angemelet an der TK im Netz 100.0
Nun kommt das große Aber, die Sprache und Signalisierung sind gestört. Wie ich mich erinnerte sind dafür die RTP Ports zuständig. Die Tk hat zwar die Anmeldung akzeptiert aber er weß nicht wohin mit der Sprache und umgekehrt.
Gibt es dafür überhaupt eine Lösung oder muss ich das Telefon doch ins 100er Netz bringen.
hast du die noch die any regel in der firewall?
ist das 120er Netzt ein VLAN, oder wie wurde das angelegt?
Frank
Moin....
Nachtrag:
Frank
Nachtrag:
Und zwar gestaltet sich das so, das SIP Telefon aus dem Netz 120.0 ist angemelet an der TK im Netz 100.0
Nun kommt das große Aber, die Sprache und Signalisierung sind gestört. Wie ich mich erinnerte sind dafür die RTP Ports zuständig.
klappt es den Intern, also kannst du mit einem anderem Internen Teilnehmer Sprechen?Nun kommt das große Aber, die Sprache und Signalisierung sind gestört. Wie ich mich erinnerte sind dafür die RTP Ports zuständig.
Frank
Nein, ich habe die Scheunentorregel deaktviert und arbeite mit...
Das ist erstmal kontraproduktiv. Gehe besser erstmal strategisch vor und etabliere erstmal Scheunentorregeln auf beiden Interfaces.Bringe dann das Telefon fehlerfrei im gleichen Segment wie die Anlage zum Laufen das es fehlerfrei rennt.
Wenn du es dann in das andere Segemt klemmst, dann sollte es dort ebenso sauber laufen, denn VoIP rennt natürlich auch problemlos in gerouteten Netzen zumindestens solange kein NAT gemacht wird, was bei lokalen Segmenten an der Firewall ja auch niemals der Fall ist.
Erst wenn es rennt ziehe das Regelwerk langsam zu.
Probleme bereiten bei RTP (Sprache) die dynamischen Ports aber wie gesagt einzig nur wenn irgendwo NAT gemacht wird. Niemals in einem sauberen, transparenten Routing Umfeld. Logisch, denn wäre dem so würde Telefonie im Internet nie funktionieren, das ja bekanntlich komplett geroutet ist.
Bei einem FW Regelwerk sind aber auch diese dynamischen RTP Ports unbedingt zu beachten so das meistens eine Range defiert werden muss dafür.
Kollege @LordGurke hatte hier einen sehr guten Thread zur RTP Thematik gepostet dessen Link ich aber auf die Schnelle nicht finde...
Moin...
zeige uns mal bitte deine FW Regeln bitte, und die port config.
welches gateway hat deine Telefon anlage, welches gateway hat nutzt das telefon.
Frank
Zitat von @Decker2022:
@aqui
Also ich habe es probiert.
Im selben Netzwerk kein Problem.
Nun mit Scheunentorregeln in beiden Netzen geht es nicht
hm.. kann eigentlich nicht sein!@aqui
Also ich habe es probiert.
Im selben Netzwerk kein Problem.
Nun mit Scheunentorregeln in beiden Netzen geht es nicht
zeige uns mal bitte deine FW Regeln bitte, und die port config.
welches gateway hat deine Telefon anlage, welches gateway hat nutzt das telefon.
Frank
Moin...
äh, also das mit der Agfeo und den Netzwerkeinstellungen verstehe ich nicht so ganz....
du brauchst doch eigentlich nur Lan1 in der Agfeo, mit dem gateway des 192.168.100.0/24 also der IP der pfsense! das 192.168.120.0 /24 kommt doch von deiner pfsense, und wird geroutet zum 192.168.100.0......
Lan2 ist in deinem 192.168.120.0 24er Netz, welches keine RTP Ports bekommt- was ich jetzt auch verstehe- das haut so nicht hin! oder hast du da 2 Router im Netz?
bitte zeichne mal dein Netzwerk auf.
und wiso hat die TK keine feste IP, und nutzt DHCP?
Frank
äh, also das mit der Agfeo und den Netzwerkeinstellungen verstehe ich nicht so ganz....
du brauchst doch eigentlich nur Lan1 in der Agfeo, mit dem gateway des 192.168.100.0/24 also der IP der pfsense! das 192.168.120.0 /24 kommt doch von deiner pfsense, und wird geroutet zum 192.168.100.0......
