Fritzbox mit VOIP in der DMZ betreiben

Wie kann man das Konfigurieren?
Post Reply
Rumpel
Posts: 8
Joined: February 9th, 2018, 9:41 am

Fritzbox mit VOIP in der DMZ betreiben

Post by Rumpel » February 9th, 2018, 10:03 am

Hallo *,

ich bin neu hier im Forum aber nichts desto trotz habe ich eine Frage und hoffe, dass mir jemand einen Tipp geben kann.

Ich möchte an einen Kabelanschluss (Vodafon, Altvertag 32MB mit separatem Kabelmodem) statt der Fritzbox an dem Modem den ipfire betreiben. Und in der DMZ des ipfire soll die Fritzbox weiterhin die Telefonie (ISDN-Telefonanlage) bewerkstelligen.

Der ipfire am Kabelmodem funktioniert problemlos mit der Einstellung „dhcp-client“ an ROT.
Aber die Fritzbox stellt sich in der DMZ absolut bockig an. ENTWEDER muss die Fritzbox als dhcp-clinet betrieben werde, was aber einen DHCP-Server in der DMZ erfordert, ODER ich muss einen Weg finden, der Fritzbox „eingangsseitig“ also auf LAN1 feste Netzwerkeinstellungen zu verpassen. Für Letzteres habe ich weder bei AVM noch anderswo im Netz eine brauchbare Lösung gefunden.

Daher meine Frage:
Wie kann ich dhcp in der DMZ des ipfire einrichten. Das dhcp in der DMZ aus Sicherheitsgründen eigentlich nicht gedacht ist, habe ich bereits gelesen. Aber das bringt mich nicht weiter.

Alorotom
Posts: 375
Joined: March 30th, 2015, 6:56 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Alorotom » February 9th, 2018, 10:27 am

Hallo Rumpel,

https://avm.de/service/fritzbox/fritzbo ... inrichten/

Kein DHCP in der DMZ erforderlich. Statische Konfiguration der Schnittstelle mit passenden IP Parametern und gut.

Wenn die FB nur als TK laufen soll, wofür braucht die FB dann Internet? Sofern Du einen klassischen ISDN-Anschluss hast, ist das für Telefonie nicht erforderlich.

Gruß
Alorotom
Image
Image
Image

Rumpel
Posts: 8
Joined: February 9th, 2018, 9:41 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Rumpel » February 9th, 2018, 10:44 am

Hallo Alorotom,

danke für die schnelle Antwort. Zu den statischen Einstellungen der FB habe ich bisher nichts gefunden. Oder den Punkt mit der statischen Einstellung überlesen. Ich werde mal probieren, ob das bei meiner alten FB7270 geht.

Warum ich die FB mit Internetzugang benötige? Nun einerseits habe bei Vodafone nur VOIP zur Verfügung. Also nichts mit klassischem ISDN. Und außerdem will ich eigentlich das WLAN der FB weiterhin nutzen, wenn auch nur für Handys.

Gruß Rumpel

Alorotom
Posts: 375
Joined: March 30th, 2015, 6:56 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Alorotom » February 9th, 2018, 11:44 am

Steht doch da unter 2 Absatz 9. > "IP Adresse manuell" festlegen.

Für VoIP stellen die Fritz!Boxen intern je nach Provider gewisse Dinge ein (da werden u.a. gewisse Ports verdeckt geöffnet). Wenn Deine FB nun nicht direkt am Internet hängt, weiß ich nicht, ob das dann so wie von Dir gewünscht gehen wird. Auch wenn als WLAN-AP die Funktion gegeben ist und die Handys darüber ins Internet kommen, bedeutet das noch nicht, dass VoIP auch geht.

Außerdem bleibt die FB weiterhin auch eine Firewall und ein Router. Sprich, die DMZ von IPFire ist auf der WAN-Seite der FB und Deine Handys am WLAN hängen auf der LAN-Seite der FB. Normalerweise. Mit nochmal eigenem Subnetz und DHCP der FB für die LAN-Seite.

