Hallo zusammen,

erstmal vielen vielen Dank für die ganze Arbeit die ihr euch zum Thema SPH und den ganzen Unzulänglichkeiten gemacht habt! Ich konnte mir erfolgreich Zugang zum SPH verschaffen (aktuelle Firmware, abgriff TTL). Ich weiß gar nicht so genau wo ich anfangen soll, ich hoffe der Post wird nicht all zu länglich.

Kurzer Einblick in das gewünschte Setup: Der SPH (RAM 6000 + LTE, Magenta ZuHause...) soll das primäre Gateway zum Internet werden, es gibt aber noch eine weitere DSL Verbindung (RAM 6000) ohne Hybrid (leider nicht möglich im GK Tarif DeutschlandLAN IP Voiec/Data S). Der Anschluss ohne Hybrid Option wird von eine bintec be.ip plus gemanged.

Neben diesen beiden Zugängen sollen drei Subnetze versorgt werden: Geschäftlich, Privat und Gast

Da an beiden Internet Zugängen Telekom Sprachkanäle gebunden sind, brauche ich auch beide Leitungen für die Telefonie (die Telekom lässt leider keine gemischte Nutzung zu). Es gibt eine Auerswald 5020 VoIP, welche die MSNs vom Hybrid Anschluss verwalte und zusätzlich Sipgate (sonst reichen die Sprachkanäle nicht). Die anderen MSNs von Anschluss 2 gehen auf die be.ip plus und sind Netz intern per SIP verfügbar (Es gibt wohl keine andere Lösung da jeweils die selbe Domain, tel.t-online.de aufgelöst werden muss).

Jetzt das eigentliche Problem bzw meine Frage(n):

Der bintec Router kann auch eine zweite Leitung einbinden z.B. per LAN5. Wenn ich die 'Komplettlösung' richtig verstanden habe, baut diese darauf auf einen Router (Fritzbox) als NAT dahinter zu betreiben. Das könnte ich genauso mit dem bintec machen. In dieser Konfiguration hätte ich aber dann ein doppeltes NAT, einmal im Speedport und dann nochmal im bintec, oder nicht?

Wäre es nicht besser im selben Subnet zu bleiben bzw. einfacher drei statische Routen für die Subnetze anzulegen?

Mein Wunsch Setup wäre demnach SPH (z.B. 192.168.2.1) als Gateway am LAN5 (WAN2) vom bintec (Default GW 192.168.178.254, stellt über internes Modem dann nochmal RAM 6000 bereit über NAT), damit sind auch bedingte Routen möglich sowie Load Balancing/Limitierung für das Gast LAN. Alle anderen geschäftlichen Teilnehmer inkl. Auerswald im Sub 192.168.178.0/24. Zwei weitere Subs für Privat (192.168.10.0/24) und Gast (192.168.20.0/24).

Am Wichtigsten wäre, dass die Telefonie sowohl über Telekom/Sipgate am Hybrid Anschluss funzt und die Auerswald auch Verbindung zum bintec bekommt, sonst komme ich nicht an das MGW/SIP Konto ran.

Damit reduziert sich auch der Broadcast Traffic und man sieht nicht 25 Drucker unter Windows


Ich hoffe ich konnte einigermaßen meine Überlegungen rüber bringen und vielleicht hab ihr ja auch ein paar Antworten für mich, oder vielleicht kann mir sogar jemand sagen ob so ein Konstrukt möglich ist.

Grüße
Markus

EDIT: Hab nochmal an der ein oder anderen Stelle korrigiert, sorry echt komplex.

Hallo danXde,

ich habe befürchtet das meine Formulierung den Sachverhalt nicht klar beschreibt. Im Anhang mal ein Schema wie ich mir dass vorstelle. Die Abschaltung von BNG konnte ich leider noch nicht testen, da die Umstellung auf D-LAN Voice/Data S erst am Freitag erfolgt. Meine Infos beziehen sich auf die Telekom und diverse Internet Foren, demnach ist eine 'normadische' Nutzung nicht mehr möglich. Diesen Freitag/Samstag werde ich den SPH gegen den offenen tauschen. Aktuell geht mit dem SPH nur ein Subnetz und die Auerswald kann zumindest Telekom VoIP vom MagentaZuHause Anschluss. Sipgate bricht beim raus telefonieren nach 32 Sekunden ab (scheint bekannt zu sein laut Sipgate). Vom IPv6 'Zustand' will ich gar nicht reden. Es muss also einiges passieren...

