decker2022
Goto Top

VOIP Telefon im anderem LAN als die TK OPNsense

Hallo Leute

Frage
Ich habe 2 Netzwerke
das 192.168.120.0 und das 192.168.100.0

im 120er ist das Sip Endgerät 192.168.120.203
und im 100er ist die TK mit 192.168.100.16 wo das Endgerät sich anmelden kann.

Die Kommunikation von einem zum anderen Netz ist gewährleistet.
Man sieht auch, das die TK die Anmeldung bekommt im Wireshark Mitschnitt. Allerdings ist es wohl so, so wurde mir von Agfeo gesagt (Pure IP 20), dass die TK eine Anfrage von 192.168.120.203 erhält aber nicht weiß wohin es zurück soll.

Nun habe ich was von NAT und Umschreiben gehört.
Kann mir dazu jemand was sagen ?

Content-Key: 8048828491

Url: https://administrator.de/contentid/8048828491

Printed on: July 18, 2024 at 16:07 o'clock

Member: Vision2015
Vision2015 Aug 04, 2023 at 15:42:55 (UTC)
Goto Top
Moin...

jo.... unter /NAT/ Outbound auf Hybrid NAT stellen, und regel an erster stelle setzen!

dann sollte es klappen!

Frank
tk
tk1
Member: Decker2022
Decker2022 Aug 04, 2023 at 16:24:24 (UTC)
Goto Top
@Vision2015
Nun komm ich ins straucheln
Aber die Übersetzung muss doch unter lan(120) zu lan (100) und umgekehrt erfolgen
In deinem Beispiel steht ja WAN adress
Dachte so wäre es richtiger oder verstehe ich was falsch ?

Wie dem auch sei, beides ging nicht.
bildschirmfoto 2023-08-04 um 18.23.26
Member: Vision2015
Vision2015 Aug 04, 2023 at 16:36:00 (UTC)
Goto Top
Moin...
Zitat von @Decker2022:

@Vision2015
Nun komm ich ins straucheln
Aber die Übersetzung muss doch unter lan(120) zu lan (100) und umgekehrt erfolgen
In deinem Beispiel steht ja WAN adress
äh ja... sorry, falsch gelesen... ich war der meineung die RTPs gehen nicht raus.
Dachte so wäre es richtiger oder verstehe ich was falsch ?

Wie dem auch sei, beides ging nicht.
bildschirmfoto 2023-08-04 um 18.23.26

äh... wie so hast du NAT zwischen deinen Netzen, wo ist da der sinn?
wie hast du die netze eingerichtet- zum test mal eine Firewall Rule mit Any angelegt?
Frank
Member: Decker2022
Decker2022 Aug 04, 2023 at 16:41:08 (UTC)
Goto Top
Also meine TK ist im 192.168.100.0 Netz
Das Telefon ist im 192.168.120.0 Netz

Nun passiert folgendes, das telefon 192.168.120.203 sagt Hallo TK 192.168.100.16
TK sagt Hallo Telefon 192.168.120.203 du kannst und gibt die Meldung ins 100er Netz, so dass das Telefon nicht angemeldet wird.
Ich muss also dafür sorgen, dass wenn die TK sagt in Ordnung 192.168.120.203 ins richtige Netz kommt um das Telefon zu finden.
Es muss also irgendeine Übersetzung ins 120er Netz erfolgen.
Ich weiß ja nicht einmal ob man das überhaupt beeinflussen kann.
Member: Tezzla
Tezzla Aug 04, 2023 updated at 16:49:15 (UTC)
Goto Top
Sind bei deiner TK Gateway und Subnetz richtig eingetragen?

VG
Member: Vision2015
Vision2015 Aug 04, 2023 at 18:05:57 (UTC)
Goto Top
moin...

wie hast du die netze in der pfsense angelegt?
firewall regeln?

Frank
Member: aqui
aqui Aug 04, 2023 updated at 18:30:38 (UTC)
Goto Top
eine Anfrage von 192.168.120.203 erhält aber nicht weiß wohin es zurück soll.
Dann hast du wohl dummerweise vergessen der TK Anlage ein Default Gateway und zwar die IP der lokalen pfSense zu konfigurieren?!

NAT ist doch völliger Unsinn, wenn du zwischen 2 lokalen IP Segmenten ganz normal routest. Wenn du testweise 2 „Scheunentorregeln“ an den beiden Netzwerkinterfaces definiert hast wird doch alles ganz stinknormal geroutet und zwar ganz ohne NAT Frickelei.
Fazit: Setze ein korrektes Gateway in der VoIP Anlagen, checke dein Regelwerk und gut iss.
VoIP funktioniert bekanntlich natürlich problemlos auch über geroutete Netze ohne jegliche Einschränkung.
Member: Decker2022
Decker2022 Aug 05, 2023 at 04:44:25 (UTC)
Goto Top
@aqui
Natürlich nicht, das sind Basics.
Die Anlage hat 2 Gateways. Das liegt an Ihren 2 LAN Schnittstellen, wobei eine nur als Telefoniegateway für dem 2ten Anbieter fungiert.
Das 1te Gateway erlaub anmeldung der Sip Geräte und der TK Software sowie tapi etc. sowie gateway für den ersten Anschluss.

