[Gelöst] LAN mit Subnetzen in der be.ip plus konfigurieren

bubblegun

Mitglied
Mitglied seit
26 Mai 2012
Beiträge
608
Punkte für Reaktionen
40
Punkte
28
Liebe Wissende!
Endlich ist es so weit, dass ich mich mit meiner vor drei Monaten erstandenen be.ip plus befassen kann. Firmwareupdate hab ich durchgeführt, bin jetzt auf 10.2 Rev 5. Damit könnte ich dann ans Netz, wenn ich ein wenig mehr Durchblick bei der Konfiguration hätte. Das ist ja doch sehr umfangriech, was da angeboten wird.
Mein (funktionierendes) LAN besteht aus 2 Subnetzen, die über einen VLANfähigen Switch laufen, allerding portbasiert, weil ich mich so intensiv nicht damit beschäftig habe. Es sind da auch noch eine FB um zwischen den Netzen zu routen, und noch ein WLAN-Router, der ein Gästenetz bereitstellt. Ich wollt das ein wenig kompakter haben, nach der Beratung hier hab ich die be.ip plus angeschafft.
Was will ich erreichen:
Von der Telefonie her ist es recht einfach. Meine bestehende Telefonanlage T-Comfort Pro bleibt am bestehenden ISDN-Anlagen-Anschluss. Über die be.ip+ sollen SIP-Konten mit mehreren MSN auf dem S0-Bus weiter in die Comfort Pro geleitet werden, die Verteilung der Anrufe erfolgt in der Comfort Pro. Das sind meine alten Rufnummern aus dem Mehrgeräteanschluss. Es ist ein IP-Telefon direkt an die be.ip+ anzuschließen im Netzwerksegemnt .37.0/24.
Die Bridge der 4 LAN-Anschlüsse muss ich eigentlich gar nicht auflösen, wenn ich mit dem zweiten Netzwerksegment .186.0/24 über die blaue Netzwerk-Buchse in die be.ip+ gehe? Dann hätte ich gerne noch ein Gäste-WLAN, das aber nicht zwingend ein weiteres Netzwerksegment braucht. Meine Netze sind (bisher) so konfiguriert, dass die Geräte die ich von außen erreichen muss/will, wie Telefonanlage, NAS, IP-Kameras und die geschwätzigen Devices wie Sat-Receiver und TV-Geräte im 37er Netz sind. Und im inneren Netz .186 hab ich die Rechner, Server und weitere sicherheitsempfindliche Geräte angeschlossen. Beide Netzwerksegmente (oder auch noch Gäste-WLAN) sollen dann über die WAN-Schnittstelle nach draußen können. Portfreigaben hatte ich bisher auch in entsprechendem Umfang, das stellt kein Problem dar. Wo ich eben noch Hilfe brauchte, wäre einmal die Konfiguration der Schnittstellen, und sicher auch ein paar ausgefeilte Firewall-Regeln. Ist das zu machen? Könnt ihr mir da helfen?
Beste Grüße aus den Bergen
 
Anscheinend ist das alles gar nicht möglich, wie ich mir das vorstelle. Das geht wohl nur mit einem gepatchten (und dann eben Linux-) Router. Auf jeden Fall bin ich mit mehreren Anläufen bei der be.ip plus da nicht weiter gekommen. Es ist ja eine überaus ausführliche Anleitung, in der jedes noch so kleine Fitzelchen beschrieben ist, aber zum LAN-Routing lässt sich die über 700 Seiten starke Bedienungsanleitung gar nicht, oder nur mit wenigen kryptischen Zeilen aus.
Das sollte doch eingentlich ein übliches Szenario sein, dass ich mit zwei Sub-Netzen auf eine WAN-Schnittstelle zugreifen kann, und dann dort auch noch eine statische Route zum zweiten Subnetz eintragen kann. Denn ich will ja keine Löcher in mein LAN reißen. Deshalb will ich vom .186er in das .37er Netz um die Devices dort zu konfigurieren und verschiedene Informationen von dort abrufen. In das .37er Netz will ich über die WAN-Schnittstelle von außen zugreifen können, um RUL in der Telefonanlage zu konfigurieren, Allerweltsdateien vom NAS abrufen, und auf die IP-Kameras zugreifen, wenn ich auswärts bin.
Also doch wieder einen zusätzlichen Router einsetzen, wie bisher auch?
Na gut, wenn mir Vodafone irgendwann den Draht kündigt, will ich vorbereitet sein, und da ist die be.ip plus wahrscheinlich für mich die erste Wahl. Und bei dem Manual kann ich mir bis dahin die über 700 Seiten noch ein paar mal durchlesen, um in die Feinheiten einzusteigen.
 
