willhe
Goto Top

Policy Based Routing mit Edgerouter ER-4 oder doch Load Balancing?

Hallo,

ich möchte meine alte Fritzbox als Telefonanlage an meinen Edgerouter ER-4 anbinden (siehe Bild für mehr Details). Die Fritzbox ist mit aktuellem FritzOS ausgestattet und ist VLAN fähig WAN seitig. Die FTTH Internetverbindung mit VLAN 132 läuft bereits einwandfrei mit dem ER-4. Damit nun VOIP über die Fritzbox läuft , sind einige Routing-Einstellungen vorzunehmen, die mir auch nach ausgiebiger Recherche im WWW nicht klar sind. Offensichtlich sind die Zauberworte hierbei PBR und/oder Load Balancing. Ich denke, das Load Balancing habe ich prinzipiell verstanden und würde die CLI Commands auf die Kette bekommen. Bei PBR stehe ich allerdings auf dem Schlauch und ich denke, es geht hier hauptsächlich um PBR?! Wer kann mir dabei helfen, eine Config für den ER-4 zu "basteln" ?


- Ist ein next-hop-interface vti0 für DHCP WAN interface praktikabel?
- ist die PBR rule 1000 notwendig?

configure

edit protocols static
set table 11 description VOIP
set table 11 route 0.0.0.0/0 next-hop-interface vti0

set firewall group network-group PRIVATE_NETS network 10.0.0.0/8
set firewall group network-group PRIVATE_NETS network 172.16.0.0/12
set firewall group network-group PRIVATE_NETS network 192.168.0.0/16
set firewall group network-group ETH2_NETS network 172.16.10.0/24

set firewall modify PBR rule 10 description RFC1918_Route_Main
set firewall modify PBR rule 10 destination group network-group PRIVATE_NETS
set firewall modify PBR rule 10 modify table main

set firewall modify PBR rule 20 description ETH2_Route_Table11
set firewall modify PBR rule 20 source group network-group ETH2_NETS
set firewall modify PBR rule 20 modify table 11

set firewall modify PBR rule 1000 action modify
set firewall modify PBR rule 1000 modify table main

set interfaces ethernet eth2 vif 232 firewall in modify PBR

Commit
save
netzwerk

Content-Key: 575560

Url: https://administrator.de/contentid/575560

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: aqui
aqui 29.05.2020 aktualisiert um 20:26:03 Uhr
Goto Top
mit aktuellem FritzOS ausgestattet und ist VLAN fähig WAN seitig.
Sorry, aber das ist technischer Quatsch ! Es ist allgemein bekannt das die FritzBox mit originalem FritzOS nur ein simples outbound Tagging aber keine vollständigen 802.1q VLAN Fähigkeiten weder auf dem WAN noch auf dem LAN Port besitzt. Egal welches Modell.
In einem Administrator Forum sollte man wenn, dann schon etwas genauer hinsehen !
Mitglied: Henere
Henere 29.05.2020 um 18:23:24 Uhr
Goto Top
Uhhhhh...

https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Falls Ihr Internetanbieter die Nutzung einer bestimmten VLAN-ID vorschreibt, klicken Sie auf "Verbindungseinstellungen ändern", aktivieren Sie die Option "VLAN für den Internetzugang verwenden" und tragen Sie die VLAN-ID ein.  

Oder ist das was anderes ?
Mitglied: aqui
aqui 29.05.2020 aktualisiert um 18:59:14 Uhr
Goto Top
Das ist etwas Anderes !
Tagge an der FB einmal 3 VLANs am WAN Port und route dazwischen ! Sagt vermutlich alles zu dem Thema...?! face-wink