Ich hätte noch ein paar Fragen bezüglich des fw.sh Scripts. Bisher hab ich unter Ubuntu nur mit UFW gearbeitet und eher weniger direkt mit iptables. Das Interface ppp256 scheint der reine xDSL-Strang zu sein, aber ich kann gre1, gre2 und gre+ nicht ganz zuordnen. Ich vermute es hat mit dem Tunnel über DSL+LTE zu tun, liege ich da richtig? Kann ich mich auf den FORWARD und -t nat Bereich konzentrieren oder muss ich auch Änderungen an der -t mangel vornehmen? Sehe ich das richtig das Telekom VoIP nur über ppp256 geht und Sipgate über ppp256 und gre+?

Gruß
Markus

Ergänzung: Scheinbar ist der Hybrid Anschluss ohne BNG, zumindest fehlt der Eintrag im Kundencenter -> 'Einstellungen zum Automatischen Internet-Zugang ändern'
Mal abwarten was am Freitag/Samstag für den Voice/Data S angezeigt wird.

Ok das heißt es bleibt nur die Möglichkeit über doppeltes NAT. Ich würde mich dann an der angepassten fw.sh bedienen die du bereits für Hendrik erstellt hattest und alles an die WAN2 Adresse weiterleiten. Reicht das für meine Zwecke?
Dann muss ich mich nur an einer Ecke um ein gezieltes FORWARD kümmern.

ipt iptables -t nat -A PREROUTING -i gre+ -j DNAT --to-destination 192.168.2.100
ipt iptables -t nat -A PREROUTING -i ppp256 -j DNAT --to-destination 192.168.2.100

Der bintec kann definitiv policy-based routing, das Problem ist welchen trigger nehme ich dafür? Der Registrar ist jeweils tel.t-online.de, damit geht keine Regel per DNS. Meine bisheriger Lösungsansatz sieht vor die MSNs vom Voice/Data S im MGW im bintec zu registrieren. Dann kann ich in der Auerswald die Lokale IP vom bintec nutzen für die Registrierung am MGW. Ich weiß ist nicht schön aber mir fällt nix anderes mehr ein (bridgen auf S0 und dann per Kabel zurück an den externen S0 der Auerswald... neeee)

Grüße
Markus

Hmmm, vielleicht reden wir aneinander vorbei oder oder ich stehe auf dem Schlauch. Legen wir mal die Fakten auf den Tisch vielleicht klappt's dann auch in meinem Kopf

- Ich habe zweimal Netzzugang, einmal über SPH (GW1) und einmal über bintec (GW2)
- Beide Anschlüsse beinhalten VoIP von der Telekom -> Primitiv Rufnummer 123 über GW1 und 456 über GW2
- Normadische Nutzung nicht möglich
- Beide Nummern nutzen tel.t-online.de als Registrar

Ich verstehe eben nicht mit welcher Policy ich jetzt das Routing steuern soll. 123 muss über GW1 und 456 über GW2... (Die Aussage mit dem MGW streichst du mal für den Moment, das ist nur mein Workaround)

Gruß
Markus

Ganze genau und leider hab keine weitere Möglichkeit eine Entscheidung zu treffen außer über die IP. Das MGW ist wohl so aufgebaut, dass es eine feste Zuordnung der Rufnummer per Gateway möglich ist. Leider funktioniert diese Feature nur wenn man alle Rufnummern im bintec registriert. Schon mal vielen Dank danXde!

Ich werde auf jeden Fall die nomadische Nutzung testen, dieser Ansatz wäre auch mein bevorzugter. Ich berichte sobald ich neue Erkenntnisse habe.

Gruß
Markus

Hier mal ein kleines Update:

Vorweg die nomadische Nutzung funktioniert wie erwartet nicht! Es mag ja (Alt-) Anschlüsse geben bei denen es noch geht, aber bei den hier verwendeten und erst kürzlich migrierten All IP Anschlüssen klappt es leider nicht. Bestätigt also die Aussage aus diversen Foren. Die Registrierung auf WAN1 übernimmt wie geplant der bintec und stellt die Nummern (Sprachkanal 3/4) dann der Auerswald bereit.