Lan2 ist in deinem 192.168.120.0 24er Netz, welches keine RTP Ports bekommt- was ich jetzt auch verstehe- das haut so nicht hin! oder hast du da 2 Router im Netz?
bitte zeichne mal dein Netzwerk auf.
und wiso hat die TK keine feste IP, und nutzt DHCP?
Frank
Moin....
oha... sag das doch gleich!
Also, das ist eine hochmoderne IP Anlage, siehe Agfeo Pure IP 20
ja.. ist mir bekannt
Agfeo, der Liebling aller nicht Netzwerker, also Elekriker etc...
ich glaube, hättest du gleich deine frage Richtig gestellt, mit allen zip und zap wären wie jetzt schon Fertig.
eine kleines bild mit deinem netzwerk und deren gerätschaften, hätte gleich klarheit geschaft!
deien TK sollte besser auf Lan2 eine anderes Netzwerk nutzen, ich werfe mal 10.10.200.0 /24 in den Raum!
also Lan2 in der TK 10.10.200.254 mit dem Gateway 10.10.200.254, also dein zweiter Router!
das Lan1 netz bleibt so wie ist es, und alles wird wohl gut.
dir als Netzwerker sollte klar sein, warum das mit 192.168.120.16 nix werden kann, wo sollen den die RTP ports hin? zurück zur pfsense, oder zum zweiten Router?
natürlich wäre es auch möglich alles an die pfsense zu hängen, also WAN1 und Wan2, und die entsprechenden ip adressen / dienste oder netze die gewüntschten WANs weiterzuleiten, da braucht es in der regel keinen Router Park für.
Frank
oha... sag das doch gleich!
Ja, DHCP, aber statisch zugewiesen
na dann..Also, das ist eine hochmoderne IP Anlage, siehe Agfeo Pure IP 20
Agfeo, der Liebling aller nicht Netzwerker, also Elekriker etc...
Diese hat von Haus aus 2 Lan port
ja, das hat sie!Beispiel; Du hast 2 Anbieter Telekom & Vodafone
Beide haben Ihre Router WAN'S und beide erlauben KEINEN nomadischen Anschluss.
ist auch klar.Beide haben Ihre Router WAN'S und beide erlauben KEINEN nomadischen Anschluss.
Dann kannst du nicht deinen Sipaccount von Vodafone auf dem vom Telekom verwenden und umgekehrt. Daher gibt es so was.
aha... Hexenwerk also Dazu kommt, dass die Tk im Standard nur einen LAN nimmt für die internen Anmeldungen + Gateway und den anderen nur als Gateway.
was kaufst du auch so einen Schrott, Agfeo läuft seit Jahren der Technik hinterher... aber Egal, das ist hier nicht das Thema!So hängt das zusammen. Ich habe hier einen EWE Anschluss und einen Vodafoneanschluss beide müssen von der TK sperat angesprochen werden können.
jo...Oder anders gesagt bei Sipgate oder Fonial wäre es egal, diese erlauben nomadische Anbieterfremde Anschlüsse, da sie reine IP Telefonanbieter sind.
ach was ich glaube, hättest du gleich deine frage Richtig gestellt, mit allen zip und zap wären wie jetzt schon Fertig.
eine kleines bild mit deinem netzwerk und deren gerätschaften, hätte gleich klarheit geschaft!
deien TK sollte besser auf Lan2 eine anderes Netzwerk nutzen, ich werfe mal 10.10.200.0 /24 in den Raum!
also Lan2 in der TK 10.10.200.254 mit dem Gateway 10.10.200.254, also dein zweiter Router!
das Lan1 netz bleibt so wie ist es, und alles wird wohl gut.
dir als Netzwerker sollte klar sein, warum das mit 192.168.120.16 nix werden kann, wo sollen den die RTP ports hin? zurück zur pfsense, oder zum zweiten Router?
natürlich wäre es auch möglich alles an die pfsense zu hängen, also WAN1 und Wan2, und die entsprechenden ip adressen / dienste oder netze die gewüntschten WANs weiterzuleiten, da braucht es in der regel keinen Router Park für.
