[teilweise gelöst] UM / Fritzbox / Lancom / Router-Kaskade/ Yealink IP-Phone

[GeorgBNM]

Hallo liebe LANCOM-Spezialisten,

als Unitymedia Business Kunde muss ich die Fritzbox 6490 als Modem nutzen. Dieses hat als Gateway (192.168.1.1) das lokale Netzwerk 192.168.1.0 aufgespannt und stellt zudem noch die (private) Telefonie und privates WLAN zur Verfügung. Der Lancom-Router (1780EW-4G+) hängt als Exposed Host mit seinem WAN-Port (ETH0) an einem Netzwerk-Port der Fritzbox und hat eine statische IP seitens Unitymedia zugeteilt bekommen. Lokales Netzwerk des Lancom läuft mit diesem als Gateway unter seinem eigenen Subnetz (192.168.74.0). Internet-Zugang und das besagte Subnetz läuft über einen unmanaged Switch von TP-Link (ETH1) damit ohne Probleme. Ein IP-Telefon von Yealink (T53W) befindet sich im Netzwerk des Lancom-Routers und stellt problemlos seine Verbindung zu einem externem VOIP-Anbieter her.

Netzwerkdiagramm.pdf

Nun zur Fragestellung:

Wie kann ich die SIP-Accounts der Fritzbox auch auf dem IP-Phone im Netz des Lancom verfügbar machen, so dass die gesamte Telefonie (geschäftlich/ privat) darüber abgebildet werden kann? Zugriff abseits der Fritzbox lässt Unitymedia nicht zu.

Ich kann die Fritzbox zwar anpingen, allerdings ein Routing war mir bisher nicht möglich. Wie kann ich die beiden privaten Netze verbinden, dass auf die SIP-Accounts der Fritzbox zugegriffen werden kann? Nur mit der Fritzbox als Gateway-Router klappte dies, allerdings gibt es triftige Gründe, weshalb der Lancom-Router nun zusätzlich genutzt werden muss.

Nachtrag vom 31.12.2019:
Ich habe meine gewünschte Konfiguration nun mit Hilfe zweier VLAN-fähigen Switches umsetzen können. Allerdings benötigt mein Konzept noch etwas Feintuning hinsichtlich des LANCOM, damit es dann komplett so funktioniert, wie ich mir das vorstelle. Dazu eröffne ich dann aber einen weiteren Thread. Danke für die Hilfe bis hierher!

Danke für Eure Ideen und Hilfe!

Beste Grüße

Georg

[philiplb]

Ich kann zwar bei diesem Problem nicht helfen, wäre aber an einer Stelle neugierig: Wie verträgt sich denn hier der Fritzbox-Zwang mit der Routerfreiheit?

[GeorgBNM]

Guter Punkt,

aber hier heißt es wohl seitens UM, wenn eine feste IP gewünscht wird, dann musst Du mit der FritzBox leben.
Ist wegen Business-Account, sonst können die die Leistung nicht garantieren.
Im schlimmsten Fall muss ich da wohl noch einmal nachhaken...

Danke trotzdem

Georg

[otellodb]

Wir haben hier aber alle unsere unitymedia Business Anschlüsse mit reinen modems (eigentlich Hitron Router im Bridge Modus) im Einsatz und das funktioniert dann mit Lancom perfekt. Wir haben reine internet Business Anschlüsse natürlich mit fester IP (bis zu fünf).

[GeorgBNM]

Wir haben hier aber alle unsere unitymedia Business Anschlüsse mit reinen modems (eigentlich Hitron Router im Bridge Modus) im Einsatz und das funktioniert dann mit Lancom perfekt. Wir haben reine internet Business Anschlüsse natürlich mit fester IP (bis zu fünf).

@otellodb

Bleibt nur die Frage: Baden-Württemberg oder nicht?
Hier findet doch immer noch eine Trennung der Funktionalität statt, oder nicht?

Danke,

Georg

[CyberT]

[snip]

[CyberT]

Hallo zusammen,

Wir haben hier aber alle unsere unitymedia Business Anschlüsse mit reinen modems (eigentlich Hitron Router im Bridge Modus) im Einsatz

Bleibt nur die Frage: Baden-Württemberg oder nicht?
Hier findet doch immer noch eine Trennung der Funktionalität statt, oder nicht?

Entscheidend ist bei einem Unitymedia Business Anschluss (egal ob mit aktivierter fester IP oder ohne), ob Telefonie mitgebucht wurde ("Office Internet & Phone") oder nicht ("Office Internet"). Wenn Internet & Phone gebucht wurde, dann erhält man von Unitymedia immer eine FRITZ!Box 6490, wenn nur Internet gebucht wurde dann erhält man immer das Hitron CGNV4. Das ist, zumindest in Hessen, schon seit über 2 Jahren so und wird bis dato auch so unverändert gehandhabt.