Hi,

Wenn die be.IP im MGW-Modus, dann dürfte das mit dem zusätzlichen IP-Telefon imho nicht funktionieren. Zumindest nicht, wenn es über die Konten laufen soll, die der ISDN-TK-Anlage zugeordnet sind.

Ansonsten:
Ich denke schon, dass sonst alles mit der be.IP machbar ist, was du so machen möchtest. Du sagst aber nicht, wo es hängt und stellst keine konkreten Fragen.
Was also erwartest du konkret als Antwort?

PS: Du kannst gerne das Handbuch lesen, es wird dir aber imho nicht helfen. Im Handbuch sind keine Lösungsansätze oder How-Tos beschrieben. Es werden i.d.R. lediglich die einzelnen Parameter beschrieben. So nach dem Motto: IP-Adresse: Tragen Sie hier die IP-Adresse ein.

Für How-Tos gibt es Workshops und Best Practice Anleitungen. Z.B. hier oder hier. Google findet bestimmt auch noch weitere.
 
Danke für die ersten Erklärungen und den Hinweis auf die Workshops und BPA! Auf den ersten Blick hab ich für mein Problem zwar nichts gefunden, aber ich les mir das alles noch ein paar mal durch.
Also ich habe: Eine nicht für jeden verständliche IP-Konfiguration, weil das eben so nach und nach gewachsen ist, und mir hängen jetzt einfach zu viele Geräte rum. Mit der be.ip plus wollt ich mir zwei Router sparen. Die alte FB hab ich dran, weil nur darüber ein SIP-Konto möglich war. Ein weiterer Router ist dran, weil die FB eben kein WPA-Enterprise kann, keine FB kann das. Und diese beiden Geräte und das alte Border-Gateway möcht ich gerne durch die be.ip plus ersetzen.
Und ich will also: Meine beiden Subnetze in der be.ip so zusammenführen, dass beide Subnetze über die dortige Schnittstelle ins WAN kommen. dabei soll -und das sollte nach meinem Verständnis obligatorisch sein- das innere .186er Subnetz auch auf das äußere .37 Subnetz zugreifen können, um verschiedene Devices umzuschalten/konfigurieren. Das gelingt mir schon mal nicht, ich kann auch keine Standard-Route definieren, ist ausgegraut.
Allerdings versuche ich das eben Offline, denn wenn der Router ans Netz geht, muss das alles direkt funktionieren. Deshalb hängt es erst einmal an der IP-Konfiguration, weiter bin ich noch gar nicht gekommen. Wenn Du schreibst, dass das im MGW-Modus mit dem IP-Telefon nicht funktionieren kann, hab ich da etwas falsch verstanden? Meine Telefonanlage hängt am ISDN-Anschluss. Ich will nur die alten Rufnummern aus dem MGA über das Gerät mit dem SIP-Anschluss an die ISDN-Anlage weiterleiten, das ging bisher mit der FB. Das IP-Telefon am Schreibtisch ist auch recht praktisch, weil da der Terminkalender jederzeit greifbar ist.
Wenn mir jemand sagt, dass diese Konfig online doch möglich ist -was mir offline bisher nicht gelang- dann muss ich halt mal eine Nachtschicht einlegen und probieren. Naja und das Handbuch ist ganz einfach viel zu lang und inhaltslos, da bin ich ja Urgroßvater bis ich das mehrfach gelesen hab.
 
Hallo,

Vielleicht wäre es sinnvoll Schrittweise vorzugehen. Lass erstmal dein VoIP Zeugs außen vor und sieh' zu, dass deine beiden Netze sauber aufgesetzt sind.