Frank
moin...
das 192.168.120.0 /24 bleibt hinter der pfSense... und wurd nicht mit LAN2 der Agfeo TK verbunden!
Frank
Komme gerade mit deinem Lösungsvorschlag nicht weiter.
was genau verstehst du daran den nicht?deine TK sollte besser auf Lan2 eine anderes Netzwerk nutzen, ich werfe mal 10.10.200.0 /24 in den Raum!
ist doch wohl klar, oder?das 192.168.120.0 /24 bleibt hinter der pfSense... und wurd nicht mit LAN2 der Agfeo TK verbunden!
Frank
Zitat von @Decker2022:
Also nochmal zum nachvollziehen.
Ich habe 2 x WAN (192.168.1.1 & 192.168.2.1) an der PFSense hängen deren Ports für WAN Konfiguriert sind.
diese Info kommt mal wieder echt Früh...... wo kommen die Netze plözlich her?Also nochmal zum nachvollziehen.
Ich habe 2 x WAN (192.168.1.1 & 192.168.2.1) an der PFSense hängen deren Ports für WAN Konfiguriert sind.
müssen wir dir wirklich alles aus der nase ziehen? ok, was hast du noch für geräte im Netzwerk?
du baust da eine Router Kaskade... warum?
Des Weiteren ist LAN1 DHCP 192.168.100.0/24 und LAN2 192.168.120.0/24
Die TK hängt Ihrerseits an. mit LAN1 auf dem 100er und mit LAN2 auf dem 120er
Hinter der pfsense (also ich habe ja opensense) heist für mich im übersetzen sinne NACH der Firewall. Das ist ja der Fall und LAN2 ist mit der PFSense verbunden.
Also ich muss schwer von Begriff sein. Sorry also ich komm da echt nicht weiter. Was soll ich ändern ?! Und warum ?!
weil das 120er netz doch durch deine opnsense ins 100er Netz geroutet wird!Also ich muss schwer von Begriff sein. Sorry also ich komm da echt nicht weiter. Was soll ich ändern ?! Und warum ?!
Bitte, und ich Bitte dich jetzt zum letzten mal, zeichne uns Bitte ein Plan von deinem Netzwerk!
mit allen Geräten und IP Adressen! so wie es auch aufgebaut ist!
wie sollen wir dir helfen, wenn wir nicht alle gegebenheiten kennen, und deswegen vorschläge machen, die nix bringen, weil es nicht zu denem Netz passt!
Frank
du brauchst doch eigentlich nur Lan1 in der Agfeo, mit dem gateway des 192.168.100.0/24 also der IP der pfsense!
So hätte es auch jeder normale Netzwerker gemacht. Klassisches Voice VLAN...Warum der TO die VoIP Anlage mit 2 Interfaces anbindet ist eigentlich überflüssig und auch kontraproduktiv und versteht man nicht wirklich. Oder...der TO hat die Grundlagen von IP Routing nicht verstanden. 🤔
Moin...
das kann es doch auch, wo ist das Problem?
Frank
Zitat von @Decker2022:
Sorry, DMZ war auch Quatsch. Meine ich habe natürlich Exposed Host auf die Firewall gesetzt in beiden Firtzboxen.
@Frank
Warum denn nicht, man ist hier doch nicht nur um zu wissen, sonst bräuchte es das Forum nicht.
Dennoch komm ich nicht ganz mit.
Ich habe ja nun mittlerweile genaustens mitgeteilt was änderbar ist und was nicht.
richtig.... wir aber auch!Sorry, DMZ war auch Quatsch. Meine ich habe natürlich Exposed Host auf die Firewall gesetzt in beiden Firtzboxen.
@Frank
Warum denn nicht, man ist hier doch nicht nur um zu wissen, sonst bräuchte es das Forum nicht.
Dennoch komm ich nicht ganz mit.
Ich habe ja nun mittlerweile genaustens mitgeteilt was änderbar ist und was nicht.
Es ist nun mal so, dass das IP Telefon da bleibt wo es ist, also im 120er Netz. Geht einfach nicht anders
derzeit. Verkabelung gibt es nicht anders her. Ich will, außer dem Telefon, niemanden in meinem 100er Netz haben.das kann es doch auch, wo ist das Problem?