Ich kann zwar bei diesem Problem nicht helfen, wäre aber an einer Stelle neugierig: Wie verträgt sich denn hier der Fritzbox-Zwang mit der Routerfreiheit?

Das Hitron-Modem wird durch die Business Technik-Hotline bei Aktivierung einer festen IP mittels Provisionierung in den RIP-Mode versetzt (vormals Bridge-Mode). Und das funktioniert derzeit eben nur mit diesen beiden Kabelmodems.

[...] und das funktioniert dann mit Lancom perfekt. Wir haben reine internet Business Anschlüsse natürlich mit fester IP (bis zu fünf).

Das kann ich bestätigen. - Ich habe das auch an mehreren Orten exakt so am Laufen und das funktioniert seit geraumer Zeit nicht nur sehr gut und stabil (diverse eingehende/ausgehende statische VPN-Tunnel direkt zum/vom LANCOM, etc.), sondern auch sehr performant.


Gruß.

[fildercom]

Bleibt nur die Frage: Baden-Württemberg oder nicht?
Hier findet doch immer noch eine Trennung der Funktionalität statt, oder nicht?

Entscheidend ist bei einem Unitymedia Business Anschluss (egal ob mit aktivierter fester IP oder ohne), ob Telefonie mitgebucht wurde ("Office Internet & Phone") oder nicht ("Office Internet"). Wenn Internet & Phone gebucht wurde, dann erhält man von Unitymedia immer eine FRITZ!Box 6490, wenn nur Internet gebucht wurde dann erhält man immer das Hitron CGNV4. Das ist, zumindest in Hessen, schon seit über 2 Jahren so und wird bis dato auch so unverändert gehandhabt.

Das kann ich auch für BW bestätigen. Auch hier gibt es das Hitron CGNv4 bei den reinen "Office Internet"-Tarifen und bei den "Company Internet"-Tarifen.

Ich kann zwar bei diesem Problem nicht helfen, wäre aber an einer Stelle neugierig: Wie verträgt sich denn hier der Fritzbox-Zwang mit der Routerfreiheit?

Das Hitron-Modem wird durch die Business Technik-Hotline bei Aktivierung einer festen IP mittels Provisionierung in den RIP-Mode versetzt (vormals Bridge-Mode). Und das funktioniert derzeit eben nur mit diesen beiden Kabelmodems.

Keine Ahnung was der Unterschied sein soll, aber bei mir läuft das Hitron CGNv4 als reine Bridge und das funktioniert wunderbar, die feste IP wird direkt zum LANCOM durchgereicht.

[...] und das funktioniert dann mit Lancom perfekt. Wir haben reine internet Business Anschlüsse natürlich mit fester IP (bis zu fünf).

Das kann ich bestätigen. - Ich habe das auch an mehreren Orten exakt so am Laufen und das funktioniert seit geraumer Zeit nicht nur sehr gut und stabil (diverse eingehende/ausgehende statische VPN-Tunnel direkt zum/vom LANCOM, etc.), sondern auch sehr performant.

Auch das kann ich bestätigen, die Unitymedia-Leitung funktioniert auch hier in BW sehr stabil und zuverlässig. Besonders bei mehreren gleichzeitigen Verbindungen spielt das DOCSIS im Vergleich zum VDSL seine Stärken aus und gibt richtig Speed her.

[GrandDixence]

Ich kann die Fritzbox zwar anpingen, allerdings ein Routing war mir bisher nicht möglich.

Eintrag in der IP(v4)-Routingtabelle à la:

Code: Alles auswählen

LCOS-Menübaum > Setup > IP-Router > IP-Routing-Tabelle
IP-Adresse	IP-Netzmaske	Rtg-Tag	Peer-oder-IP	Distanz	Maskierung	Aktiv	Kommentar
192.168.1.1	255.255.255.255	0	UNITYMEDIA	0	Ein	        ja	Fritzbox 6490

vorhanden? => Es muss für den Fritzbox-Zugriff aus dem Heimnetzwerk/Firmennetzwerk die "block private networks"-Routingtabelleneinträge "übersteuert" werden. Die "block private networks"-Routingtabelleneinträge dienen zum Schutz des Heimnetzwerks/Firmennetzwerks und sollten aus Sicherheitsgründen nicht entfernt werden (ausser man weiss sehr genau, was man da konfiguriert...)