Das eigentliche Problem was ich nicht in den Griff bekommen habe betrifft den bintec Router. WAN2 alias LAN5 sollte an den Speedport über NAT. Was perse einfach nicht funktionieren wollte ist eine Portweiterleitung für die eingehenden Verbindungen (SIP/RTP) an die Auerswald. Ich habe wirklich alles ausprobiert: Firewall anpassen, Firewall ausschalten, Schnittstelle in die 'vertrauenwürdig' Liste packen, NAT Regel erstellen, kompletten Router zurücksetzen, etc. Es war reproduzierbar nicht möglich, bei Verwendung beider WAN Schnittstellen, ein Forward über WAN2 zu bewerkstelligen. Ein Forward über WAN1 (internes Modem) funktioniert sofort problemlos mit NAT/Firewall Eintrag.

Ich habe also im Moment eine einfache Fritzbox als Router statt WAN2 über den bintec. Das funktioniert hervorragend und harmoniert mit der Auerswald. Telekom und Sipgate VoIP läuft damit und IPv6 macht was es soll. Auch lassen sich somit ganz bequem meine Subnets einrichten. Statt per NAT über WAN2 ist der bintec nur noch Client im selben Subnet wie das LAN der Fritte. Der speedport ist also nur noch Gateway mit Hybrid Funktion.

Jetzt hätte ich nochmal eine Frage bezüglich diesem Abschnitts in der fw.sh:

ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.16.0/19 -p udp -m udp --dport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.16.0/19 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.128.0/19 -p udp -m udp --dport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.128.0/19 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000

Müsste ich nicht eigentlich die obigen Zeilen an den eingehenden SIP Port für die Telekom (5076) in der Auerswald anpassen, also --sport 5076? Ist der Eintrag für die korrekte Zuordnung der VoIP Pakete zuständig?

@danXde, soweit ich dich verstanden habe geht Telekom VoIP nur über DSL, ist das eine Limitierung der Telekom oder könnte man als Fallback auch über GRE2 gehen falls der DSL Anschluss mal ausfällt? Bzw. wie ist das VoLTE geregelt? Funktioniert das nur über den speedport sip proxy?

Muss die MTU in der Fritte noch angepasst werden bei Verwendung hinter dem speedport?

Grüße
Markus

@danXde, interessanterweiser habe ich das schon getan und habe erst danach festgestellt das ja noch der SIP Port fehlt, bzw nicht jeweils der 5060 genutzt wird.

@xdjbx/eMKay77, vielleicht ist dass gerade das Problem an diesen Anschlüssen. Beide Leitungen waren vorher mit Annex B 6000 RAM geschaltet. Auf Nachfrage bei der Telekom ob nach der All-IP Umstellung beide Anschlüsse mit Annex J geschaltet werden habe ich zwei unterschiedliche Aussagen bekommen:

- "Klar wir vermarkten keine anderen Anschlüsse mehr. Sie werden dann umgestellt und sollten mehr Upload haben."
- "Hmmm ihr Anschluss wird hier nicht gelistet und es erfolgt keine technische Änderung, es fällt lediglich der NTBA weg und Sie benötigen keinen Splitter mehr."

Fakt 1: Im Kundencenter habe ich KEINEN Punkt 'Einstellungen zum Automatischen Internet-Zugang ändern'.
Fakt 2: Es ist jeweils Annex B geschaltet, warum auch immer.

Nächte Woche habe ich sehr wahrscheinlich mehr Zeit um nochmal weiter zu testen, für Erste war es wichtig alle MSNs und Sprachkanäle ans laufen zu bekommen. Es hängt halt eine Firma hinten dran.

Gruß
Markus

Eine weitere Frage kam mir gerade noch: Die Telekom verteilt ein 56-prefix und vom speedport wird ein 64-prefix an die fritzbox ins LAN weitergereicht. Mir ist aufgefallen, dass in einem Subnetz keine GUAs verfügbar sind nur ULAs, während im direkten LAN der fritzbox auch GUAs an Clients zugeteilt werden. Theoretisch müsste der speedport doch lediglich ein 60-prefix weiterreichen damit die fritzbox weitere Netze mit 64-prefix verteilen kann. Ist meine Überlegung soweit richtig? Lässt sich das einfach umsetzen?

Grüße
Markus