Dazu kommt, dass die Sipaccounts von 2 Anbietern sind. Es muss gewährleistet sein dass diese sich passend über die richtigen Gateway anmelden, schneide ich hier bei dem Vorschlag von @Vision2015 irgendetwas nicht mit ?
die Telefonanlage entscheidet doch welches gateway genutzt wird....Gibt es keine Möglichkeit dafür zu sorgen, dass RTP Ports die aus dem 120er Netz angefordert werden nicht wieder dahin zurück kommen ?
doch, ist ganz einfach, schalte lan2 an der TK ab!Und wenn nein wie soll man es denn nun genau lösen ?
lan2..... abschalten an der TKWenn ich den Port 2 abschalte, wie soll ich noch über den 2ten Anschluss (EWE Gateway) telefonieren ?
na über die Telefonalage!Ich scheine wohl hier keinen Durchblick zu bekommen. Vieleicht könnt ihr mal einen Level herunterschallten.
also weniger als Bilder zeichnen kann ich auch nicht!Denn ich scheine entweder nicht viel zu wissen oder wir sprechen eine andere Sprache. Vieleicht könnt ihr es in lowlevel Format mal rüberbringen oder unklarheiten eurerseit gezielt erfragen. Danke
warum probierst du nicht mal was wir dir schreiben?Frank
Lass den 2ten Anschluss ungenutzt oder konfiguriere ihn als LACP LAG. Wozu muss denn an einer VoIP Anlage ein 2ter Anschluss angeschlossen werden? Unüblich und macht niemand. Was sollte auch der tiefere Sinn von sowas in einem gerouteten Netzwerk sein? Vermutlich liegt hier dein genereller Denkfehler?!
Moin,
Prima!
ich habe mir mal die mühe gemacht, die Anleitung deiner Anlage zu lesen!
Auszug aus der Anleitung deiner Agfeo!
Bitte beachten Sie bei Nutzung eines LAN-Moduls folgende, wichtige Hinweise:
- An einem LAN-Modul ist nur ein SIP-Trunk möglich.
- Nutzen Sie einen SIP-Trunk am LAN-Modul muß dieser zwingend an erster Stelle der SIP-
Tabelle konfiguriert werden.
- Nutzen Sie einen SIP-Trunk am LAN-Modul, so ist die Konfiguration und Nutzung zusätzlicher
externer SIP-Konten auf diesem Modul NICHT MÖGLICH.
- Weitere externe SIP-Konten können genutzt werden, wenn ein weiteres LAN-Modul eingesetzt
wird.
- Der SIP-Trunk kann nur mit einem zusammenhängenden Rufnummernbereich konfiguriert
werden.
- Am LAN-Modul werden SIP-Trunks nur mit Registrierung unterstützt, der "Static Mode" ist
nicht möglich!
- Zur Nutzung von SIP-Trunk over TCP am LAN-Modul müssen in den Firewall-Einstellungen des
Routers die UDP-Ports 5004-5019 fest auf die IP-Adresse des LAN-Moduls geroutet werden
VERWENDETE PORTS:
SIP Registration über UDP (Standard-Verfahren), verwendete UDP-Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
fester Port 5060 für alle 10
möglichen Accounts
Pool mit Startport 5064, je Account 2 Ports
Daraus folgt:
Ein Account verwendet Port 5064 und 5065.
Alle 32 möglichen Accounts verwenden die
Ports 5064 bis 5127.
SIP Registration über TCP (Optional), verwendete TCP Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
zufällige Quellports
zufällige Quellports
Sprachübertragung (RTP), verwendete UDP Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
5004-5019
ES 5xx mit 5 IP-Kanälen: 5004-5013
ES 54X mit 6 IP-Kanälen:5004-5015
ES 54X mit12 IP-Kanälen:5004-5027
ES 6xx und 7xx mit 10 IP-Kanälen: 5004-5023
ES 6xx und 7xx mit 16 IP-Kanälen: 5004-5035
ES 7XX mit 32 IP-Kanälen: 5004-5067
ES 7XX mit 48 IP-Kanälen: 5004-509
wenn dir das alles zu schwer ist, mach es so:
dein zweiter DSL Router mit 192.168.2.1 wird mit der TK LAN2 Verbunden! Lan2 in der TK bekommt die Adresse 192.168.2.2 mit dem Gateway 192.168.2.1!