Die "block private networks"-Routingtabelleneinträge verhindern das Routing von allen IP-Datenpakete mit einer privaten IPv4-Adresse als Zieladresse über den LANCOM-Router (hier 1780EW-4G+). Und die IP-Adresse 192.168.1.1 der Fritzbox 6490 ist nun mal eine private IPv4-Adresse:
https://de.wikipedia.org/wiki/Private_IP-Adresse

Auf dem Yealink VoIP-Telefon muss NAT-Keepalive korrekt konfiguriert sein (=> mit Wireshark kontrollieren) ansonsten kann es sein, dass ankommende Gespräche nicht signalisiert werden, da der LANCOM-Router die für die Gesprächssignalisierung benötigte SIP-Verbindung (UDP Port 5060) "gekappt" hat (=> UDP Aging):

https://www.onsip.com/voip-resources/vo ... -keepalive

viewtopic.php?f=14&t=17281#p98088

Für Wireshark siehe:
viewtopic.php?f=31&t=17621&p=99943#p99943

[otellodb]

Baden-Württemberg
3 Standorte jeweils mit Hitron. IP wird an Lancom durchgereicht.

[GeorgBNM]

Sorry Leute,

hab irgendwie keine Benachrichtigung über Updates zu diesem Thread bekommen!
Danke für die hilfreichen Antworten bisher...

Vor allem die Route hatte ich bisher nicht drin:

Ich kann die Fritzbox zwar anpingen, allerdings ein Routing war mir bisher nicht möglich.

Eintrag in der IP(v4)-Routingtabelle à la:

Code: Alles auswählen

LCOS-Menübaum > Setup > IP-Router > IP-Routing-Tabelle
IP-Adresse	IP-Netzmaske	Rtg-Tag	Peer-oder-IP	Distanz	Maskierung	Aktiv	Kommentar
192.168.1.1	255.255.255.255	0	UNITYMEDIA	0	Ein	        ja	Fritzbox 6490

vorhanden? => Es muss für den Fritzbox-Zugriff aus dem Heimnetzwerk/Firmennetzwerk die "block private networks"-Routingtabelleneinträge "übersteuert" werden. Die "block private networks"-Routingtabelleneinträge dienen zum Schutz des Heimnetzwerks/Firmennetzwerks und sollten aus Sicherheitsgründen nicht entfernt werden (ausser man weiss sehr genau, was man da konfiguriert...)

Die "block private networks"-Routingtabelleneinträge verhindern das Routing von allen IP-Datenpakete mit einer privaten IPv4-Adresse als Zieladresse über den LANCOM-Router (hier 1780EW-4G+). Und die IP-Adresse 192.168.1.1 der Fritzbox 6490 ist nun mal eine private IPv4-Adresse:
https://de.wikipedia.org/wiki/Private_IP-Adresse

Die Route habe ich nun eingetragen, jetzt funktioniert Ping und Traceroute auf die Fritte.
Nur umgekehrt funktioniert es nicht, allerdings sollte dies doch auch der Fall sein, oder?

Die Yealink IP-Phones machen NAT-Keepalive per default, allerdings müssen die erst einmal auf die Fritzbox kommen.
Vom Yealink klappt der Ping, aber kein Traceroute.

Auf dem Yealink VoIP-Telefon muss NAT-Keepalive korrekt konfiguriert sein (=> mit Wireshark kontrollieren) ansonsten kann es sein, dass ankommende Gespräche nicht signalisiert werden, da der LANCOM-Router die für die Gesprächssignalisierung benötigte SIP-Verbindung (UDP Port 5060) "gekappt" hat (=> UDP Aging):

Vermutlich weil die Rückroute auf der Fritte fehlt. Kann die aber nicht einstellen, da das Teil immer meckert bei unbekannten Netzen.
Aber dafür ist doch die Einstellung da?!

Hab jetzt die Netzwerke per VLAN getrennt (Vorschlag vom Lancom-Support), eines für den regulären Internetzugang VLAN=1) und eines für die Fritzbox (VLAN=2), allerdings ohne nennenswerten Erfolg. Normalerweise sollte der Lancom mit seiner IP im Netz der fritte sichtbar sein. Tut er aber nicht...

Freue mich über euer geballtes Fachwissen!

Beste Grüße

Georg

[GrandDixence]

Vermutlich weil die Rückroute auf der Fritte fehlt.

Mit Packet Capture den Netzwerkdatenverkehr am WAN-Port des LANCOM-Routers während den Ping-Versuchen aufzeichnen. Und mit Wireshark kontrollieren, ob das Ping rausgeht und ein Pong am WAN-Port von der Fritzbox beim LANCOM-Router ankommt. => Für Wireshark-Anleitung siehe Link oben.

Sobald man mit VLAN hantiert, sollte in Wireshark die Anzeige der Spalte "VLAN" aktiviert werden:

Code: Alles auswählen

Spalte "VLAN" mit "802.1Q VLAN id" hinzufügen

Und der Einsatz von VLAN und ARF im Heimnetzwerk oder Firmennetzwerk ist aus Sicherheitsgründen immer empfehlenswert:
viewtopic.php?f=15&t=17569&p=99671#p99671
Aber das ist nicht das aktuelle Thema.

[GeorgBNM]

Mit Packet Capture den Netzwerkdatenverkehr am WAN-Port des LANCOM-Routers während den Ping-Versuchen aufzeichnen. Und mit Wireshark kontrollieren, ob das Ping rausgeht und ein Pong am WAN-Port von der Fritzbox beim LANCOM-Router ankommt. => Für Wireshark-Anleitung siehe Link oben.

Sobald man mit VLAN hantiert, sollte in Wireshark die Anzeige der Spalte "VLAN" aktiviert werden:

Code: Alles auswählen

Spalte "VLAN" mit "802.1Q VLAN id" hinzufügen

Und der Einsatz von VLAN und ARF im Heimnetzwerk oder Firmennetzwerk ist aus Sicherheitsgründen immer empfehlenswert:
viewtopic.php?f=15&t=17569&p=99671#p99671
Aber das ist nicht das aktuelle Thema.

Ich habe eine Intel-Netzwerkkarte am Rechner und den Workaround in der Registry umgesetzt, damit auch VLANs angezeigt werden in Wireshark. Leider klappt dies aber nicht... Bin aber auch nicht der Profi nach ein paar Versuchen...

Heute hat sich aber der Lancom-Support richtig reingehängt und per Teamviewer versucht alles einzustellen.
Leider hat er es auch nicht geschafft, trotzdem er alles gegeben hat.

Kommentar des Support-Mitarbeiters:

Die Momentane Konfiguration der Fritzbox verhindert den Zugriff über die WAN Gegenstelle des LANCOM.

Eine möglicher Workaround könnte mit einem VLAN Switch umgesetzt werden.

Genau hier würde ich ansetzen, nachdem ein weiterer Versuch mittels VPN von mir nicht von Erfolg gekrönt war. (Timeout beim Verbindungsaufbau).

Der Unitymedia-Support sagte jedenfalls, dass die Netze aufgrund der statischen IP getrennt sind und nicht aufeinander zugreifen können. Allerdings kann ich die Fritzbox anpingen und tracerouten. Da kann das doch nicht ganz stimmen.

Wenn ich jetzt noch einen VLAN-fähigen Switch einbaue, müsste doch mein Problem lösbar sein? Dann setze ich das IP-Phone in ein eigens VLAN zusammen mit der Fritzbox und schon müsste es laufen, oder?

Was meint ihr?

Danke für eure Hilfe!

Viele Grüße

Georg

[GrandDixence]

Ich habe eine Intel-Netzwerkkarte am Rechner und den Workaround in der Registry umgesetzt, damit auch VLANs angezeigt werden in Wireshark.

Mit Extras > Paket-Capturing im WEBConfig kann sehr einfach der Netzwerkdatenverkehr am WAN-Port des LANCOM-Routers aufgezeichnet werden:
https://www.lancom-systems.de/docs/conf ... uring.html

[GrandDixence]

Gemäss der Bedienungsanleitung der Fritzbox 6490 ist bei "Exposed Host" dieser Ethernetanschluss defakto "auf der WAN-Seite der Fritzbox" also auf der von der Firewall nicht geschützten Seite. Logischerweise ist aus Sicherheitsgründen von der WAN-Seite der Fritzbox kein Zugriff auf irgendwelche Serverdienste der Fritzbox möglich (Webinterface, VoIP-Telefoniedienst). Die Firewall der Fritzbox wird jeglichen Versuch eines solchen Zugriffs blockieren.

Abhilfe: Einen zweiten Ethernet-Port des LANCOM-Router als WAN-Port konfigurieren (DSL-2) und diesen mit einem "normalen" Ethernet-Port (LAN) der Fritzbox verbinden. Damit wird über den LANCOM-Router ein Zugriff auf die "LAN-Seite" der Fritzbox möglich. Über dieses zweite Ethernet-Kabel wird die Telefonie (VoIP: SIP/RTP auf 192.168.1.1) und der Konfigurationszugriff (HTTPS auf 192.168.1.1) auf die Fritzbox realisiert.

Der Internetanschluss läuft weiterhin über das erste, bereits bestehende Ethernet-Kabel zwischen LANCOM-Router und Fritzbox (Exposed Host => WAN-1 mit DSL-1 und Default-Route).