SPH Setup mit zweitem Router und Auerswald ohne doppeltes NAT möglich?

      SPH Setup mit zweitem Router und Auerswald ohne doppeltes NAT möglich?

      Hallo zusammen,

      erstmal vielen vielen Dank für die ganze Arbeit die ihr euch zum Thema SPH und den ganzen Unzulänglichkeiten gemacht habt! Ich konnte mir erfolgreich Zugang zum SPH verschaffen (aktuelle Firmware, abgriff TTL). Ich weiß gar nicht so genau wo ich anfangen soll, ich hoffe der Post wird nicht all zu länglich.

      Kurzer Einblick in das gewünschte Setup: Der SPH (RAM 6000 + LTE, Magenta ZuHause...) soll das primäre Gateway zum Internet werden, es gibt aber noch eine weitere DSL Verbindung (RAM 6000) ohne Hybrid (leider nicht möglich im GK Tarif DeutschlandLAN IP Voiec/Data S). Der Anschluss ohne Hybrid Option wird von eine bintec be.ip plus gemanged.

      Neben diesen beiden Zugängen sollen drei Subnetze versorgt werden: Geschäftlich, Privat und Gast

      Da an beiden Internet Zugängen Telekom Sprachkanäle gebunden sind, brauche ich auch beide Leitungen für die Telefonie (die Telekom lässt leider keine gemischte Nutzung zu). Es gibt eine Auerswald 5020 VoIP, welche die MSNs vom Hybrid Anschluss verwalte und zusätzlich Sipgate (sonst reichen die Sprachkanäle nicht). Die anderen MSNs von Anschluss 2 gehen auf die be.ip plus und sind Netz intern per SIP verfügbar (Es gibt wohl keine andere Lösung da jeweils die selbe Domain, tel.t-online.de aufgelöst werden muss).

      Jetzt das eigentliche Problem bzw meine Frage(n):

      Der bintec Router kann auch eine zweite Leitung einbinden z.B. per LAN5. Wenn ich die 'Komplettlösung' richtig verstanden habe, baut diese darauf auf einen Router (Fritzbox) als NAT dahinter zu betreiben. Das könnte ich genauso mit dem bintec machen. In dieser Konfiguration hätte ich aber dann ein doppeltes NAT, einmal im Speedport und dann nochmal im bintec, oder nicht?

      Wäre es nicht besser im selben Subnet zu bleiben bzw. einfacher drei statische Routen für die Subnetze anzulegen?

      Mein Wunsch Setup wäre demnach SPH (z.B. 192.168.2.1) als Gateway am LAN5 (WAN2) vom bintec (Default GW 192.168.178.254, stellt über internes Modem dann nochmal RAM 6000 bereit über NAT), damit sind auch bedingte Routen möglich sowie Load Balancing/Limitierung für das Gast LAN. Alle anderen geschäftlichen Teilnehmer inkl. Auerswald im Sub 192.168.178.0/24. Zwei weitere Subs für Privat (192.168.10.0/24) und Gast (192.168.20.0/24).

      Am Wichtigsten wäre, dass die Telefonie sowohl über Telekom/Sipgate am Hybrid Anschluss funzt und die Auerswald auch Verbindung zum bintec bekommt, sonst komme ich nicht an das MGW/SIP Konto ran.

      Damit reduziert sich auch der Broadcast Traffic und man sieht nicht 25 Drucker unter Windows ;)


      Ich hoffe ich konnte einigermaßen meine Überlegungen rüber bringen und vielleicht hab ihr ja auch ein paar Antworten für mich, oder vielleicht kann mir sogar jemand sagen ob so ein Konstrukt möglich ist.