Von der anderen Variante, die DMZ von IPFire an die LAN-Seite der FB zu hängen, solltest Du Abstand nehmen, wenn Du nicht ganz genau weißt, was Du da machst. Wie Du schon geschrieben hast, kämst Du um einen DHCP in der DMZ dann nicht herum und (es ist eine DMZ!) die FB wäre mit der LAN-Seite direkt am Internet. Genauso wie die über WLAN verbundenen Devices. Ohne einschränkendes Regelwerk für ORANGE auf IPFire wären alle diese Geräte direkt ungeschützt am Internet.

Gruß
Alorotom
Image
Image
Image

Rumpel
Posts: 8
Joined: February 9th, 2018, 9:41 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Rumpel » February 9th, 2018, 1:15 pm

Ich gehe davon aus, das VOIP mittels Portweiterleitungen und ggf. NAT auch in der DMZ funktioniert. Die betreffenden Ports sollten eigentlich durch die FW hindurch zu schleusen sein. Da habe ich eigentlich nicht so riesige Bedenken. Eher, ob die APU2 bei 2 gleichzeitigen Telefonaten und Internetnutzung hinterherkommt, Obwohl das bei 4 Kernen und 1 GHz wohl machbar sein sollte.

Dass die FB obwohl sie in der DMZ der ipfire hängen soll, selbst auch noch mal NAT betreibt und ein eigenes abgesichertes Netz mit separater FW aufbaut, ist mir durchaus bewusst. Das sollte aber der Nutzung mit den genannten Handys nicht entgegenstehen.

Und nein, ich habe nicht im geringsten vor, Die DMZ der ipfire in irgendeiner Weise mit dem LAN der FB zu „verbandeln“. Damit würde ich nämlich zumindest das Konzept und Ziel der DMZ ad absurdum führen.

Gruß Rumpel

Rumpel
Posts: 8
Joined: February 9th, 2018, 9:41 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Rumpel » February 13th, 2018, 12:14 pm

Das mit dem Routing der Telefonie hat doch nicht geklappt, wie ich mir das gedacht habe. Bekomme weder eine gehende Verbindung noch ein kommende zustande, wenn die FB in der DMZ der ipfire hängt. Habe aber auch nicht mehr wer weiß welche Portweiterleitungen etc. ausprobiert. Die Angaben im Netz sind da da teilweise voneinander abweichend, welche Ports für SIP verwendet werden.

Allerdings verwende ich noch die Original-Hardware (Modem + Router) von Kabeldeutschland/Vodafone. Kann sein, dass dann hier nicht SIP sondern VOC für die Telefonie verwendet wird. Habe aber auch weder die Zeit noch die Muße, ewig im Netz nach passenden Hinweise zu suchen und alles durchzuprobieren.

Werde die ipfire jetzt mit WLAN komplettieren und hinter die FB schalten. Dann ist zumindest hinter der FB alles dicht und kontrollierbar.

Unabhängig davon Alorotom, danke für Deine Hinweise und HIlfe.

Gruß Rumpel

Rumpel
Posts: 8
Joined: February 9th, 2018, 9:41 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Rumpel » March 28th, 2018, 7:44 pm

So, jetzt habe ich den Kram nochmal in Ruhe ausprobiert.

1. Versuch:
ipfire direkt am Modem geht - aber nicht mit der FritzBox dahinter in der DMZ. VOIP bzw. VOC ist da absolut bockig.
Die ipfire als solche funktioniert in dieser Konstellation aber prächtig, einschließlich DNSsec - nutzt mir leider nur nicht wirklich was 8((

2. Versuch:
Fritzbox am Modem - wie von vodafone gedacht. Die ipfire mit fester IP im LAN der FB funktioniert nicht. Komme an die FB VOR der ipfire heran. Aber nur mit IP. DNS oder gar DNSsec - Fehlanzeige. DNS in dieser Konstellation geht einfach nicht. Dabei spielt es auch keine Rolle, ob die ipfire in der FB als exposed-Host eingetragen ist oder nicht. Habe deswegen mal im Vodafone-Forum gestöbert. Anscheinend werden die DNS-Anfragen durch die FB auf DNS-Server von Vodafone umgebogen. Und die scheinen mit DNSsec nicht klarzukommen. Oder meine alte FB (eine 6 Jahre alte 7270) zickt da rum. Das kann ich leider nicht wirklich rausbekommen.