Wenn ich dich richtig verstehe, dann möchtest du erstmal zwei Netze, die ins Internet kommen und intern bedingt miteinander kommunizieren können, richtig?
Du kannst dafür z.B. den Ports1-4 (default = eth0 (oder br0)) das erste Netz zuweisen und dem 5'ten Port, der standardmäßig eth-4 zugeordnet ist, das zweite Netz.
Unter LAN weist die du eth0/br0 zb. die 192.168.1.1 und dem eth4 die 192.168.2.1.
Sind beide Schnittstellen vertrauenswürdig, dann können die uneingeschränkt miteinander kommunizieren.
Hast Du ein WAN, kommen beide Netze ins WAN. Die Routen dazu (unter Netzwerk/Routen):
Netzwerk / Route:
Ziel 0.0.0.0 / Netzmaske 0.0.0.0 / Gateway 0.0.0.0 / Schnittstelle "Dein Internet Provider"
192.168.1.0 / 255.255.255.0 / 192.168.1.1 / LAN EN1-0
192.168.2.0 / 255.255.255.0 / 192.168.2.1 / LAN EN1-4

Möchtest du nicht, dass beliebig zwischen den beiden Netzen kommuniziert wird, dann machst du das über die Firewall.
Unter Adressen legst du zwei Einträge an:
Netz1: 192.168.1.0/24
Netz2: 192.168.2.0/24
Unter Firewall/Richtlinien legst du z.B. an:
Quelle Netz1 / Ziel Netz2 / Alle Dienste / Aktion verweigern : Schon kann von Netz1 nicht mehr auf Netz2 zugegriffen werden.
Quelle Netz2 / Ziel Netz1 / Alle Dienste / Aktion verweigern : Damit sperrst du die Gegenkommunikation von Netz2 nach Netz1.

Möchtest Du z.B. bestimmte Dienste (z.B. http & https) von Netz1 nach 2 erlauben, dann legst Du unter Firewall/Dienste/Gruppen eine entsprechende Gruppe an und stellst bei den Richtlinien von N1>N2 von "Alle Dienste" auf "Deine eben erstellte Gruppe" um.

Man kann natürlich auch die Kommunikation weiter einschränken. Das geht dann unter "Netzwek" Stichwort "Zugriffsfilter" und "Zugriffsketten".
 
  • Like
Reaktionen: bubblegun
Danke, sehr gut erklärt, das ist doch mal eine Ansage!
Mach die nächsten Tage weiter, heute Nacht hatten wir großflächigen Stromausfall über fast zwei Stunden. Danach ging gar nichts mehr, was eigentlich unüblich ist. Wenn nur kurze Unterbrechungen sind, und das dann mehrmals, dann hängen sich alle möglichen Geräte auf. Aber heute bin ich schon den ganzen Vormittag beschäftigt. TV über Sat und DVBT ging gar nichts mehr, das hat schon mehr als zwei Stunden gedauert, bis ein Notbehelf eingerichtet und dann der Fehler beseitigt war. Und dann waren die Kameras und überhaupt alle Devices bis auf das Gateway im ersten Netz nicht mehr erreichbar. Letztendlich stellte sich heraus, dass sich der Port von der FB zum Switch verabschiedet hatte. Die FB ist zwar immer wieder m al neu zu starten, weil "irgendwas" hängt, das war es dann aber auch. Dass sich ein Port komplett verabschiedet hatt ich noch nicht. Es wird Zeit, dass ich in die Pötte komme.
 
Noch eine Nachfrage, weil mir die GUI doch noch sehr gewöhnungsbedürftig vorkommt, und nicht immer selbsterklärend ist. Auch nicht mit der Hilfe. Die NAT-Konfiguration ist nicht ganz einfach zu verstehen, werd ich aber mit dem Workshop hinbekommen, auch wenn da eine andere GUI zu sehen ist. Wie schaut das aber mit der Konfigurationsschnittstelle aus, soll man die explizit angeben, oder ist das ganz einfach über br_0 realisiert?
 
Was meinst du mit "Konfigurationsschnittstelle?
Im Menü gibt es:
- Administrativer Zugriff: Hier stellt man ein, über welche Interfaces welche administrativen Zugriffe möglich sein soll.
Wenn du von deinem "Netz2" auch die be.IP konfigurieren möchtest, dann musst du dort die Schnittstelle hinzufügen und mind. http einschalten
- Konfigurationszugriff: Hier werden Profile für die unterschiedlichen Berechtigungsklassen eingerichtet/konfiguriert.