      Grüße
      Markus

      EDIT: Hab nochmal an der ein oder anderen Stelle korrigiert, sorry echt komplex.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „bios123“ ()

      Hallo danXde,

      ich habe befürchtet das meine Formulierung den Sachverhalt nicht klar beschreibt. Im Anhang mal ein Schema wie ich mir dass vorstelle. Die Abschaltung von BNG konnte ich leider noch nicht testen, da die Umstellung auf D-LAN Voice/Data S erst am Freitag erfolgt. Meine Infos beziehen sich auf die Telekom und diverse Internet Foren, demnach ist eine 'normadische' Nutzung nicht mehr möglich. Diesen Freitag/Samstag werde ich den SPH gegen den offenen tauschen. Aktuell geht mit dem SPH nur ein Subnetz und die Auerswald kann zumindest Telekom VoIP vom MagentaZuHause Anschluss. Sipgate bricht beim raus telefonieren nach 32 Sekunden ab (scheint bekannt zu sein laut Sipgate). Vom IPv6 'Zustand' will ich gar nicht reden. Es muss also einiges passieren...

      Ich hätte noch ein paar Fragen bezüglich des fw.sh Scripts. Bisher hab ich unter Ubuntu nur mit UFW gearbeitet und eher weniger direkt mit iptables. Das Interface ppp256 scheint der reine xDSL-Strang zu sein, aber ich kann gre1, gre2 und gre+ nicht ganz zuordnen. Ich vermute es hat mit dem Tunnel über DSL+LTE zu tun, liege ich da richtig? Kann ich mich auf den FORWARD und -t nat Bereich konzentrieren oder muss ich auch Änderungen an der -t mangel vornehmen? Sehe ich das richtig das Telekom VoIP nur über ppp256 geht und Sipgate über ppp256 und gre+?

      Gruß
      Markus

      Ergänzung: Scheinbar ist der Hybrid Anschluss ohne BNG, zumindest fehlt der Eintrag im Kundencenter -> 'Einstellungen zum Automatischen Internet-Zugang ändern'
      Mal abwarten was am Freitag/Samstag für den Voice/Data S angezeigt wird.
      Bilder
      • NetzStrucktur.PNG

        65,18 kB, 1.394×629, 357 mal angesehen

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „bios123“ ()

      @bios123, danke für das Bild. Wird für mich gleich klarer...
      • Der Switch wird sicher nur als Layer2 mit Vlan-Tagging betrieben. Das Gateway für die drei Netze werden ja in der Bintex terminiert.
      • Wenn der Eintrag im Kundencenter fehlt, dann sollte der Anschluss noch nicht auf BNG umgestellt sein.
      • Am WAN der Bintec in Richtung SPH muss auf jeden Fall ein NAT konfiguriert sein, da der SP-H von Haus aus nur die IP-Adressen des eigenen LAN in sein NAT einbezieht.
      • In meinem Setup wird VoIP komplett in der Fritz.box terminiert. Wie Du richtig erkannt hast, wird die Telekom-VoIP per -t mangle auf DSL (ppp256) umgebogen. Hingegen wird Sipgate über die Tunnel (GRE1+GRE2) geroutet, wobei dort Gilt, das zuerst der DSL-Tunnel (Gre1 aktiv ist) und bei Auslastung der GRE2) hinzugeschaltet wird. GRE2 wird auch bei Ausfall der DSL aktiv, so kann man auch ohne DSL weiter mit Sipgate telefonieren
      • Probleme sehe ich, das in der bintec alles zusammenläuft. Dort müsste in deinem Setup ein "policy-based Routing implementiert werden, der Art, das local <-> tel.t-online-de. über den DSL geroutet wird. Wenn der Verkehr Auerswald <-> tel.t-online.de über den SP-H. ...ich würde mit email + passwort die Nummern konfigurieren und schauen, ob nicht doch die normadische Nutzung über den SP-H funktioniert. ...den DSL-Anschluss würde ich dann nur als Backupanschluss nutzen, den könnte man für dann tel.t-online.de aktivieren, wenn er nicht mehr über DSL erreichbar ist. Die neue VoIP-Funktion über LTE am SP-H würde ich an der Stelle nicht nutzen, da es kein stabiles Setup für nachgelagerte Geräte gibt, die umgehend bei Ausfall umschaltet.
      • gre+ = gre1 und. gre2 zusammengefasst. sprich die Stelle ist egal. gre5 wäre ebenfalls mit eingeschlossen, gibt's aber nicht im SPH
      • Wenn Gaming aussen vor ist, sollte die beiden Tabellen reichen.