Trotzdem noch mal Danke an alle "Tippgeber".

Gruß (von einem über Vodafone frustrierten) Rumpel

PS: werde wohl darüber nachdenken müssen, ob Vodafone weiterhin der "Provider meines Vertrauens" bleibt... Routerfreiheit sieht für mich anders aus!

Alorotom
Posts: 375
Joined: March 30th, 2015, 6:56 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Alorotom » March 28th, 2018, 8:49 pm

Hallo Rumpel,
Rumpel wrote:
March 28th, 2018, 7:44 pm
1. Versuch:
Mit den erforderlichen Portforwardings etc. für vodafone VOC oder SIP oder VoIP oder what ever kann ich leider nicht dienen. Wenn dazu nicht jemand anderes noch was postet, ist es halt eine Fleißarbeit, dies zu recherchieren. Es ist sicherlich nicht mit den üblichen Standardports getan. Und es sind vermutlich eine ganze Menge Ports bzw. Portbereiche. Möglicherweise bietet die FB 7270 mit halbwegs aktueller Firmware auch die Möglichkeit, die aktiven Portweiterleitungen im erweiterten Menü nachzuschlagen. Natürlich nur, wenn die FB am Modem hängt. Das wäre dann zumindest ein Anhaltspunkt, was Du analog in IPFire nachvollziehen müsstest. Wenn, dann siehe unter "Diagnose > Sicherheit > Übersicht geöffnete Ports für den Zugriff aus dem Internet".
Rumpel wrote:
March 28th, 2018, 7:44 pm
2. Versuch:
Es ist möglich, dass, wie Du schreibst, vodafone an dem Anschlusstyp die DNS-Requests abfängt und auf eigene DNS umleitet. Gelesen habe ich das hier im Forum bisher aber nicht. Wie hast Du denn ermittelt, dass es so sein soll?
Mit der Einstellung "Exposed Host" nimmst Du jedenfalls keinen Einfluss auf die DNS-Auflösung und ein starkes Argument gegen Deine These ist vor allem, das IPFIre direkt am Modem einwandfrei läuft - mit DNSSEC. Auch als Kaskade Kabelmodem > Fritz!Box > IPFire muss es eigentlich gehen. Das ausgerechnet die Fritz!Box die DNS-Requests umbiegt, glaube ich erst mal nicht. Fritz!Boxen sind übrigens auch DNSSEC-fähig. Jedenfalls mit halbwegs aktueller Firmware.

Gruß
Alorotom
Image
Image
Image

Rumpel
Posts: 8
Joined: February 9th, 2018, 9:41 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Rumpel » April 13th, 2018, 7:51 am

Hallo Alorotom,

bin jetzt längere Zeit nicht dazu gekommen, die Sache weiter zu untersuchen.

zu Punkt 1:
Das muss ich mir mal auf der Fritzbox ansehen. Allerdings glaube ich nicht, da groß weiterzukommen. Die Hütte leitet die Ports ja nicht weiter sondern lässt lediglich die Verbindung auf das interne SIP/VOC-System zu. Insofern dürften da auch keine Port-Weiterleitungen bestehen, die auf irgend einem Wege auszulesen wären.

zu Punkt 2:
Die Info mit dem "Umleiten" der DNS-Anfragen habe ich aus dem Vodafone-Forum. Die Umleitung scheint die FB zu machen, nicht Vodafone selbst. Zum Zugriff über die IP-Fire hinter der FB hatte ich mich ja bereits geäußert. Von daher kann dieser Punkt mit dem gestörten DNSsec nur von der FB selbst her kommen. Allerdings hatte ich auch schon die PC's hinter der FB mit eigenen DNS eingestellt. Aber immer nur Standard, nicht DNSsec. Standard-DNS lässt die FB entweder durch oder kann sie fehlerfrei umleiten, was anscheinend bei DNSsec nicht der Fall ist.