Oder meintest du was anderes?
 
Ja, ich will auch von meinem Bürorechner aus - der im Netz2 ist- auf die be.ip+ zugreifen können. Und da war links recht weit oben im Menü der Begriff Konfigurationsschnittstelle wählbar (mein ich). Hatte nichts mit Berechtigungsklassen zu tun, werd ich dann also eintragen müssen.
 
De Menüpunkt dafür heißt "Administrativer Zugriff" (unter Systemverwaltung zu finden).
Dort musst du das zusätzliche Interface hinzufügen und die benötigten Zugriffe aktivieren.
 
  • Like
Reaktionen: bubblegun
:):):):):)
Seit gestern bin ich über die be.ip+ im Netz, die unterschiedlichen Subnetze funktionieren nach Deiner Anleitung ganz wunderbar. Für die Portfreigaben hatt ich noch keine Zeit, aber bei dem Schneechaos komm ich die nächsten Tage eh nicht weg. Auch VOIP klemmt noch, die Konfigmöglichkeiten sind ja doch recht weitläufig und umfangreich. So tief musst ich da bisher noch nicht einsteigen.
 
Aber jetzt die Frage nach den Portfreigaben: Beiligend ein Auszug, ob ich das so richtig verstanden hab. Schnittstelle ist WAN, Quell-IP bleibt frei, Ziel ist Host mit der entsprechenden IP zweimal. das erste mal mit der Umleitung, das zweite mal mit dem tatsächlichen Zielport. Normalerweise ist das mit dem Smartphone zu kontrollieren, aber auch da ist in unserem Katastrophenlandkreis derzeit kaum Empfang.
NAT.JPG
 
Die Original Ziel-IP-Adresse bitte auf beliebig einstellen.
 
Das Gerät ist doch ein wenig tricky, es gelingt mir nicht, die Portfreigaben passend zu konfigurieren. Auch Dienste und Dienstgruppen angelegt, es mag nicht so, wie ich das will.
Und da wäre dann noch ein Terminplan zum Umschalten/Ausschalten. Es gibt ihn laut Manual, aber ich find ihn nicht. Wollte die Internetverbindung ausgehend von 22:00 bis 06:00 sperren, weil da niemand surfen muss. WLAN abschalten von 22:00 bis 06:00 Uhr, wenn es eh keine Verbindung gibt. Meinen geschwätzigen Devices auch ein wenig Disziplin beibringen, mit einem Terminplan.
Und dann hängt es auch noch mit der SIP-Konfiguration. Also die be.ip+ meldet sich bei meinem Provider ordnungsgemäß an, soweit hab ich das richtig gemacht. Nur lässt sich mein IP-Telefon nicht überreden, mit dem Router Verbindung aufzunehmen. Es ist ein Unifi, über die Fritzbox klappte das noch.
 
Heute früh war ich noch ganz euphorisch, da ging es mit den Grundeinstellungen. Dann hab ich jetzt rund 7 Stunden konfiguriert, und nu geht gar nix mehr! Keine funktionierenden Portfreigaben, kein Zugriff mehr auf das 2. Netz, keine Verbindung IP-Telefon mit der be.ip, WLAN erst nur im LAN ohne Zugriff auf WAN, und zuletzt goar nix mehr. Nun hab ich halt doch erst mal wieder meine alten Geräte an die Wand gehängt, weil ich zwischendurch auch mal wieder arbeiten muss. Muss ich da wirklich wieder ganz von vorne anfangen?
 
Ich glaube, ohne dir zu nahe treten zu wollen, dass deine Vorgehensweise nicht zielführend ist.
Du möchtest etliche Sachen gleichzeitig umsetzen, hast aber offensichtlich keinen wirklichen Überblick.

Daher kann ich dir nur empfehlen:
1) Setze alles zurück und fange noch mal von vorne an.
2) Mach' dir eine Liste der umzusetzenden Anforderungen.
3) Gehe Schritt für Schritt die Liste ab.
4) Gehe erst zum nächsten Punkt in der Liste, wenn der vorhergehende 100% funktioniert und du auch verstanden hast, warum er funktioniert ;)
5) Mach' nach jedem erfolgreichen Schritt ein Backup der Konfiguration.