      Die größten Probleme sehe ich in der Verteilung der VoIP-Nummern und dem dadurch notwendigen policy-based-routing in der bintec (dich ich nicht wirklich kenne, daher weiss ich nicht, ob diese das leisten kann).

      Grüße

      danXde
      Ok das heißt es bleibt nur die Möglichkeit über doppeltes NAT. Ich würde mich dann an der angepassten fw.sh bedienen die du bereits für Hendrik erstellt hattest und alles an die WAN2 Adresse weiterleiten. Reicht das für meine Zwecke?
      Dann muss ich mich nur an einer Ecke um ein gezieltes FORWARD kümmern.

      ipt iptables -t nat -A PREROUTING -i gre+ -j DNAT --to-destination 192.168.2.100
      ipt iptables -t nat -A PREROUTING -i ppp256 -j DNAT --to-destination 192.168.2.100

      Der bintec kann definitiv policy-based routing, das Problem ist welchen trigger nehme ich dafür? Der Registrar ist jeweils tel.t-online.de, damit geht keine Regel per DNS. Meine bisheriger Lösungsansatz sieht vor die MSNs vom Voice/Data S im MGW im bintec zu registrieren. Dann kann ich in der Auerswald die Lokale IP vom bintec nutzen für die Registrierung am MGW. Ich weiß ist nicht schön aber mir fällt nix anderes mehr ein (bridgen auf S0 und dann per Kabel zurück an den externen S0 der Auerswald... neeee)

      Grüße
      Markus
      hi @bios123,

      die fw.sh sollte passen. Halt IP im Header an die bintec anpassen, Telefonie an tel.t-online.de wird auch auf DSL umgelenkt. Der Rest geht durch die Tunnel.

      Naja, Du müsstest die policy halt auf Source + Destination beziehen. Entweder Default auf SPH und dann geziehlt local nach tel.t-online.de zum DSL umlenken. Was. durch die größere Bandbreite des SPH Sinn macht. Oder halt Standard für tel.t-online.de nach DSL und dann eine Policy der Art: Wenn Source Auerswald und Ziel tel.t-online.de dannn Next-Hop SPH. Zusätzlich müsstest Du in der Bintec dann Port 5060 und die RTP-Ports am WAN2 in Richtung Auserswald freischalten, während am WAN1 die Ports local terminiert werden müssten.

      Viel Erfolg!

      danXde
      Hmmm, vielleicht reden wir aneinander vorbei oder oder ich stehe auf dem Schlauch. Legen wir mal die Fakten auf den Tisch vielleicht klappt's dann auch in meinem Kopf ;)

      - Ich habe zweimal Netzzugang, einmal über SPH (GW1) und einmal über bintec (GW2)
      - Beide Anschlüsse beinhalten VoIP von der Telekom -> Primitiv Rufnummer 123 über GW1 und 456 über GW2
      - Normadische Nutzung nicht möglich
      - Beide Nummern nutzen tel.t-online.de als Registrar

      Ich verstehe eben nicht mit welcher Policy ich jetzt das Routing steuern soll. 123 muss über GW1 und 456 über GW2... (Die Aussage mit dem MGW streichst du mal für den Moment, das ist nur mein Workaround)

      Gruß
      Markus
      @bios123 ...das ist ja genau die Krux, in der Bintec ist alles zusammen. hinter tel.t-online.de stecken IP-Adressbereiche. ....und Du müsstest in Abhangigkeit, von wo das Paket kommt, dann entscheiden, über welchen WAN das Paket geroutet werden muss. ...leichter wäre die normadische Nutzung. Probiere das doch erstmal aus, sobald der Hybrid geschaltet ist und Du notfalls BNG autoconfig deaktiviert hast ...und dann mit Email/passwort die Nummern registrierst.

