VOIP mit Firewalls und WLAN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
W

Welly92

Neuer User
Mitglied seit
14 Mrz 2010
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Guten Abend in die Runde,



ich konnte mein Setup weitestgehend nach vielen Anleitungen und Feedbacks fertigstellen. Das Problem ist nun noch, dass die Gäste, welche sich im GUEST-WLAN einwählen nicht das Captive Portal angezeigt bekommen und somit auch keine Internetverbindung erhalten. Es wird eine IP-Adresse von der Sophos zugewiesen, aber dennoch bleibt der Client bei "Keine Internetverbindung".



Zur besseren Übersicht habe ich mal versucht eine Zeichnung zu erstellen.



Merkwürdig ist auch das seit dieser Konfiguration meine SIP-Telefone nicht mehr "telefonieren" können. Gerade das macht mich stutzig da bis kurz davor alle Telefone funktioniert haben, gibt es spezielle Konfigs für die Phones wenn auch VLAN im Netz ist? Ein komplettes löschen und neu registrieren hat nicht geholfen,



Möglicherweise hat jemand einen Lösungsansatz für mich
:smiling_face:
SIP und UNIFI.png
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]
 
Zuletzt bearbeitet von einem Moderator:
Laut dem Bild nutzt Du eine Sophos UTM als Router hinter einer FRITZ!Box als Router.

Einen ähnlichen Fall hatten wir in diesem Thread. Der SIP-Registrar in der FRITZ!Box ist ganz schlecht, wenn der über Netz-Grenzen hinweg, – in andere Subnetze – arbeiten soll, siehe Post #2. Der Aufbau sollte idealerweise wie folgt sein: DSL-Modem ↔︎ Firewall/Router/Ad-Blocker ↔︎ FRITZ!Box mit VoIP/SIP im Modus IP-Client ↔︎ restliche Geräte wie IP-Telefon.
Welly92 schrieb:
GUEST-WLAN einwählen nicht das Captive Portal angezeigt bekommen
Zum Vergrößern anklicken....
Versuchst Du den Gastzugang der FRITZ!Box (und deren Captive-Portal) über die Sophos hinweg zu nutzen?
 
sonyKatze schrieb:
Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney
Zum Vergrößern anklicken....
Hallo sonyKatze,

ja dieser "normale" Aufbau: Modem <-> Sophos UTM <-> Switch <-> restliche Geräte wär mir auch am liebsten. Leider habe ich aber das Problem das ich einen Kabel-Internetanschluss besitze und unser Internet- und TV-Signal über ein und dasselbe Kabel ins Haus kommt (Keller). Die Fritzbox (unten) tröselt mir das ganze auf und mein TV-Headend-Server greift sich dieses TV-Signal von der Fritzbox. Wenn ich die Fritzbox nun in den Modem-Modus versetze siehts mit dem TV ganz dunkel aus. (Schon getestet)

Bzgl. Captive Portal: Der UniFi-AP befindet sich im Gebäude 2 und macht sowohl WLAN im internen Netz (192.168.2.x) und das Gäste-WLAN (10.1.10.x).
Internes WLAN funktioniert problemlos, aber das Gastnetz (eigenes VLAN 10, Ports an den Switchen jeweils durchgetagged, bekommt auch eine IP vom Sophos-DHCP -> daher weiß ich das die Verbindung steht, war ohne Tags vorher nicht der Fall). Da sich aber das im UniFi-AP integrierte Captive-Portal nicht öffnet um den Voucher-Code einzugeben bekommen die Clients im 10.1.10.x-Netz auch keine Internetverbindung hergestellt.

Die Fritzbox hat mit dem Captive-Portal und Gastnetz gar nichts am Hut.
 
Zuletzt bearbeitet von einem Moderator:
Nachdem es sich ja um das selbe Thema/Szenario handelt, in welchem Thread willst Du dies nun behandeln?