Im Grunde ist das Design ja kinderleicht.
FritzBox mit dem LAN Port und richtiger IP, DNS und Default Router an eth2 anklemmen
SIP Credentials einrichten und fertig ist der Lack
Idealerweise testet man das mit einem simplen Softphone wie z.B. dem Phoner:
http://phoner.de/index.htm
vorher wasserdicht im Voice Segment aus. Wenns damit klappt, klappt es auch mit der FB.
Wieso man hier sowas wie PBR oder LB machen will obwohl es in dem o.a. Design nichtmal einen Mehrfach Internet Zugang und somit ein sinvolles Einsatzszenario dafür gibt muss einem auch erstmal jemand erklären. Aber das versteht wohl auch nur der TO selber...?!
Mitglied: Henere
Henere 29.05.2020 um 20:03:48 Uhr
Goto Top
Ich wollte nur Deinem KEINERLEI widersprechen. Von Funktionsumfang war nie die Rede. face-smile
Mitglied: aqui
aqui 29.05.2020 um 20:25:37 Uhr
Goto Top
OK, korrigiert ! face-wink
Mitglied: Willhe
Willhe 30.05.2020 um 08:43:28 Uhr
Goto Top
Erstmal möge man es mir verzeihen , dass ich kein IT Fachmann bin, sondern ein "engagierter Home-IT Nutzer" face-wink
Danke für den Tip mit dem Softphone. Es scheint, als ob ich die Dinge etwas zu kompliziert betrachtet habe. Ich habe mich an die VLAN Aufsplittung in VLAN 132 und 232 (VOIP) festgebissen und dachte die Lösung ist ein PBR. Es stimmt natürlich, dass es nur ein ISP und nur eine WAN Schnittstelle gibt. Es stimmt natürlich auch, dass die FB keine vollständigen 802.1q VLAN Fähigkeiten besitzt, das habe ich auch nicht behauptet. Ich kann der FB jedoch sagen "tagge VLAN 232 für Telefonie" und z.B. "tagge VLAN 132 für Internet". Wenn ich mich richtig erinnere, kann ich die FB aber für die Telefonie als IP Client über LAN1 an ER-4 eth2.232 übergeben?!

Und im ER-4 erstelle ich einfache NAT-Rules wie diese?

set service nat rule 5000 description "Masquerade for Internet"
set service nat rule 5000 log enable
set service nat rule 5000 outbound-interface eth0.132
set service nat rule 5000 protocol all
set service nat rule 5000 type masquerade

set service nat rule 5001 description "Masquerade for VOIP"
set service nat rule 5001 log enable
set service nat rule 5001 outbound-interface eth0.232
set service nat rule 5001 protocol all
set service nat rule 5001 type masquerade

Oder muss es eine Rule sein wie z.B. masquerade alles von 172.16.10.0/24 zum eth0.232 Interface?
Mitglied: aqui
aqui 30.05.2020 aktualisiert um 11:40:34 Uhr
Goto Top
Das Voice IP Netz ist ja nur ein Subnetz des gleichen Providers fast immer nutzen die auch RFC 1918 IP Netze dafür. Deshalb ist PBR und LB hier irrelevant. Hättest du auch gesehen wenn du dir die Routing Tabelle deines Routers einmal angesehen hättest. face-wink
Ob du eine Schrotschuss Masquerade Rule oder eine Spezifische setzt ist eher eine kosmetische Frage.
Aus dem Voice VLAN kann ja logischerweise niemals etwas anderes kommen was KEIN anderen Absender IP als 172.16.10.x /24 hat. Insofern kann man auch spezifisch werden. Wie gesagt...Kosmetik.
Mitglied: Willhe
Willhe 30.05.2020 um 14:57:52 Uhr
Goto Top
Danke, so langsam sehe ich Licht am Ende des Tunnels face-smile Habe mir noch einmal die Einstellmöglichkeiten in der FB angesehen. Wenn sie als "IP-Client" über LAN1 eingestellt ist, also keine Internetverbindung selbst aufbaut, kann ich keine VLANs mehr vergeben. Wenn ich das nun richtig verstanden habe, muss sie das auch nicht. Ich vergebe der FB die IP Adresse 172.16.10.2, klemme sie an ER-4 eth2 172.16.10.1 als Standard Gateway (eth2 ist nicht VLAN 232 getaggt) und masquerade das Ganze durch eth0.232 Richtung WAN (VLAN 232 getaggt). Sollte es so funktionieren? Mir ist nicht ganz klar, wie spezifisch ich beim Routing sein muss, da meine NAT Rule momentan wie auf dem Bild aussieht und WAN eth0.232 momentan überhaupt nicht eingebunden ist.