      Grüße

      danXde
      Ganze genau und leider hab keine weitere Möglichkeit eine Entscheidung zu treffen außer über die IP. Das MGW ist wohl so aufgebaut, dass es eine feste Zuordnung der Rufnummer per Gateway möglich ist. Leider funktioniert diese Feature nur wenn man alle Rufnummern im bintec registriert. Schon mal vielen Dank danXde!

      Ich werde auf jeden Fall die nomadische Nutzung testen, dieser Ansatz wäre auch mein bevorzugter. Ich berichte sobald ich neue Erkenntnisse habe.

      Gruß
      Markus
      Hier mal ein kleines Update:

      Vorweg die nomadische Nutzung funktioniert wie erwartet nicht! Es mag ja (Alt-) Anschlüsse geben bei denen es noch geht, aber bei den hier verwendeten und erst kürzlich migrierten All IP Anschlüssen klappt es leider nicht. Bestätigt also die Aussage aus diversen Foren. Die Registrierung auf WAN1 übernimmt wie geplant der bintec und stellt die Nummern (Sprachkanal 3/4) dann der Auerswald bereit.

      Das eigentliche Problem was ich nicht in den Griff bekommen habe betrifft den bintec Router. WAN2 alias LAN5 sollte an den Speedport über NAT. Was perse einfach nicht funktionieren wollte ist eine Portweiterleitung für die eingehenden Verbindungen (SIP/RTP) an die Auerswald. Ich habe wirklich alles ausprobiert: Firewall anpassen, Firewall ausschalten, Schnittstelle in die 'vertrauenwürdig' Liste packen, NAT Regel erstellen, kompletten Router zurücksetzen, etc. Es war reproduzierbar nicht möglich, bei Verwendung beider WAN Schnittstellen, ein Forward über WAN2 zu bewerkstelligen. Ein Forward über WAN1 (internes Modem) funktioniert sofort problemlos mit NAT/Firewall Eintrag.

      Ich habe also im Moment eine einfache Fritzbox als Router statt WAN2 über den bintec. Das funktioniert hervorragend und harmoniert mit der Auerswald. Telekom und Sipgate VoIP läuft damit und IPv6 macht was es soll. Auch lassen sich somit ganz bequem meine Subnets einrichten. Statt per NAT über WAN2 ist der bintec nur noch Client im selben Subnet wie das LAN der Fritte. Der speedport ist also nur noch Gateway mit Hybrid Funktion.

      Jetzt hätte ich nochmal eine Frage bezüglich diesem Abschnitts in der fw.sh:

      ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.16.0/19 -p udp -m udp --dport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
      ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.16.0/19 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
      ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.128.0/19 -p udp -m udp --dport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
      ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.128.0/19 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000

      Müsste ich nicht eigentlich die obigen Zeilen an den eingehenden SIP Port für die Telekom (5076) in der Auerswald anpassen, also --sport 5076? Ist der Eintrag für die korrekte Zuordnung der VoIP Pakete zuständig?

      @danXde, soweit ich dich verstanden habe geht Telekom VoIP nur über DSL, ist das eine Limitierung der Telekom oder könnte man als Fallback auch über GRE2 gehen falls der DSL Anschluss mal ausfällt? Bzw. wie ist das VoLTE geregelt? Funktioniert das nur über den speedport sip proxy?

      Muss die MTU in der Fritte noch angepasst werden bei Verwendung hinter dem speedport?