Die DSL Fritte kommt nicht mehr an deine Firewall! und macht nur noch Internet für den 2ten Provider!
deine opnSense hat Lan1 =192.168.100.0/ 24 und Lan2 = 192.168.120.0 /24!
Telefone im Lan2. also 192.168.120.0/24 routen über 192.168.100.0/24!
dazu erstellst du eine Firewall regel, die das Erlaubt! am besten erst einma mit Scheunentorregeln!
später kannst du dicht machen.
so kommt keiner von 192.168.100.0/ 24 in dein 120er Netz usw...
Frank
Prima!
Und dann ?
wie und dann?!?!In der TK muss ich für den 2ten Anschluss eine Gateway manuell eintragen, welche soll das sein ?
eigentlich keins....Denn, wenn ich alles über LAN1 betreibe, woher soll die Opensense wissen wohin ?
na, indem du sagst, der Port bereich geht da, und der Port bereich geht eben nur dahin!Ich muss doch zur Gateway 192.168.2.1 geleitet werden mit dem Account.
jo....Aber im 100er wird doch in der Defaulteinstellung über die andere Gateway 192.168.1.1 geführt
jo... ist ja auch richtig!ich habe mir mal die mühe gemacht, die Anleitung deiner Anlage zu lesen!
Auszug aus der Anleitung deiner Agfeo!
Bitte beachten Sie bei Nutzung eines LAN-Moduls folgende, wichtige Hinweise:
- An einem LAN-Modul ist nur ein SIP-Trunk möglich.
- Nutzen Sie einen SIP-Trunk am LAN-Modul muß dieser zwingend an erster Stelle der SIP-
Tabelle konfiguriert werden.
- Nutzen Sie einen SIP-Trunk am LAN-Modul, so ist die Konfiguration und Nutzung zusätzlicher
externer SIP-Konten auf diesem Modul NICHT MÖGLICH.
- Weitere externe SIP-Konten können genutzt werden, wenn ein weiteres LAN-Modul eingesetzt
wird.
- Der SIP-Trunk kann nur mit einem zusammenhängenden Rufnummernbereich konfiguriert
werden.
- Am LAN-Modul werden SIP-Trunks nur mit Registrierung unterstützt, der "Static Mode" ist
nicht möglich!
- Zur Nutzung von SIP-Trunk over TCP am LAN-Modul müssen in den Firewall-Einstellungen des
Routers die UDP-Ports 5004-5019 fest auf die IP-Adresse des LAN-Moduls geroutet werden
VERWENDETE PORTS:
SIP Registration über UDP (Standard-Verfahren), verwendete UDP-Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
fester Port 5060 für alle 10
möglichen Accounts
Pool mit Startport 5064, je Account 2 Ports
Daraus folgt:
Ein Account verwendet Port 5064 und 5065.
Alle 32 möglichen Accounts verwenden die
Ports 5064 bis 5127.
SIP Registration über TCP (Optional), verwendete TCP Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
zufällige Quellports
zufällige Quellports
Sprachübertragung (RTP), verwendete UDP Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
5004-5019
ES 5xx mit 5 IP-Kanälen: 5004-5013
ES 54X mit 6 IP-Kanälen:5004-5015
ES 54X mit12 IP-Kanälen:5004-5027
ES 6xx und 7xx mit 10 IP-Kanälen: 5004-5023
ES 6xx und 7xx mit 16 IP-Kanälen: 5004-5035
ES 7XX mit 32 IP-Kanälen: 5004-5067
ES 7XX mit 48 IP-Kanälen: 5004-509
wenn dir das alles zu schwer ist, mach es so:
dein zweiter DSL Router mit 192.168.2.1 wird mit der TK LAN2 Verbunden! Lan2 in der TK bekommt die Adresse 192.168.2.2 mit dem Gateway 192.168.2.1!
Die DSL Fritte kommt nicht mehr an deine Firewall! und macht nur noch Internet für den 2ten Provider!
deine opnSense hat Lan1 =192.168.100.0/ 24 und Lan2 = 192.168.120.0 /24!
Telefone im Lan2. also 192.168.120.0/24 routen über 192.168.100.0/24!
dazu erstellst du eine Firewall regel, die das Erlaubt! am besten erst einma mit Scheunentorregeln!
später kannst du dicht machen.
so kommt keiner von 192.168.100.0/ 24 in dein 120er Netz usw...