Hier oder dort

SIEMENS/Unify Open Stage Phones registrieren sich nicht mehr an der FritzBox

Guten Abend, ich habe vor ein paar Tagen mein Netzwerk auf neue Switche umgestellt die ein durchgehendes VLAN ermöglichen. Die Konfig läuft soweit und auch ein Cisco SPA122 und andere an einer weiteren Fritte angeschlossenen Telefone laufen ohne Probleme. Ich habe zwei SIEMENS/Unify OpenStage...
www.ip-phone-forum.de www.ip-phone-forum.de
 
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Lassen wir es einfach hier :)
 
Zuletzt bearbeitet von einem Moderator:
Beim Tvheadend-Server muss ich leider passen. Ich weiß nicht einmal was das ist. Normal kannst Du weiterhin DVB-C über das selbe Kabel schauen. Die Cable-Modem greift sich das Internet. Der Fernseher sein DVB-C. Du brauchst lediglich eine Multimedia-Dose – die splittet das für Dich. Du würdest dann den Cable-Router in den Bridge-Modus versetzen.

Aber egal, denn mein Tipp ist dann eher, dass Du alle IP-Telefone an die interne FRITZ!Box anschließt. Dass die dann mit der äußeren FRITZ!Box telefonieren kann, wundert mich. Aber würde für Dich ja vollkommen ausreichen. Oder ich habe was übersehen?
Welly92 schrieb:
GUEST-WLAN [bekommt] nicht das Captive Portal [der UniFi Management-Console] angezeigt
Zum Vergrößern anklicken....
Ich vermute, Du hast zwei SSID. Welches VLAN hat die zweite SSID im UniFi-Access-Point? Welchen UniFi-Access-Point und welchen Controller (Version) nutzt Du genau?
Welly92 schrieb:
war ohne Tags vorher nicht der Fall
Zum Vergrößern anklicken....
Merkwürdig. Müsste auch ohne irgendwas in den Switchen zu fummeln gehen, wenn diese ab Werk alle VLANs durchlassen. Welche Switche sind das genau (Hersteller, Modell, Hardware-Version, Firmware-Version)? Hast Du zufällig noch dumme Switche rumliegen, so das Du testweise die aktuellen, konfigurierbaren Switche aus dem Spiel nehmen kannst?
 
sonyKatze schrieb:
Beim Tvheadend-Server muss ich leider passen. Ich weiß nicht einmal was das ist. Normal kannst Du weiterhin DVB-C über das selbe Kabel schauen. Die Cable-Modem greift sich das Internet. Der Fernseher sein DVB-C. Du brauchst lediglich eine Multimedia-Dose – die splittet das für Dich. Du würdest dann den Cable-Router in den Bridge-Modus versetzen.

Aber egal, denn mein Tipp ist dann eher, dass Du alle IP-Telefone an die interne FRITZ!Box anschließt. Dass die dann mit der äußeren FRITZ!Box telefonieren kann, wundert mich. Aber würde für Dich ja vollkommen ausreichen. Oder ich habe was übersehen?
Zum Vergrößern anklicken....
Dieser Tipp von dir war goldrichtig und erfolgreich. Das OpenStage kann sich an der fritzbox oben registrieren und telefonieren. Lediglich muss ich es noch hinbekommen das beide Nummern in der oberen Fritzbox ausgewählt werden können. Gestern hat das nur mit einer Rufnummer funktioniert, da die Fritzbox offensichtlich nicht 2x den gleichen Registrar 192.168.178.1 zulässt. Die beiden können miteinander telefonieren da ich in der Firewall eine explizite Route für SIP von 192.168.2.2 auf 192.168.178.1 und umgekehrt gelegt habe. Was mich wundert ist das mein Cisco SPA144 direkt auf die 192.168.178.1 kommt, die OpenStages aber nicht.
sonyKatze schrieb:
Ich vermute, Du hast zwei SSID. Welches VLAN hat die zweite SSID im UniFi-Access-Point? Welchen UniFi-Access-Point und welchen Controller (Version) nutzt Du genau?
Zum Vergrößern anklicken....
Ja es sind zwei SSID´s: Einmal "INTERN" (kein VLAN) und einmal "GUEST" (VLAN 10). Es ist ein UniFi AP AC-LR. Einen Controller habe ich noch nicht, ich nutze die von Ubiquiti bereitgestellte Software welche auf meinem Domaincontroller im 192.168.2.x Netz läuft, aber eigentlich sollte das CaptivePortal doch ohnehin vom AccesPoint selbst bereitgestellt werden? War zumindest meine Meinung. Ich habe mir heute aber noch einen UniFi Cloud Key Gen2 Plus bestellt. Mal schauen ob es damit dann einfacher wird. Ich vermute es steckt auch einfach ein kleines Routing-Problem auf der Firewall mit drin.