      Grüße
      Markus
      @bios123

      wenn dann maximal

      ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.16.0/19 -p udp -m udp --dport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
      ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.16.0/19 -p udp -m udp --sport 5076 -j MARK --set-xmark 0x10000000/0xf0000000
      ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.128.0/19 -p udp -m udp --dport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
      ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.128.0/19 -p udp -m udp --sport 5076 -j MARK --set-xmark 0x10000000/0xf0000000

      Zusätzlich musste auch noch die RTP-Ports umlegen. Bei AVM ist das 7078-7109. Letztlich sorgen die Zeilen das es auf DSL (ohne Tunnel) umgeleitet wird. Über den GRE+ bekommst Du keine Verbindung zum IMS. Neuerdings braut der SPH bei DSL-Ausfall eine Verbindung für VoIP am GRE-Tunnnel vorbei über IPv6 zum IMS der Telekom auf. Da ich da aber kein stabiles Setup hinbekommen habe und jeder heute ein Handy hat, habe ich mir hier weitere Energie gespart.

      MTU anpassen kann nicht schaden, Ich habe 1440 als MTU unter IPv6 gesetzt.

      Grüße

      danXde
      Laut Meldung von Telekom-Mitarbeitern sollte gerade bei BNG die nomadische Nutzung funktionieren... die Umstellung bewirkt ja auch, daß die Verbindung zwischen physikalischer und logischer Schicht im Netz nicht mehr so eng ist - so wird auch die Bindung zwischen Telefonnummer und Anschluß aufgeweicht...

      Aber ja: manuelle Anmeldung mit Email (t-online.de -- notfalls zu dem Zweck einrichten) und dafür easylogin deaktivieren...
      (streng genommen sollte es auch mit der anonymen Anmeldung gehen - klappt aber oft nicht)

      Nomadische Nutzung gab's ja schon immer - klappte ber teils nur im selben Segment... und wurde deshalb nie als gegeben beworben.

      mfg, emkay
      @danXde, interessanterweiser habe ich das schon getan und habe erst danach festgestellt das ja noch der SIP Port fehlt, bzw nicht jeweils der 5060 genutzt wird.

      @xdjbx/eMKay77, vielleicht ist dass gerade das Problem an diesen Anschlüssen. Beide Leitungen waren vorher mit Annex B 6000 RAM geschaltet. Auf Nachfrage bei der Telekom ob nach der All-IP Umstellung beide Anschlüsse mit Annex J geschaltet werden habe ich zwei unterschiedliche Aussagen bekommen:

      - "Klar wir vermarkten keine anderen Anschlüsse mehr. Sie werden dann umgestellt und sollten mehr Upload haben."
      - "Hmmm ihr Anschluss wird hier nicht gelistet und es erfolgt keine technische Änderung, es fällt lediglich der NTBA weg und Sie benötigen keinen Splitter mehr."

      Fakt 1: Im Kundencenter habe ich KEINEN Punkt 'Einstellungen zum Automatischen Internet-Zugang ändern'.
      Fakt 2: Es ist jeweils Annex B geschaltet, warum auch immer.

      Nächte Woche habe ich sehr wahrscheinlich mehr Zeit um nochmal weiter zu testen, für Erste war es wichtig alle MSNs und Sprachkanäle ans laufen zu bekommen. Es hängt halt eine Firma hinten dran.

      Gruß
      Markus
      Eine weitere Frage kam mir gerade noch: Die Telekom verteilt ein 56-prefix und vom speedport wird ein 64-prefix an die fritzbox ins LAN weitergereicht. Mir ist aufgefallen, dass in einem Subnetz keine GUAs verfügbar sind nur ULAs, während im direkten LAN der fritzbox auch GUAs an Clients zugeteilt werden. Theoretisch müsste der speedport doch lediglich ein 60-prefix weiterreichen damit die fritzbox weitere Netze mit 64-prefix verteilen kann. Ist meine Überlegung soweit richtig? Lässt sich das einfach umsetzen?

      Grüße
      Markus