Frank
Moin,
OK,
Firewall ist auf, also UDP und TCP?
Frank
OK,
Gateway 192.168.2.1 gibt es nicht mehr.
wo?Lan2 an TK deaktiviert.
OK!Telefon immer noch im 120er Netz
OK!Tefonanlage im 100er Netz.
ok!Anmeldung ok, Sprache 0
hm...Wie sorge ich nun für eine Route zwischen 120er und 100er für das Telefon ?
die Route ist doch da, sonst würde es keine Anmeldung geben an der TK aus dem 120er Netz!Firewall ist auf, also UDP und TCP?
Frank
´Moin...
ok.. also UDP und TCP also.
und natürlich die Firewall regel neu....
hast du geprüft ob es intern geht, also zu Telefonen im 100er netz?
Frank
ok.. also UDP und TCP also.
Das Problem sind die RTP Ports.
klar..Es kommt zwar zur Signalisierung am gerufenen Telefon vom besagten 120er Aperat aus. Aber es kommt am Telefon weder Freizeichen noch Sprache.
Wenn du Mitschnitte haben möchtest reich ich die gerne nach. Wobei im beitrag steht auch so ein Mitschnitt der TK.
zu Lan 2 an der TK
und an der Firewall ist der WAN2 auch deaktiviert.
ich schlage vor, lösche das 120er netz aus der Firewall, und lege es neu an!Wenn du Mitschnitte haben möchtest reich ich die gerne nach. Wobei im beitrag steht auch so ein Mitschnitt der TK.
zu Lan 2 an der TK
und an der Firewall ist der WAN2 auch deaktiviert.
und natürlich die Firewall regel neu....
hast du geprüft ob es intern geht, also zu Telefonen im 100er netz?
Frank
Wie sorge ich nun für eine Route zwischen 120er und 100er für das Telefon ?
Lokale Netze werden immer völlig automatisch auf einem Router geroutet.Die Firewall ist ja nichts anderes als ein Router mit Filterregeln. Wenn du in deinen beiden Segmenten .100 und .120 je einen PC hast können sich diese ja auch immer problemlos erreichen ganz ohne das du da irgendwas einstellst. Die lokalen IP Netze sind dem Router durch die IP Adressierung ja bekannt also weiss er immer auch ohne jegliches Setup wo diese IP Pakete hinmüssen.
Solche simplen Basics solltest du aber als kundiger Netzwerker schon kennen! 🧐
Knackpunkt sind auf einer Firewall immer die Filterregel auf den Interfaces! Hier solltest du fürs erste keine stringenten Regeln setzen sondern erstmal mit jeweils simplen „Scheunentorregeln“ ala
PASS, IP, Source: .100_network, Port: any, Destination: any, Port: any
auf beiden Ports arbeiten. Das elimiert auch erstmal die Problematik mit dynamischen RTP Ports.
Dann nimmst du 2 Softphones auf PCs wie Phoner oder Phoner Lite, registrierst die via SIP an der Anlage und hast optimale Testbedingungen, denn die Logs der Softphones sagen dir genau was los ist.
Wenn du auf einem der PCs (oder beiden) parallel noch einen Wireshark Sniffer laufen lässt und die Voice Session mittracest, dann hast du ideale Troubleshooting Optionen.
Fazit:
Immer strategisch vorgehen und sinnvoll Troubleshooten statt Raten Kristallkugeln. Und... ganz besonders dein Regelwerk an beiden Interfaces prüfen!!
Mal ehrlich...das sagt einem aber doch auch schon der gesunde IT Verstand ganz ohne Forenthreads?!
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
https://www.heise.de/ratgeber/Fehler-erschnueffeln-221587.html
Moin,
das ist ohne Probleme möglich!
Frank
Zitat von @Decker2022:
@aqui
Danke, ja das kann ich natürlich auch noch machen. Wobei Mitschnitte sind sowohl im Telefon als auch in der TK möglich.
Klar, lokale IP'S sind der Firewall bekannt und werden geroutet.
Ich vermute eher, dass die TK nicht in der Lage ist die RTP Pakete richtig weiter zu geben. Man sieht ja ganz deutlich, dass es zu einer Verbindung kommt und was passiert.
Dachte es würde euch reichen um zu ergründen wo man korregieren müsste.
Übrigens ich habe diese Scheunentorregel immer noch aktiv. Du hattest mir schon ein paar mal gesagt dass es am Anfang besser ist um Fehler auszuschließen.
Vielleicht liege ich ja schon im Grundsatz falsch. Ist es überhapt möglich aus einem Lan ins andere Lan auf einer TK wie Agfeo eine Sprechverbindung zu bekommen oder geht das gar nicht ?!
@aqui
Danke, ja das kann ich natürlich auch noch machen. Wobei Mitschnitte sind sowohl im Telefon als auch in der TK möglich.
Klar, lokale IP'S sind der Firewall bekannt und werden geroutet.
Ich vermute eher, dass die TK nicht in der Lage ist die RTP Pakete richtig weiter zu geben. Man sieht ja ganz deutlich, dass es zu einer Verbindung kommt und was passiert.
Dachte es würde euch reichen um zu ergründen wo man korregieren müsste.
Übrigens ich habe diese Scheunentorregel immer noch aktiv. Du hattest mir schon ein paar mal gesagt dass es am Anfang besser ist um Fehler auszuschließen.
Vielleicht liege ich ja schon im Grundsatz falsch. Ist es überhapt möglich aus einem Lan ins andere Lan auf einer TK wie Agfeo eine Sprechverbindung zu bekommen oder geht das gar nicht ?!
das ist ohne Probleme möglich!
Frank
...denn RTP basiert auf UDP (SIP auf TCP und UDP) und geroutet wird bekanntlich einzig und allein auf Basis der Source und Destination Adressen im IP Header (Layer 3). Damit sollte JEDES IP Endgerät und damit natürlich auch deine TK Anlage umgehen können. Das ist das Fundament jeglicher IP Kommunikation.
Die Forwarding Entscheidung wird deshalb einzig und allein auf IP Adressbasis im Layer 3 getroffen, niemals sind dort Anwendunsschichten involviert. Daran muss sich auch deine TK Anlage halten. Anwendungsschichten interessieren Router und Firewalls bei der Forwarding Entscheidung nie.
Wie das Routing grundlegend abläuft erklärt dir, wie immer, dieses Forentutorial. Lesen und verstehen... 😉
Die Forwarding Entscheidung wird deshalb einzig und allein auf IP Adressbasis im Layer 3 getroffen, niemals sind dort Anwendunsschichten involviert. Daran muss sich auch deine TK Anlage halten. Anwendungsschichten interessieren Router und Firewalls bei der Forwarding Entscheidung nie.
Wie das Routing grundlegend abläuft erklärt dir, wie immer, dieses Forentutorial. Lesen und verstehen... 😉
Moin...
RTCP rtcp source description
bis dahin ok...
RTP Control Protocol (RTCP)
aber:
status 500 internal Server Error und Status 401!
warum?
was sagt den eigentlich der log deiner agfeo?
hast du mal das ganze mit einem Softphone geprüft?
das gateway vom Telefon zeigt genau wo hin? ich nehme an 192.168.120.1 bzw. die IP der Nic in der FW? oder?!?
kann es sein, das du deine opnSense so verbummelt ist, das nix mehr klappt?
ich würde schnell mal ein neues Setup erstellen (kannst ja vorher eine Datensicherung machen)
es kann nicht sein, das innerhalb des Routings kein RTP geht.... ich mache sowas fast Täglich!
Frank
Hier mal einige Auschnitte aus dem Mitschnitt den die TK machen kann.
was mich da stört ist:RTCP rtcp source description
bis dahin ok...
RTP Control Protocol (RTCP)
aber:
status 500 internal Server Error und Status 401!
warum?
was sagt den eigentlich der log deiner agfeo?
hast du mal das ganze mit einem Softphone geprüft?
das gateway vom Telefon zeigt genau wo hin? ich nehme an 192.168.120.1 bzw. die IP der Nic in der FW? oder?!?
kann es sein, das du deine opnSense so verbummelt ist, das nix mehr klappt?
ich würde schnell mal ein neues Setup erstellen (kannst ja vorher eine Datensicherung machen)
es kann nicht sein, das innerhalb des Routings kein RTP geht.... ich mache sowas fast Täglich!
Frank