nat

Und wie sieht es mit der Portweiterleitung für SIP aus? Im ER-4 kann ich "Auto-Firewall" anklicken. Oder eine SIP port Gruppe erstellen und mit WAN_IN verlinken? Wäre das Sip port Bereich 5060-5090 ?
Mitglied: aqui
aqui 30.05.2020 um 19:48:48 Uhr
Goto Top
kann ich keine VLANs mehr vergeben.
Nöö, musst du ja auch gar nicht und ist zudem ja auch falsch, denn das macht doch üblicherweise dein Internet Router über das entsprechende Subinterface !!
Wenn ich das nun richtig verstanden habe, muss sie das auch nicht.
Bingo ! Der Kandidat hat 100 Punkte ! face-wink
Sollte es so funktionieren?
Es sollte !
Mir ist nicht ganz klar, wie spezifisch ich beim Routing sein muss
Gar nicht. Über das Subinterface wird dem Internet Router ja eine Routing Tabelle injiziert. Er "weiss" also welche Netze er über welches Interface senden muss. Kannst du dir auch in der Routing Tabelle selber ansehen.
In der FB liegen ja die SIP Adresse des VoIP Servers und die löst er zu einer Provider IP auf und entscheidet dann je nach Zielnetz über Subinterface x oder y.
Eigentlich doch ganz einfach...?!
Und wie sieht es mit der Portweiterleitung für SIP aus?
Braucht man eigentlich nicht wenn SIP Keepalives aktiv sind oder noch besser man mit dem STUN Server des Providers arbeitet was die FB in der regel macht.
Wenn nicht richtest du wie üblich ein Forwarding ein von UDP/TCP 5060 auf die lokale IP der FB.
Wäre das Sip port Bereich
Eigentlich nur 5060 TCP und UDP, da SIP beides benutzen kann aber die FritzBox bekanntlich rein nur UDP nutzt beoi SIP.
Wireshark ist wie immer hier im Zweifelsfalle dein allerbester Freund ! Nutze den also.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Mitglied: Willhe
Willhe 31.05.2020 um 15:49:02 Uhr
Goto Top
Ich verzweifele langsam am 2. VLAN für VOIP über eth0.232. Die Internetverbindung geht nicht bzw braucht seeeehr lange, um Seiten aufzulösen, sobald der Router über DHCP an eth0.232 (VOIP) eine IP-Adresse bekommen hat. Da stimmt doch irgendetwas mit dem Routing nicht oder?!

Grob habe ich das bis jetzt gemacht:

- FB für SIP Telefonie konfiguriert und ohne VLAN tag an ER-4 eth2 mit statische IP Adresse
- WAN eth0.132 und eth0.232 an die selben WAN_IN und WAN-LOCAL firewall Regeln gebunden
- NAT Regel 5010 masq eth0.132 saddr 10.111.0.0/17 proto-all to <ISP IP-Adresse via VLAN 132>
- NAT Regel 5011 masq eth0.232 saddr 172.16.10.0/24 proto-all to <ISP IP Adresse via VLAN 232>

Was mache ich nur falsch bzw. habe ich vergessen? Muss ich doch expliziter werden bei den Regeln "alles aus eth2 geht Richtung eth0.232" und "alles aus eth1 geht Richtung eth0.132"? Ein Setup mit unterschiedlichen Routing Tables hat mit diesem Vorhaben doch wenig zu tun und sollte nur bei PBR oder Load Balancing interessant werden bei mehr als ein ISP?

Am Mittwoch startet der FTTH Vertrag offiziell und die Telefonnummern werden portiert. Ich bitte um Hilfe! face-smile
Mitglied: aqui
aqui 31.05.2020 um 19:30:33 Uhr
Goto Top
Da stimmt doch irgendetwas mit dem Routing nicht oder?!
Was sagt die Router Routing Tabelle ?? Da sollte doch immer der erste Blick hingehen !
Muss ich doch expliziter werden bei den Regeln "alles aus eth2 geht Richtung eth0.232"
Was denn für Regeln ??? Unverständlich ??
Ein Setup mit unterschiedlichen Routing Tables
Es gibt nur eine zentrale Routing Tabelle !!! Du arbeitest doch nicht mit VRFs ! Mal ganz abgesehen davon das die UBQT Gruselgurke sowas gar nicht kann. Oder was meintest du mit "mehrfachen" Tabellen ? Auch unverständlich.