sonyKatze schrieb:
Merkwürdig. Müsste auch ohne irgendwas in den Switchen zu fummeln gehen, wenn diese ab Werk alle VLANs durchlassen. Welche Switche sind das genau (Hersteller, Modell, Hardware-Version, Firmware-Version)? Hast Du zufällig noch dumme Switche rumliegen, so das Du testweise die aktuellen, konfigurierbaren Switche aus dem Spiel nehmen kannst?
Zum Vergrößern anklicken....
Im Keller, sowie im Gebäude 2 sind TP-Link TL-SG108E Switche im Einsatz und das "Main-Switch" im 1. OG ist ein TP-Link TL-SG 3424. Firmware kann ich dir leider erst heute Abend sagen. im VLAN1 sind per Default ja eh alle Ports untagged. Hier mal eine grobe Zeichnung für die Belegung der Switche.

Edit: Nach dem grandiosen Tipp von sonyKatze funktioniert nun alles. An der Teil-Lösung meines Problems was die Telefonie betrifft möchte ich euch natürlich gerne teilhaben lassen:

Schritt 1: Einrichten der Telefonnummern auf der unteren fritzbox mit den SIP-Zugangsdaten eures Providers. Das klappt ohne Probleme mit dem Assistenten der Fritte. Dann richtet man zwei Telefonie-Geräte mit separaten Zugangsdaten ein (Rufnummer 1 und Rufnummer 2 einzeln!).

Schritt 2: Wichtig: Solltet ihr wie ich eine Firewall dazwischen haben, unbedingt SIP Port-Freigaben auf UDP 5060 und für die Sprache von Fritzbox1 zu Fritzbox2 erlauben. Danach registriert ihr die fritzbox oben (2) als Telefonie-Gerät für Rufnummer 1 und 2 jeweils separat bei fritzbox (1) unten. Wenn die Fritte sagt es ist alles schick, verfahrt ihr weiter mit der Einrichtung eurer Telefonie-Geräte. Diese sollten unbedingt an der Fritzbox 2 registriert werden, da diese im internen LAN steht. Wichtig war hierbei das die SIEMENS/Unify OpenStage Telefone zwingend als Outbound-Proxy die IP der fritzbox2 oben brauchen, ansonsten erhaltet ihr immer einen Fehler.

Schritt 3: Konfig der Geräte/Phones im internen Netz ganz normal vornehmen und an der Fritzbox 2 registrieren lassen. Achtet darauf wirklcih verschiedene Benutzer/Passwörter für die Geräte zu nutzen. Dann einstellen auf welche Telefonnummer sie "hören" sollen und die abgehende einstellen und es funktioniert :)

Bei FRagen zu ähnlichen Konstellationen gerne hier schreiben oder per PN. Nochmals vielen Dank an sonyKatze für den Denkanstoß :)
 