Das geht ja auch alles so weit, seit Jahren, auch jetzt wo die sense mit zwischen ist. Auch der Zugriff unter den Geräten der beiden netzwerke geht.
Das ist es nicht.
Member: Decker2022
Decker2022 Aug 05, 2023 at 04:49:00 (UTC)
Goto Top
@Tezzla
Ja
@Vision2015
@aqui
ich hatte die Scheunentorregel drin.
Damit konnte ich, wie schon erzählte eigentlich alles innerhalb dieser Netze machen
Wie gesagt, die Anfrage kommt in der TK ja an, so sieht es im Wireshark aus
bildschirmfoto 2023-08-05 um 06.47.26
Member: Decker2022
Solution Decker2022 Aug 05, 2023 at 05:16:46 (UTC)
Goto Top
Kommando zurück

Ich bitte vielmals um Entschuldigung.
Habe noch ein anderes Sip Telefon gefunden, dieses registriert sich im 100er Netz vom 120er netz.
Nun muss ich doch wohl beim Telefon suchen.
Member: aqui
aqui Aug 05, 2023 at 09:37:47 (UTC)
Goto Top
die Anfrage kommt in der TK ja an, so sieht es im Wireshark aus
Das kann man am o.a. Trace ja leider nicht sehen weil du dort den IP Header (L3 Header) abgeschnitten hast. face-sad
Member: Decker2022
Decker2022 Aug 05, 2023 at 10:04:23 (UTC)
Goto Top
@aqui
Hallo
Ich habe das Thema geschlossen, ich war erfolgreich mit einem andere IP Telefon.
Zwar war dieses im Ursprung funktionsfähig korregiert aber warum auch immer musste ich es komplett reseten und neu einrichten.
Nun geht alles, so wie du sagtes. Es wird anständig geroutet und Telefon ist verbunden.
Member: aqui
aqui Aug 05, 2023 updated at 10:07:46 (UTC)
Goto Top
Sollte auch lediglich nur eine Info für dich sein das es an dem geposteten Trace NICHT sichtbar ist! 😉
Member: Decker2022
Decker2022 Aug 05, 2023 at 10:17:51 (UTC)
Goto Top
@aqui
Kein Problem, danke dir dafür.
So, ich habe mich zu früh gefreut, nun habe ich das eigentliche Problem bemerkt und ich erinnere mich dran, dass ich diesbezüglich mal Kontakt zum Anlagenhersteller hatte.

Und zwar gestaltet sich das so, das SIP Telefon aus dem Netz 120.0 ist angemelet an der TK im Netz 100.0
Nun kommt das große Aber, die Sprache und Signalisierung sind gestört. Wie ich mich erinnerte sind dafür die RTP Ports zuständig. Die Tk hat zwar die Anmeldung akzeptiert aber er weß nicht wohin mit der Sprache und umgekehrt.
Gibt es dafür überhaupt eine Lösung oder muss ich das Telefon doch ins 100er Netz bringen
Member: Vision2015
Vision2015 Aug 05, 2023 at 10:37:48 (UTC)
Goto Top
Zitat von @Decker2022:

@aqui
Kein Problem, danke dir dafür.
So, ich habe mich zu früh gefreut, nun habe ich das eigentliche Problem bemerkt und ich erinnere mich dran, dass ich diesbezüglich mal Kontakt zum Anlagenhersteller hatte.

Und zwar gestaltet sich das so, das SIP Telefon aus dem Netz 120.0 ist angemelet an der TK im Netz 100.0
Nun kommt das große Aber, die Sprache und Signalisierung sind gestört. Wie ich mich erinnerte sind dafür die RTP Ports zuständig. Die Tk hat zwar die Anmeldung akzeptiert aber er weß nicht wohin mit der Sprache und umgekehrt.
Gibt es dafür überhaupt eine Lösung oder muss ich das Telefon doch ins 100er Netz bringen.
das sollte eigentlich kein problem sein... oder machst du aus irgendwelchen gründen doch NAT?
hast du die noch die any regel in der firewall?
ist das 120er Netzt ein VLAN, oder wie wurde das angelegt?

Frank
Member: Vision2015
Vision2015 Aug 05, 2023 at 10:43:20 (UTC)
Goto Top
Moin....
Nachtrag:
Und zwar gestaltet sich das so, das SIP Telefon aus dem Netz 120.0 ist angemelet an der TK im Netz 100.0
Nun kommt das große Aber, die Sprache und Signalisierung sind gestört. Wie ich mich erinnerte sind dafür die RTP Ports zuständig.
klappt es den Intern, also kannst du mit einem anderem Internen Teilnehmer Sprechen?

Frank
Member: Decker2022
Decker2022 Aug 05, 2023 updated at 10:49:40 (UTC)
Goto Top
Nein, der Sprachkanal kommt nicht. Auch das Telefon klingelt nicht wenn man es intern oder extern anruft.
Auch kein Freiton bei WAHL eine Nr vom besagten Telefon
Umgekehrt vom besagten Telefon nach hier klingelt aber.
Member: Vision2015
Vision2015 Aug 05, 2023 at 10:51:43 (UTC)
Goto Top
Moin...
deswegen frage ich noch einmal....

machst du aus irgendwelchen gründen doch NAT?
hast du die noch die any regel in der firewall?
ist das 120er Netzt ein VLAN, oder wie wurde das angelegt?
bitte zeige uns mal deine Port und Firewall config!
Frank
Member: Decker2022
Decker2022 Aug 05, 2023 at 11:02:29 (UTC)
Goto Top
Nein, ich habe die Scheunentorregel deaktviert und arbeite mit mehr Einschränkungen.
Also grundsätzlich geht die Telefonie innerhalb des selben Netzwerkes.
Also ein Sip Telefon funktioniert dann in alle Richtungen. Sobald es jedoch auf einem anderen Netz kommt registriert es sich zwar aber siganlisiert nicht und man hört nix. Die Leitung steht.
bildschirmfoto 2023-08-05 um 12.55.07
Member: Decker2022
Decker2022 Aug 05, 2023 at 11:34:45 (UTC)
Goto Top
Hier mal nen Mitschnitt. Der Anruf geht vom Telefon raus, wird aufgebaut und man hört nix.
Leider krieg ich nicht alles rein hier. ist mehr als 500 Zeichen.
log
Member: aqui
aqui Aug 05, 2023 updated at 14:43:34 (UTC)
Goto Top
Nein, ich habe die Scheunentorregel deaktviert und arbeite mit...
Das ist erstmal kontraproduktiv. Gehe besser erstmal strategisch vor und etabliere erstmal Scheunentorregeln auf beiden Interfaces.
Bringe dann das Telefon fehlerfrei im gleichen Segment wie die Anlage zum Laufen das es fehlerfrei rennt.
Wenn du es dann in das andere Segemt klemmst, dann sollte es dort ebenso sauber laufen, denn VoIP rennt natürlich auch problemlos in gerouteten Netzen zumindestens solange kein NAT gemacht wird, was bei lokalen Segmenten an der Firewall ja auch niemals der Fall ist.
Erst wenn es rennt ziehe das Regelwerk langsam zu.