Solltest du bei einem Schritt was "kaputtmachen", kannst du die letzte Konfig aus dem Backup wiederherstellen.
 
  • Like
Reaktionen: weißnix_
Ich glaube, ohne dir zu nahe treten zu wollen, dass deine Vorgehensweise nicht zielführend ist.
Du möchtest etliche Sachen gleichzeitig umsetzen, hast aber offensichtlich keinen wirklichen Überblick.
Das ist nicht von der Hand zu weisen! :D
Es fehlt mir schon teilweise der tiefgreifende Durchblick, die bestehende und funktionierende Konfiguration mit mehreren Routern wollte ich halt ein wenig eindampfen. Nach Deiner Hilfe klappte das mit den beiden Subnetzen ganz hervorragend. Ein paar Tage Teil-Ausfall sind ja auch zu verschmerzen, aber es dauert mir einfach zu lange, bis ich das hinbekomme und verstehe. Vor etwa 10 Jahren hatte ich einen Telekom-Router (wohl ein Billion) mit ganz umfangreichen Konfigurationsmöglichkeiten, bei dem die Einrichtung auch gewaltig dauerte.
Daher kann ich dir nur empfehlen:
1) Setze alles zurück und fange noch mal von vorne an.
2) Mach' dir eine Liste der umzusetzenden Anforderungen.
3) Gehe Schritt für Schritt die Liste ab.
4) Gehe erst zum nächsten Punkt in der Liste, wenn der vorhergehende 100% funktioniert und du auch verstanden hast, warum er funktioniert ;)
5) Mach' nach jedem erfolgreichen Schritt ein Backup der Konfiguration.

Solltest du bei einem Schritt was "kaputtmachen", kannst du die letzte Konfig aus dem Backup wiederherstellen.
Das Backup hatte ich ja gemacht, existiert auch noch, aber irgendwo hab ich mich verrannt ohne es zu merken. Ich werd also noch einmal -diesmal mit den Assistenten beginnen. Aber da ist auch nur eine Portfreigabe enthalten, und keine Portweiterleitung. Und da hing es zum ersten mal, es funktionierte eine Portfreigabe, aber keine Weiterleitung. Und eine Portfreigabe für 5 Kameras auf Port 80 ist nicht zielführend, bzw. gar nicht möglich. Da hab ich vermutlich etwas verbogen, weil dann bei der Konfiguration des WLAN auch der Radiusserver im ersten Netz gar nicht mehr erreichbar war.
Deshalb noch die grundlegende Frage: Ich brauche vermutlich einen SIP-Server auf dem Router für mein IP-Telefon. Ob ich das nicht auch direkt bei DUS.net anmelden kann, muss ich noch ausprobieren. Und dann muss ich die be.ip+ ja nicht als Media-Gateway konfigurieren?
 
Du könntest auch dein IP-Telefon "an der be.IP vorbei" direkt beim Provider anmelden.
Wenn du aber schon eine be.IP hast, dann würde ich an deiner Stelle die Telefonanlagen-Funktionalität nutzen, weil sie einfach mehr Möglichkeiten bietet und z.B. auch eine Sprachbox beinhaltet.

Also: be,IP im Telefonanlagenmodus und z.B. per Assistent den SIP-Provider und die Nebenstelle einrichten. Das IP-Telefon muss sich dann logischerweise an der be.IP anmelden.
 
O.K. In der Beschreibung hatte ich gelesen, dass die Telefonanlagenfunktion nur bei IP-Anschlüssen möglich ist. Ich komm vom Land, und bin schon froh über meine 16 MBit. Wenn mir Vodafone die Drähte kündigt, dann muss ich eh ganz auf IP umsatteln, auch deshalb hatt ich die be.ip bevorzugt. Ein schneller Glasfaseranschluss hätte schon viele Vorteile für mich, aber so lange ich über Draht telefonieren kann, werd ich das beibehalten.
Heute Nacht werd ich einen neuen Anlauf starten, vielleicht komm ich vorwärts, denn nun muss ich auch nicht mehr so viel Schnee schaufeln, hat sich alles wieder beruhigt.
 
Du meinst die Media Gateway - Funktion, denn nur die gibt es nur bei IP-Anschlüssen. Im PBX - Modus kann man extern sowohl ISDN (mit ISDN TE-Adapter) als auch IP verwenden.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.