Anhänge

  • Netz-Schema-1.png
    Netz-Schema-1.png
    794 KB · Aufrufe: 12
Zuletzt bearbeitet:
Welly92 schrieb:
Cisco SPA144 direkt auf die 192.168.178.1 kommt, die OpenStages aber nicht
Zum Vergrößern anklicken....
Kann sein, dass nicht nur eine statische Route sondern auch dass SIP/SDP umgeschrieben werden müsste. Die SPA-Serie ist darauf aufgelegt, auch Blödsinn im SIP/SDP zu sehen, weil die für Netzübergange gebaut sind. OpenStages gehen davon aus, dass alles ordentlich und sauber vom IT-Administrator verwaltet wird. Vielleicht – man müsste es überprüfen – erlaubt hier OpenStage keine unerwartete andere private IP-Adresse. Egal, wenn es jetzt klappt, lassen wir es so. :)
Welly92 schrieb:
ich nutze die von Ubiquiti bereitgestellte Software welche auf meinem Domaincontroller im 192.168.2.x Netz läuft
Zum Vergrößern anklicken....
Das meinte ich mit Controller, das ist lediglich keine Hardware-Appliance sondern ein reiner Software-Controller. Welche Version hast Du am Laufen. Ich frage, weil UniFi viele verschiedene Software-Stränge (Branches) erlaubt und Betas auch noch hat und so weiter.
Welly92 schrieb:
eigentlich sollte das CaptivePortal doch ohnehin vom AccesPoint selbst bereitgestellt werden?
Zum Vergrößern anklicken....
Genau das will ich hier mal nachbauen und testen. Meine nämlich, dass der Controller das macht. Der nächste Schritt wäre der DNS-Server, ob der richtig im Gast-WLAN sitzt.
Welly92 schrieb:
im VLAN1 sind per Default ja eh alle Ports untagged.
Zum Vergrößern anklicken....
Jein. Ich meinte, dass Du diese ganze Zwischen-Taggerei einfach mal lässt. Der UniFi taggt sein Gast-WLAN mit 10. Die Firewall taggt das Gast-WLAN mit 10. Wenn die Switche dazwischen keine Filter haben, müssten diese VLAN10-Pakete einfach so ihren Weg finden. So könntest Du die Switche als Konfigurationsbaustelle ausschließen. Ist unwahrscheinlich, weil bereits DHCP klappt, aber irgendwie müssen wir das Netz vereinfachen.
 
sonyKatze schrieb:
Kann sein, dass nicht nur eine statische Route sondern auch dass SIP/SDP umgeschrieben werden müsste. Die SPA-Serie ist darauf aufgelegt, auch Blödsinn im SIP/SDP zu sehen, weil die für Netzübergange gebaut sind. OpenStages gehen davon aus, dass alles ordentlich und sauber vom IT-Administrator verwaltet wird. Vielleicht – man müsste es überprüfen – erlaubt hier OpenStage keine unerwartete andere private IP-Adresse. Egal, wenn es jetzt klappt, lassen wir es so. :)
Zum Vergrößern anklicken....
Das denke ich auch und durch deine Denkanstöße läuft das jetzt auch super. Nochmals vielen Dank dafür :)
sonyKatze schrieb:
Das meinte ich mit Controller, das ist lediglich keine Hardware-Appliance sondern ein reiner Software-Controller. Welche Version hast Du am Laufen. Ich frage, weil UniFi viele verschiedene Software-Stränge (Branches) erlaubt und Betas auch noch hat und so weiter.
Zum Vergrößern anklicken....
Auf dem DC läuft die aktuellste Software-Version des Controller "UniFi Network application 7.4.156"

sonyKatze schrieb:
Genau das will ich hier mal nachbauen und testen. Meine nämlich, dass der Controller das macht. Der nächste Schritt wäre der DNS-Server, ob der richtig im Gast-WLAN sitzt.
Zum Vergrößern anklicken....
Darin könnte auch noch der Hund begraben sein... da bin ich mir gerade ziemlich unsicher

sonyKatze schrieb:
Jein. Ich meinte, dass Du diese ganze Zwischen-Taggerei einfach mal lässt. Der UniFi taggt sein Gast-WLAN mit 10. Die Firewall taggt das Gast-WLAN mit 10. Wenn die Switche dazwischen keine Filter haben, müssten diese VLAN10-Pakete einfach so ihren Weg finden. So könntest Du die Switche als Konfigurationsbaustelle ausschließen. Ist unwahrscheinlich, weil bereits DHCP klappt, aber irgendwie müssen wir das Netz vereinfachen.
Zum Vergrößern anklicken....
Das kann ich morgen mal testen, aber als alles noch "untagged" war (ich hatte davor an keinem Switch irgendwas konfiguriert da ich nur das interne Netz brauchte), hat der AP im/für das Gastnetz ganz seltsame IP-Adressen vergeben bzw. erhalten. Nachdem die nötigen Ports auf der Route an den jeweiligen Switches getagged waren hat die DHCP-Vergabe der Sophos aus dem von mir eingestelltem Bereich gegriffen. Nur eben der Zugriff aufs CaptivePortal bzw. Internet kommt nicht. Hier ist grade noch Rudi Ratlos am Werk :D