Probleme bereiten bei RTP (Sprache) die dynamischen Ports aber wie gesagt einzig nur wenn irgendwo NAT gemacht wird. Niemals in einem sauberen, transparenten Routing Umfeld. Logisch, denn wäre dem so würde Telefonie im Internet nie funktionieren, das ja bekanntlich komplett geroutet ist. face-wink
Bei einem FW Regelwerk sind aber auch diese dynamischen RTP Ports unbedingt zu beachten so das meistens eine Range defiert werden muss dafür.

Kollege @LordGurke hatte hier einen sehr guten Thread zur RTP Thematik gepostet dessen Link ich aber auf die Schnelle nicht finde...
Member: Decker2022
Decker2022 Aug 05, 2023 at 16:21:12 (UTC)
Goto Top
@aqui
Danke für deine Informationen.
Also, was du nicht wissen konntest. Zu Anfang waren lediglich die Scheunentorregeln drin. Da ging es auch nicht.

Ich kann das gerne noch mal durchspielen. Bin mir aber sicher, dass ich das gemacht hatte.
Member: Decker2022
Decker2022 Aug 06, 2023 at 05:03:11 (UTC)
Goto Top
@aqui
Also ich habe es probiert.
Im selben Netzwerk kein Problem.
Nun mit Scheunentorregeln in beiden Netzen geht es nicht
Member: Vision2015
Vision2015 Aug 06, 2023 at 05:10:29 (UTC)
Goto Top
Moin...
Zitat von @Decker2022:

@aqui
Also ich habe es probiert.
Im selben Netzwerk kein Problem.
Nun mit Scheunentorregeln in beiden Netzen geht es nicht
hm.. kann eigentlich nicht sein!
zeige uns mal bitte deine FW Regeln bitte, und die port config.
welches gateway hat deine Telefon anlage, welches gateway hat nutzt das telefon.

Frank
Member: Decker2022
Decker2022 Aug 06, 2023 at 05:32:48 (UTC)
Goto Top
TK 192.168.100.16 hat die 192.168.100.1 als Gateway und DNS hinterlegt.

Das Telefon 192.168.120.222 hat die 192.168.120.1 als Gateway und DNS hinterlegt.

Alle Regeln raus, außer Scheunentor
bildschirmfoto 2023-08-06 um 07.26.14
Bei dem wo das Telefon liegt ist das hier hinterlegt
bildschirmfoto 2023-08-06 um 07.27.18
Diese Ports verwendet die TK
bildschirmfoto 2023-08-06 um 07.28.55
Und das Telefon ist angemeldet
bildschirmfoto 2023-08-06 um 07.29.47

Hier noch das Bild der Netzwerkeinstellungen der Tk
bildschirmfoto 2023-08-06 um 07.30.58
Die LAN1 ist zum einen Gateway für die Sipkonten über einem Anbieter, die LAN 2 über den anderen Anbieter.

An LAN1 melden sich die Telefone und PC's an.
Member: Vision2015
Vision2015 Aug 06, 2023 updated at 09:19:24 (UTC)
Goto Top
Moin...

äh, also das mit der Agfeo und den Netzwerkeinstellungen verstehe ich nicht so ganz....
du brauchst doch eigentlich nur Lan1 in der Agfeo, mit dem gateway des 192.168.100.0/24 also der IP der pfsense! das 192.168.120.0 /24 kommt doch von deiner pfsense, und wird geroutet zum 192.168.100.0......
Lan2 ist in deinem 192.168.120.0 24er Netz, welches keine RTP Ports bekommt- was ich jetzt auch verstehe- das haut so nicht hin! oder hast du da 2 Router im Netz?
bitte zeichne mal dein Netzwerk auf.
und wiso hat die TK keine feste IP, und nutzt DHCP?

Frank
Member: Decker2022
Decker2022 Aug 06, 2023 updated at 09:34:21 (UTC)
Goto Top
Mitschnitt siehe weiter oben
Ja 2 Router (2xWAN)
Ja, DHCP, aber statisch zugewiesen

Also, das ist eine hochmoderne IP Anlage, siehe Agfeo Pure IP 20
Diese hat von Haus aus 2 Lan port
Beispiel; Du hast 2 Anbieter Telekom & Vodafone
Beide haben Ihre Router WAN'S und beide erlauben KEINEN nomadischen Anschluss.
Dann kannst du nicht deinen Sipaccount von Vodafone auf dem vom Telekom verwenden und umgekehrt. Daher gibt es so was.
Dazu kommt, dass die Tk im Standard nur einen LAN nimmt für die internen Anmeldungen + Gateway und den anderen nur als Gateway.
So hängt das zusammen. Ich habe hier einen EWE Anschluss und einen Vodafoneanschluss beide müssen von der TK sperat angesprochen werden können.
Oder anders gesagt bei Sipgate oder Fonial wäre es egal, diese erlauben nomadische Anbieterfremde Anschlüsse, da sie reine IP Telefonanbieter sind.
Member: Vision2015
Vision2015 Aug 06, 2023 at 10:31:52 (UTC)
Goto Top
Moin....
Zitat von @Decker2022:

Mitschnitt siehe weiter oben
Ja 2 Router (2xWAN)
oha... sag das doch gleich!
Ja, DHCP, aber statisch zugewiesen
na dann..

Also, das ist eine hochmoderne IP Anlage, siehe Agfeo Pure IP 20
ja.. ist mir bekannt face-smile
Agfeo, der Liebling aller nicht Netzwerker, also Elekriker etc... face-smile
Diese hat von Haus aus 2 Lan port
ja, das hat sie!
Beispiel; Du hast 2 Anbieter Telekom & Vodafone
Beide haben Ihre Router WAN'S und beide erlauben KEINEN nomadischen Anschluss.
ist auch klar.
Dann kannst du nicht deinen Sipaccount von Vodafone auf dem vom Telekom verwenden und umgekehrt. Daher gibt es so was.
aha... Hexenwerk also face-smile
Dazu kommt, dass die Tk im Standard nur einen LAN nimmt für die internen Anmeldungen + Gateway und den anderen nur als Gateway.
was kaufst du auch so einen Schrott, Agfeo läuft seit Jahren der Technik hinterher... aber Egal, das ist hier nicht das Thema!
So hängt das zusammen. Ich habe hier einen EWE Anschluss und einen Vodafoneanschluss beide müssen von der TK sperat angesprochen werden können.
jo...
Oder anders gesagt bei Sipgate oder Fonial wäre es egal, diese erlauben nomadische Anbieterfremde Anschlüsse, da sie reine IP Telefonanbieter sind.
ach was face-smile

ich glaube, hättest du gleich deine frage Richtig gestellt, mit allen zip und zap wären wie jetzt schon Fertig.
eine kleines bild mit deinem netzwerk und deren gerätschaften, hätte gleich klarheit geschaft!
deien TK sollte besser auf Lan2 eine anderes Netzwerk nutzen, ich werfe mal 10.10.200.0 /24 in den Raum!
also Lan2 in der TK 10.10.200.254 mit dem Gateway 10.10.200.254, also dein zweiter Router!
das Lan1 netz bleibt so wie ist es, und alles wird wohl gut.
dir als Netzwerker sollte klar sein, warum das mit 192.168.120.16 nix werden kann, wo sollen den die RTP ports hin? zurück zur pfsense, oder zum zweiten Router?

natürlich wäre es auch möglich alles an die pfsense zu hängen, also WAN1 und Wan2, und die entsprechenden ip adressen / dienste oder netze die gewüntschten WANs weiterzuleiten, da braucht es in der regel keinen Router Park für.

Frank
Member: Decker2022
Decker2022 Aug 07, 2023 at 05:34:41 (UTC)
Goto Top
@Frank
Ich bin wohl kein richtiger Netzwerker. Ich steig gerade aus.
Also dass für die TK & dem Telefon die RTP Paket das Problem sind, ok, habe ich verstanden.
Komme gerade mit deinem Lösungsvorschlag nicht weiter. Vielleicht kannst du, oder ein Link mir ja mal Licht ins Dunkel bringen.
Danke nochmal und sorry für die mangelnden Infos
Member: Vision2015
Vision2015 Aug 07, 2023 at 10:44:26 (UTC)
Goto Top
moin...
Komme gerade mit deinem Lösungsvorschlag nicht weiter.
was genau verstehst du daran den nicht?
deine TK sollte besser auf Lan2 eine anderes Netzwerk nutzen, ich werfe mal 10.10.200.0 /24 in den Raum!
ist doch wohl klar, oder?
das 192.168.120.0 /24 bleibt hinter der pfSense... und wurd nicht mit LAN2 der Agfeo TK verbunden!

Frank
Member: Decker2022
Decker2022 Aug 07, 2023 at 14:18:44 (UTC)
Goto Top
Also nochmal zum nachvollziehen.
Ich habe 2 x WAN (192.168.1.1 & 192.168.2.1) an der PFSense hängen deren Ports für WAN Konfiguriert sind.

Des Weiteren ist LAN1 DHCP 192.168.100.0/24 und LAN2 192.168.120.0/24

Die TK hängt Ihrerseits an. mit LAN1 auf dem 100er und mit LAN2 auf dem 120er
Hinter der pfsense (also ich habe ja opensense) heist für mich im übersetzen sinne NACH der Firewall. Das ist ja der Fall und LAN2 ist mit der PFSense verbunden.

Also ich muss schwer von Begriff sein. Sorry also ich komm da echt nicht weiter. Was soll ich ändern ?! Und warum ?!
Member: Vision2015
Vision2015 Aug 07, 2023 updated at 16:45:26 (UTC)
Goto Top
Zitat von @Decker2022:

Also nochmal zum nachvollziehen.
Ich habe 2 x WAN (192.168.1.1 & 192.168.2.1) an der PFSense hängen deren Ports für WAN Konfiguriert sind.
diese Info kommt mal wieder echt Früh...... wo kommen die Netze plözlich her?


müssen wir dir wirklich alles aus der nase ziehen? ok, was hast du noch für geräte im Netzwerk?
du baust da eine Router Kaskade... warum?

Des Weiteren ist LAN1 DHCP 192.168.100.0/24 und LAN2 192.168.120.0/24

Die TK hängt Ihrerseits an. mit LAN1 auf dem 100er und mit LAN2 auf dem 120er
die TK muss nicht mit LAN2 im 120er Netzwerk Sein!
Hinter der pfsense (also ich habe ja opensense) heist für mich im übersetzen sinne NACH der Firewall. Das ist ja der Fall und LAN2 ist mit der PFSense verbunden.

Also ich muss schwer von Begriff sein. Sorry also ich komm da echt nicht weiter. Was soll ich ändern ?! Und warum ?!
weil das 120er netz doch durch deine opnsense ins 100er Netz geroutet wird!

Bitte, und ich Bitte dich jetzt zum letzten mal, zeichne uns Bitte ein Plan von deinem Netzwerk!
mit allen Geräten und IP Adressen! so wie es auch aufgebaut ist!
wie sollen wir dir helfen, wenn wir nicht alle gegebenheiten kennen, und deswegen vorschläge machen, die nix bringen, weil es nicht zu denem Netz passt!

Frank
Member: Decker2022
Decker2022 Aug 07, 2023 at 17:11:12 (UTC)
Goto Top
@Frank
Du hast recht
Melde mich ggf morgen mit einer Zeichnung
Member: aqui
aqui Aug 08, 2023 updated at 12:52:04 (UTC)
Goto Top
du brauchst doch eigentlich nur Lan1 in der Agfeo, mit dem gateway des 192.168.100.0/24 also der IP der pfsense!
So hätte es auch jeder normale Netzwerker gemacht. Klassisches Voice VLAN...
Warum der TO die VoIP Anlage mit 2 Interfaces anbindet ist eigentlich überflüssig und auch kontraproduktiv und versteht man nicht wirklich. Oder...der TO hat die Grundlagen von IP Routing nicht verstanden. 🤔
Member: Decker2022
Decker2022 Aug 09, 2023 updated at 05:06:01 (UTC)
Goto Top
@Frank
@aqui
Ich danke euch für alle Informationen. Hier mal der Ist Zustand. Beschriftung vergessen. Das in der Mitte ist die opensense. Diese hat dann im Lan die 192.168.100.1 und die 192.168.120.1
struktur
DHCP Range läuft von 100-200 und die TK und das Telefon ist Static

Bin für Optmierungsvorschläge offen.
Folgende Einschränkung sei gesagt, aufgrund von Verkabelung und Trennung muss das Telefon da bleiben, also getrennt vom anderen Netz
Sorry, habe hier das Progamm yEd für Mac OSX. Mein Zeichenstil ist noch nicht so sauber, ich hoffe ihr könnt da was mit anfangen
Member: Vision2015
Vision2015 Aug 09, 2023 at 10:22:24 (UTC)
Goto Top
Moin...

ein Bild sagt mehr als 1000 Worte!
agfeo

Frank
Member: Vision2015
Vision2015 Aug 10, 2023 at 15:02:36 (UTC)
Goto Top
Moin....
ich bin gespannt wie ein Flitzebogen, ob da noch mal ne Antwort kommt face-smile

Frank
Member: Decker2022
Decker2022 Aug 10, 2023 at 15:53:17 (UTC)
Goto Top
Sorry, DMZ war auch Quatsch. Meine ich habe natürlich Exposed Host auf die Firewall gesetzt in beiden Firtzboxen.
@Frank
Warum denn nicht, man ist hier doch nicht nur um zu wissen, sonst bräuchte es das Forum nicht.

Dennoch komm ich nicht ganz mit.
Ich habe ja nun mittlerweile genaustens mitgeteilt was änderbar ist und was nicht.
Es ist nun mal so, dass das IP Telefon da bleibt wo es ist, also im 120er Netz. Geht einfach nicht anders derzeit. Verkabelung gibt es nicht anders her. Ich will, außer dem Telefon, niemanden in meinem 100er Netz haben.
Dazu kommt, dass die Sipaccounts von 2 Anbietern sind. Es muss gewährleistet sein dass diese sich passend über die richtigen Gateway anmelden, schneide ich hier bei dem Vorschlag von @Vision2015 irgendetwas nicht mit ?
Gibt es keine Möglichkeit dafür zu sorgen, dass RTP Ports die aus dem 120er Netz angefordert werden nicht wieder dahin zurück kommen ?
Und wenn nein wie soll man es denn nun genau lösen ?
Wenn ich den Port 2 abschalte, wie soll ich noch über den 2ten Anschluss (EWE Gateway) telefonieren ?
Ich scheine wohl hier keinen Durchblick zu bekommen. Vieleicht könnt ihr mal einen Level herunterschallten. Denn ich scheine entweder nicht viel zu wissen oder wir sprechen eine andere Sprache. Vieleicht könnt ihr es in lowlevel Format mal rüberbringen oder unklarheiten eurerseit gezielt erfragen. Danke
Member: Vision2015
Vision2015 Aug 10, 2023, updated at Aug 11, 2023 at 04:27:47 (UTC)
Goto Top
Moin...
Zitat von @Decker2022:

Sorry, DMZ war auch Quatsch. Meine ich habe natürlich Exposed Host auf die Firewall gesetzt in beiden Firtzboxen.
@Frank
Warum denn nicht, man ist hier doch nicht nur um zu wissen, sonst bräuchte es das Forum nicht.

Dennoch komm ich nicht ganz mit.
Ich habe ja nun mittlerweile genaustens mitgeteilt was änderbar ist und was nicht.
richtig.... wir aber auch!
Es ist nun mal so, dass das IP Telefon da bleibt wo es ist, also im 120er Netz. Geht einfach nicht anders
derzeit. Verkabelung gibt es nicht anders her. Ich will, außer dem Telefon, niemanden in meinem 100er Netz haben.
das kann es doch auch, wo ist das Problem?
Dazu kommt, dass die Sipaccounts von 2 Anbietern sind. Es muss gewährleistet sein dass diese sich passend über die richtigen Gateway anmelden, schneide ich hier bei dem Vorschlag von @Vision2015 irgendetwas nicht mit ?
die Telefonanlage entscheidet doch welches gateway genutzt wird....
Gibt es keine Möglichkeit dafür zu sorgen, dass RTP Ports die aus dem 120er Netz angefordert werden nicht wieder dahin zurück kommen ?
doch, ist ganz einfach, schalte lan2 an der TK ab!
Und wenn nein wie soll man es denn nun genau lösen ?
lan2..... abschalten an der TK
Wenn ich den Port 2 abschalte, wie soll ich noch über den 2ten Anschluss (EWE Gateway) telefonieren ?
na über die Telefonalage!
Ich scheine wohl hier keinen Durchblick zu bekommen. Vieleicht könnt ihr mal einen Level herunterschallten.
also weniger als Bilder zeichnen kann ich auch nicht!
Denn ich scheine entweder nicht viel zu wissen oder wir sprechen eine andere Sprache. Vieleicht könnt ihr es in lowlevel Format mal rüberbringen oder unklarheiten eurerseit gezielt erfragen. Danke
warum probierst du nicht mal was wir dir schreiben?

Frank
Member: Decker2022
Decker2022 Aug 11, 2023 at 05:36:17 (UTC)
Goto Top
Ok, ich klemm den Port ab.
Und dann ?
In der TK muss ich für den 2ten Anschluss eine Gateway manuell eintragen, welche soll das sein ?
Denn, wenn ich alles über LAN1 betreibe, woher soll die Opensense wissen wohin ?
Ich muss doch zur Gateway 192.168.2.1 geleitet werden mit dem Account.
Aber im 100er wird doch in der Defaulteinstellung über die andere Gateway 192.168.1.1 geführt
Member: aqui
aqui Aug 11, 2023 at 07:57:50 (UTC)
Goto Top
Lass den 2ten Anschluss ungenutzt oder konfiguriere ihn als LACP LAG. Wozu muss denn an einer VoIP Anlage ein 2ter Anschluss angeschlossen werden? Unüblich und macht niemand. Was sollte auch der tiefere Sinn von sowas in einem gerouteten Netzwerk sein? Vermutlich liegt hier dein genereller Denkfehler?!
Member: Vision2015
Vision2015 Aug 11, 2023 at 14:13:02 (UTC)
Goto Top
Moin,
Zitat von @Decker2022:

Ok, ich klemm den Port ab.
Prima!
Und dann ?
wie und dann?!?!
In der TK muss ich für den 2ten Anschluss eine Gateway manuell eintragen, welche soll das sein ?
eigentlich keins....
Denn, wenn ich alles über LAN1 betreibe, woher soll die Opensense wissen wohin ?
na, indem du sagst, der Port bereich geht da, und der Port bereich geht eben nur dahin!
Ich muss doch zur Gateway 192.168.2.1 geleitet werden mit dem Account.
jo....
Aber im 100er wird doch in der Defaulteinstellung über die andere Gateway 192.168.1.1 geführt
jo... ist ja auch richtig!

ich habe mir mal die mühe gemacht, die Anleitung deiner Anlage zu lesen!

Auszug aus der Anleitung deiner Agfeo!

Bitte beachten Sie bei Nutzung eines LAN-Moduls folgende, wichtige Hinweise:
- An einem LAN-Modul ist nur ein SIP-Trunk möglich.
- Nutzen Sie einen SIP-Trunk am LAN-Modul muß dieser zwingend an erster Stelle der SIP-
Tabelle konfiguriert werden.
- Nutzen Sie einen SIP-Trunk am LAN-Modul, so ist die Konfiguration und Nutzung zusätzlicher
externer SIP-Konten auf diesem Modul NICHT MÖGLICH.
- Weitere externe SIP-Konten können genutzt werden, wenn ein weiteres LAN-Modul eingesetzt
wird.
- Der SIP-Trunk kann nur mit einem zusammenhängenden Rufnummernbereich konfiguriert
werden.
- Am LAN-Modul werden SIP-Trunks nur mit Registrierung unterstützt, der "Static Mode" ist
nicht möglich!
- Zur Nutzung von SIP-Trunk over TCP am LAN-Modul müssen in den Firewall-Einstellungen des
Routers die UDP-Ports 5004-5019 fest auf die IP-Adresse des LAN-Moduls geroutet werden

VERWENDETE PORTS:
SIP Registration über UDP (Standard-Verfahren), verwendete UDP-Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
fester Port 5060 für alle 10
möglichen Accounts
Pool mit Startport 5064, je Account 2 Ports
Daraus folgt:
Ein Account verwendet Port 5064 und 5065.
Alle 32 möglichen Accounts verwenden die
Ports 5064 bis 5127.
SIP Registration über TCP (Optional), verwendete TCP Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
zufällige Quellports
zufällige Quellports
Sprachübertragung (RTP), verwendete UDP Ports:
AS Systeme (LAN-Modul 509/510)
ES-Systeme
5004-5019
ES 5xx mit 5 IP-Kanälen: 5004-5013
ES 54X mit 6 IP-Kanälen:5004-5015
ES 54X mit12 IP-Kanälen:5004-5027
ES 6xx und 7xx mit 10 IP-Kanälen: 5004-5023
ES 6xx und 7xx mit 16 IP-Kanälen: 5004-5035
ES 7XX mit 32 IP-Kanälen: 5004-5067
ES 7XX mit 48 IP-Kanälen: 5004-509

wenn dir das alles zu schwer ist, mach es so:
dein zweiter DSL Router mit 192.168.2.1 wird mit der TK LAN2 Verbunden! Lan2 in der TK bekommt die Adresse 192.168.2.2 mit dem Gateway 192.168.2.1!
Die DSL Fritte kommt nicht mehr an deine Firewall! und macht nur noch Internet für den 2ten Provider!
deine opnSense hat Lan1 =192.168.100.0/ 24 und Lan2 = 192.168.120.0 /24!
Telefone im Lan2. also 192.168.120.0/24 routen über 192.168.100.0/24!
dazu erstellst du eine Firewall regel, die das Erlaubt! am besten erst einma mit Scheunentorregeln!
später kannst du dicht machen.
so kommt keiner von 192.168.100.0/ 24 in dein 120er Netz usw...

Frank
Member: Decker2022
Decker2022 Aug 11, 2023 at 14:55:55 (UTC)
Goto Top
Danke erstmal für eure Hilfe.
Member: Decker2022
Decker2022 Aug 12, 2023 at 09:26:31 (UTC)
Goto Top
So ich habe Veränderungen vorgenommen
Gateway 192.168.2.1 gibt es nicht mehr.
Lan2 an TK deaktiviert.
Telefon immer noch im 120er Netz
Tefonanlage im 100er Netz.
Anmeldung ok, Sprache 0
Wie sorge ich nun für eine Route zwischen 120er und 100er für das Telefon ?
Member: Vision2015
Vision2015 Aug 12, 2023 at 09:32:47 (UTC)
Goto Top
Moin,
Zitat von @Decker2022:

So ich habe Veränderungen vorgenommen
OK,
Gateway 192.168.2.1 gibt es nicht mehr.
wo?
Lan2 an TK deaktiviert.
OK!
Telefon immer noch im 120er Netz
OK!
Tefonanlage im 100er Netz.
ok!
Anmeldung ok, Sprache 0
hm...
Wie sorge ich nun für eine Route zwischen 120er und 100er für das Telefon ?
die Route ist doch da, sonst würde es keine Anmeldung geben an der TK aus dem 120er Netz!
Firewall ist auf, also UDP und TCP?

Frank
Member: Decker2022
Decker2022 Aug 12, 2023 at 09:49:57 (UTC)
Goto Top
@Frank
Die Scheunentorregel noch derzeit.
Das Problem sind die RTP Ports.
Es kommt zwar zur Signalisierung am gerufenen Telefon vom besagten 120er Aperat aus. Aber es kommt am Telefon weder Freizeichen noch Sprache.
Wenn du Mitschnitte haben möchtest reich ich die gerne nach. Wobei im beitrag steht auch so ein Mitschnitt der TK.


zu Lan 2 an der TK

und an der Firewall ist der WAN2 auch deaktiviert.
Member: Vision2015
Vision2015 Aug 12, 2023 at 09:56:39 (UTC)
Goto Top
´Moin...
Zitat von @Decker2022:

@Frank
Die Scheunentorregel noch derzeit.
ok.. also UDP und TCP also.
Das Problem sind die RTP Ports.
klar..
Es kommt zwar zur Signalisierung am gerufenen Telefon vom besagten 120er Aperat aus. Aber es kommt am Telefon weder Freizeichen noch Sprache.
Wenn du Mitschnitte haben möchtest reich ich die gerne nach. Wobei im beitrag steht auch so ein Mitschnitt der TK.


zu Lan 2 an der TK

und an der Firewall ist der WAN2 auch deaktiviert.
ich schlage vor, lösche das 120er netz aus der Firewall, und lege es neu an!
und natürlich die Firewall regel neu....
hast du geprüft ob es intern geht, also zu Telefonen im 100er netz?
Frank
Member: Decker2022
Decker2022 Aug 12, 2023 at 10:16:08 (UTC)
Goto Top
Hier mal einige Auschnitte aus dem Mitschnitt den die TK machen kann.
Es wird vom Telefon 192.168.120.222 eine interne Verbindung auf 30 ausgeführt, es klingelt dort, ich nehme ab und man hört nix.

bildschirmfoto 2023-08-12 um 12.12.21
bildschirmfoto 2023-08-12 um 12.12.42
bildschirmfoto 2023-08-12 um 12.13.26
bildschirmfoto 2023-08-12 um 12.13.54
bildschirmfoto 2023-08-12 um 12.12.10
bildschirmfoto 2023-08-12 um 12.12.32
Member: aqui
aqui Aug 12, 2023 updated at 10:20:02 (UTC)
Goto Top
Wie sorge ich nun für eine Route zwischen 120er und 100er für das Telefon ?
Lokale Netze werden immer völlig automatisch auf einem Router geroutet.
Die Firewall ist ja nichts anderes als ein Router mit Filterregeln. Wenn du in deinen beiden Segmenten .100 und .120 je einen PC hast können sich diese ja auch immer problemlos erreichen ganz ohne das du da irgendwas einstellst. Die lokalen IP Netze sind dem Router durch die IP Adressierung ja bekannt also weiss er immer auch ohne jegliches Setup wo diese IP Pakete hinmüssen.
Solche simplen Basics solltest du aber als kundiger Netzwerker schon kennen! 🧐

Knackpunkt sind auf einer Firewall immer die Filterregel auf den Interfaces! Hier solltest du fürs erste keine stringenten Regeln setzen sondern erstmal mit jeweils simplen „Scheunentorregeln“ ala
PASS, IP, Source: .100_network, Port: any, Destination: any, Port: any
auf beiden Ports arbeiten. Das elimiert auch erstmal die Problematik mit dynamischen RTP Ports.
Dann nimmst du 2 Softphones auf PCs wie Phoner oder Phoner Lite, registrierst die via SIP an der Anlage und hast optimale Testbedingungen, denn die Logs der Softphones sagen dir genau was los ist.
Wenn du auf einem der PCs (oder beiden) parallel noch einen Wireshark Sniffer laufen lässt und die Voice Session mittracest, dann hast du ideale Troubleshooting Optionen.
Fazit:
Immer strategisch vorgehen und sinnvoll Troubleshooten statt Raten Kristallkugeln. Und... ganz besonders dein Regelwerk an beiden Interfaces prüfen!!
Mal ehrlich...das sagt einem aber doch auch schon der gesunde IT Verstand ganz ohne Forenthreads?!
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
https://www.heise.de/ratgeber/Fehler-erschnueffeln-221587.html
Member: Decker2022
Decker2022 Aug 12, 2023 at 10:44:50 (UTC)
Goto Top
@aqui
Danke, ja das kann ich natürlich auch noch machen. Wobei Mitschnitte sind sowohl im Telefon als auch in der TK möglich.
Klar, lokale IP'S sind der Firewall bekannt und werden geroutet.
Ich vermute eher, dass die TK nicht in der Lage ist die RTP Pakete richtig weiter zu geben. Man sieht ja ganz deutlich, dass es zu einer Verbindung kommt und was passiert.
Dachte es würde euch reichen um zu ergründen wo man korregieren müsste.
Übrigens ich habe diese Scheunentorregel immer noch aktiv. Du hattest mir schon ein paar mal gesagt dass es am Anfang besser ist um Fehler auszuschließen.

Vielleicht liege ich ja schon im Grundsatz falsch. Ist es überhapt möglich aus einem Lan ins andere Lan auf einer TK wie Agfeo eine Sprechverbindung zu bekommen oder geht das gar nicht ?!
Member: Vision2015
Vision2015 Aug 12, 2023 at 10:51:04 (UTC)
Goto Top
Moin,
Zitat von @Decker2022:

@aqui
Danke, ja das kann ich natürlich auch noch machen. Wobei Mitschnitte sind sowohl im Telefon als auch in der TK möglich.
Klar, lokale IP'S sind der Firewall bekannt und werden geroutet.
Ich vermute eher, dass die TK nicht in der Lage ist die RTP Pakete richtig weiter zu geben. Man sieht ja ganz deutlich, dass es zu einer Verbindung kommt und was passiert.
Dachte es würde euch reichen um zu ergründen wo man korregieren müsste.
Übrigens ich habe diese Scheunentorregel immer noch aktiv. Du hattest mir schon ein paar mal gesagt dass es am Anfang besser ist um Fehler auszuschließen.

Vielleicht liege ich ja schon im Grundsatz falsch. Ist es überhapt möglich aus einem Lan ins andere Lan auf einer TK wie Agfeo eine Sprechverbindung zu bekommen oder geht das gar nicht ?!

das ist ohne Probleme möglich!
Frank
Member: aqui
aqui Aug 12, 2023 updated at 14:35:30 (UTC)
Goto Top
...denn RTP basiert auf UDP (SIP auf TCP und UDP) und geroutet wird bekanntlich einzig und allein auf Basis der Source und Destination Adressen im IP Header (Layer 3). Damit sollte JEDES IP Endgerät und damit natürlich auch deine TK Anlage umgehen können. Das ist das Fundament jeglicher IP Kommunikation.
Die Forwarding Entscheidung wird deshalb einzig und allein auf IP Adressbasis im Layer 3 getroffen, niemals sind dort Anwendunsschichten involviert. Daran muss sich auch deine TK Anlage halten. Anwendungsschichten interessieren Router und Firewalls bei der Forwarding Entscheidung nie.

Wie das Routing grundlegend abläuft erklärt dir, wie immer, dieses Forentutorial. Lesen und verstehen... 😉
Member: Vision2015
Vision2015 Aug 12, 2023 at 15:46:04 (UTC)
Goto Top
Moin...

Hier mal einige Auschnitte aus dem Mitschnitt den die TK machen kann.
was mich da stört ist:
RTCP rtcp source description
bis dahin ok...
RTP Control Protocol (RTCP)
aber:
status 500 internal Server Error und Status 401!
warum?
was sagt den eigentlich der log deiner agfeo?
hast du mal das ganze mit einem Softphone geprüft?
das gateway vom Telefon zeigt genau wo hin? ich nehme an 192.168.120.1 bzw. die IP der Nic in der FW? oder?!?
kann es sein, das du deine opnSense so verbummelt ist, das nix mehr klappt?
ich würde schnell mal ein neues Setup erstellen (kannst ja vorher eine Datensicherung machen)
es kann nicht sein, das innerhalb des Routings kein RTP geht.... ich mache sowas fast Täglich!

Frank
Member: Decker2022
Decker2022 Aug 12, 2023 at 16:09:26 (UTC)
Goto Top
Ich weiß. ich stehe unter Verdacht, aber es ist wirklich nicht viel passiert in der Opensense

Ja das Telefon nimmt die 192.168.120.1 als Gateway. Anmeldung klappt ja auch wunderbar.

Log muss ich mal erstellen.
Werde mich morgen dazu noch dazu melden
Softphone noch nicht probiert.

Ich kann nur sagen, wo das Telefon noch im selben Netz war wie unser Büro ging noch alles.
Member: Decker2022
Decker2022 Aug 13, 2023 at 08:35:40 (UTC)
Goto Top
@aqui
@Frank
Erst einmal herzlichen Dank, dass ihr soviel Geduld mit mir hattet.
Ich habe, wie ihr vorgeschlagen hattet, ersteinmal mit Softphones (zoiper) getestet.
Der Text war für mich überraschend positiv.
Dann hatte ich das Telefon resetet (Fanvil H2U) und nochmals versucht, nun meldete sich das Telefon gar nicht erst an. Dann habe ich ein Downgrade des Telefons eine Etage tiefer durchgeführt auf die Version xxx.12 und siehe da die Anmeldung lief. Und nicht nur das, der Ton war auch da.
Vielen Dank nochmal für euer Bemühen und euer Verständnis