Mal sehen, ob ich im Netz was finde, wie ich die tatsächliche Konfoguration der FB auslesen/ermitteln kann. Vielleicht komme ich da weiter.

Gruß Rumpel

Alorotom
Posts: 375
Joined: March 30th, 2015, 6:56 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Alorotom » April 13th, 2018, 8:44 am

Rumpel wrote:
April 13th, 2018, 7:51 am
zu Punkt 1:
[..]Die Hütte leitet die Ports ja nicht weiter sondern lässt lediglich die Verbindung auf das interne SIP/VOC-System zu. Insofern dürften da auch keine Port-Weiterleitungen bestehen, die auf irgend einem Wege auszulesen wären.
Hallo Rumpel,
Du missverstehst. Es geht darum zu erkennen, welche Ports die Fritz!Box öffnet, damit das in der FB residierende VoIP-Modul mit vodafone arbeiten kann. Und diese Ports müsste dann eine IPFire an eine FB hinter der IPFire forwarden, damit die FB hinter einer IPFire im gleichen Sinne VoIP bedienen könnte. Unter anderem.
zu Punkt 2: [..]aus dem Vodafone-Forum. Die Umleitung scheint die FB zu machen, nicht Vodafone selbst.[..]
Wenn Du auf diese Aussage weiter bauen willst ...
Von hier noch mal ganz klar die Auskunft, dass eine FB vor einer IPFire überhaupt kein Hinderungsgrund für DNSSEC ist. Funktioniert einwandfrei. Sogar in der Form, dass für meine IPFire die FB der DNS ist und aus Sicht von IPFire ist mit DNSSEC alles fein. Hier funktioniert das einfach, weil auch die vom Provider in der FB bei Einwahl zugewiesenen DNS DNSSEC-fähig sind.

Lies halt bei AVM nach, die dokumentieren die DNSSEC-Fähigkeit der FBs.

Gruß
Alorotom
Image
Image
Image

Rumpel
Posts: 8
Joined: February 9th, 2018, 9:41 am

Re: Fritzbox mit VOIP in der DMZ betreiben

Post by Rumpel » April 14th, 2018, 9:34 pm

Hallo Alorotom,

das ich Ports durch die ipfire durchleiten muss, ist mir schon klar. Mir ist nur unklar, wie ich eben diese Daten aus der FB auslesen kann, um dann entsprechende Portweiterleitungen auf der ipfire einzurichten.

Das avm solch eine dns-Umleitung nicht macht, ist mir weitgehend klar. Die FB stammt allerdings von KDG. Und es ist eine alte 7270, die von avm nicht mehr supported wird. Mal davon abgesehen, was avm im Auftrag von KDG damals mal entwickelt haben wird. Bei aktuellen avm-Boxen gehe ich auch von einer korrekten dns-Umsetzung aus. Ob man sich aber bei der alten Version noch die Arbeit gemacht hat, vermag ich nicht zu beurteilen. Habe aber auch nicht versucht, dnssec über die FB von Seiten der Rechner zu erzwingen. Ansonsten bleibt eben immer noch das seltsame Fehlerbild bestehen.

Möglicherweise habe ich auch einen Denkfehler auf ROT, was dns betrifft? Ich habe in der ipfire 2 freie dnssec-Server eingetragen. Ist da vielleicht irgendwo der Wurm drin?

Gruß Rumpel

Post Reply

Who is online

Users browsing this forum: No registered users and 3 guests