Edit 02.06.2023 19:39 Uhr: Ich habe zwei Firewall Regeln hinzugefügt sowie eine Maskierungsregel in der Sophos (siehe Bild). Jetzt ist das Problem das die "Gäste" ins Internet kommen aber nicht durch das Captive-Portal von UniFi durch EIngabe eines Voucher-Codes "gebremst" werden. Vielleicht schreibe ich dazu auch nochmal ins Sophos-Forum denn ich denke das Problem liegt hier nur bei der korrekten Einstellung der Sophos UTM.
 

Anhänge

  • FW1.PNG
    FW1.PNG
    27 KB · Aufrufe: 0
  • FW2.PNG
    FW2.PNG
    8.1 KB · Aufrufe: 0
Zuletzt bearbeitet:
Welly92 schrieb:
aber als alles noch "untagged" war
Zum Vergrößern anklicken....
Dann arbeiten diese konfigurierbaren Switche nicht als dumme Switche ab Werk. Daher die mal irgendwie aus dem Spiel nehmen, entweder direkt verbinden oder im Bekanntenkreis dumme Switche probeweise ausleihen. Firewall und Ubiquiti zusammen zu bringen ist schon schwer genug. Also klein anfangen.
Welly92 schrieb:
seltsame IP-Adressen vergeben
Zum Vergrößern anklicken....
So etwas kontrolliert man, z.B. indem man einen WLAN-Client mit laufenden Wireshark anschließt. Bzw. jeden Switch kontrolliert. Bzw. Port-Mirroring arbeitet. Du musst bedenken, dass die graphischen Web-Oberflächen solcher Switche und Firewalls lediglich einen Anhaltspunkt geben, was eingestellt sein könnte. Weil die Teile oft richtig schlecht vom Hersteller getestet sind bzw. auch Missverständnisse vorliegen können, muss man jede Konfigurations(änderung) auch tatsächlich auf Netz-Ebene testen, also reinschauen und nicht nur schauen, ob es geht bzw. nicht geht.
 
sonyKatze schrieb:
Dann arbeiten diese konfigurierbaren Switche nicht als dumme Switche ab Werk. Daher die mal irgendwie aus dem Spiel nehmen, entweder direkt verbinden oder im Bekanntenkreis dumme Switche probeweise ausleihen. Firewall und Ubiquiti zusammen zu bringen ist schon schwer genug. Also klein anfangen.
Zum Vergrößern anklicken....
Guten Morgen,
Ich habe es gestern einmal mit „dummen“ Switchen getestet und mit den bestehenden ohne VLAN. Bei beiden das selbe Ergebnis das der Client im Gastnetz keine IP von der Sophos bekommt. Das Tagging an den Switches scheint also in meiner Konstellation unumgänglich zu sein ‍♂️

Update 04.06.2023: Es läuft nun alles wie am Schnürchen. Manchmal hilft es lookie lookie in den Live-Log der Firewall zu machen. Die Konfig der Switche mit VLAN-Tag ist unumgänglich in meiner Konfig. Natürlich muss noch der Zugriff vom Gastnetz auf den UniFi-Controller für den Port 8880 gewährt werden damit dieser sagen kann: "Der Voucher ist gültig und bekommst die Verbindung freigeschalten".

Sollte jemand das gleiche Problem haben, immer her mit den Fragen :cool:
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 725 (Mitglieder: 23, Gäste: 702)

Neueste Beiträge

Statistik des Forums

Themen
244,880
Beiträge
2,220,039
Mitglieder
371,605
Neuestes Mitglied
michaelwarwel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück