Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

VLANs mit DHCP an Digibox Smart

Gelöst

Hallo Zusammen,

ich habe schon einige Themen hier durchgelesen, komme aber irgendwie auf keinen grünen Zweig.

Ich würde gerne an der DigiBox Smart ein paar VLANs einrichten und alle über einen (tagged?) Port an den Firmen-VLAN-Switch weiterreichen.

 

An der Digibox steckt nur ein LAN-Kabel (Port 1), das zum VLAN-fähigen Switch verbindet. Alle anderen Ports sind unbelegt.

 

Die Konfiguration soll so aussehen:

VLAN 20 für die Telefonie (DHCP mit 192.168.20.0-255 von der Digibox benötigt) inkl. Internetzugriff

VLAN 30 fürs Firmennetz (kein DHCP von der Digibox benötigt) inkl. Internetzugriff

VLAN 40 fürs Gästenetz (DHCP mit 192.168.40.0-255 von der Digibox benötigt) inkl. Internetzugriff

VLAN 50 für sonstige Geräte (DHCP mit 192.168.50.0-255 von der Digibox benötigt) OHNE Internetzugriff.

Alle VLANs sollten natürlich keine Kommunikation untereinander haben, bis auf die untenstehenden "Ausnahmen"

 

Die Telefonanlage in VLAN 20 kann für die Desktopanwendung rückmelden, wer anruft. Wie kann ich das am schlauesten dann von VLAN 20 (Telefonie) ins VLAN 30 (Firmennetz) routen?

Gleiches gilt dann wahrscheinlich für VLAN 50: Hier müssten manche Geräte auf einen freigegebenen Ordner auf einem Server aus VLAN 30 zugreifen, aber sonst nichts aus VLAN 30 mitbekommen und auch kein Internet nutzen können.

 

Kann mir jemand dazu helfen? Was muss ich genau wo einstellen?

Herzlichen Dank bereits im Voraus!

1 AKZEPTIERTE LÖSUNG
Lösung

Hallo @huett ,

es gibt mehrere Möglichkeiten das zu realisieren.

 

Zum Beispiel:

1) Unter Physikalische Schnittstellen -> Ethernet-Ports den Switch Port 1 auf en1-1 umstellen.

2) Unter LAN -> IP-Konfiguration en1-1 konfigurieren. Schnittstellenmodus Tagged, VLAN-ID = 20, IP-Adresse z.B. 192.168.20.1, Nicht Vertrauenswürdig.

3) - 5) Unter LAN -> IP-Konfiguration mit Neu die VLAN-IDs 30, 40, 50 basierend auf en1-1 anlegen (IP-Adresse und Nicht Vertrauenswürdig).

Jetzt hast du deine VLANs konfiguriert, entsprechende Netzwerkrouten werden automatisch erstellt.

 

Als nächsten erstellst du deine DHCP-Pools und konfigurierst den DHCP-Server. Alles unter Lokale Dienste -> DHCP-Server.

 

Da alle Schnittstellen nicht vertrauenswürdig sind, mußt du jetzt in der Firewall alle Dienste, die du nutzen willst freigeben.

Unter Firewall -> Dienste -> Gruppen gibt es normalerweise die Gruppe Internet und wlan_guest_local_access.

Falls nicht, mußt du die anlegen.

Unter Firewall -> Richtlinien -> IPv4-Filterregeln mußt du für die Schnittstellen, die DHCP und DNS benutzen einen Eintrag in der Form:

Quelle: LAN_EN1-1 Ziel: LAN_LOCAL Dienst: wlan_guest_local_access Aktion: Zugriff

Quelle: LAN_EN1-1-1 Ziel: LAN_LOCAL Dienst: wlan_guest_local_access Aktion: Zugriff

.

.

erstellen, sonst gibt es keine IPv4-Adresse per DHCP und die Namensauflösung funktioniert auch nicht.

 

Die Schnittstellen, die auch Internetzugang benötigen werden mit:

Quelle: LAN_EN1-1 Ziel: WAN_DTAG INTERNET-ZUGANG Dienst: Internet Aktion: Zugriff

angelegt.

 

So kannst du auch bestimmte Dienste von z.B. LAN_EN1-1 zu LAN_EN1-1-1 einstellen und erlauben.

 

Viel Spaß.

 

 

 

Lösung in ursprünglichem Beitrag anzeigen  

Lösung

Hallo @huett ,

es gibt mehrere Möglichkeiten das zu realisieren.

 

Zum Beispiel:

1) Unter Physikalische Schnittstellen -> Ethernet-Ports den Switch Port 1 auf en1-1 umstellen.

2) Unter LAN -> IP-Konfiguration en1-1 konfigurieren. Schnittstellenmodus Tagged, VLAN-ID = 20, IP-Adresse z.B. 192.168.20.1, Nicht Vertrauenswürdig.

3) - 5) Unter LAN -> IP-Konfiguration mit Neu die VLAN-IDs 30, 40, 50 basierend auf en1-1 anlegen (IP-Adresse und Nicht Vertrauenswürdig).

Jetzt hast du deine VLANs konfiguriert, entsprechende Netzwerkrouten werden automatisch erstellt.

 

Als nächsten erstellst du deine DHCP-Pools und konfigurierst den DHCP-Server. Alles unter Lokale Dienste -> DHCP-Server.

 

Da alle Schnittstellen nicht vertrauenswürdig sind, mußt du jetzt in der Firewall alle Dienste, die du nutzen willst freigeben.

Unter Firewall -> Dienste -> Gruppen gibt es normalerweise die Gruppe Internet und wlan_guest_local_access.

Falls nicht, mußt du die anlegen.

Unter Firewall -> Richtlinien -> IPv4-Filterregeln mußt du für die Schnittstellen, die DHCP und DNS benutzen einen Eintrag in der Form:

Quelle: LAN_EN1-1 Ziel: LAN_LOCAL Dienst: wlan_guest_local_access Aktion: Zugriff

Quelle: LAN_EN1-1-1 Ziel: LAN_LOCAL Dienst: wlan_guest_local_access Aktion: Zugriff

.

.

erstellen, sonst gibt es keine IPv4-Adresse per DHCP und die Namensauflösung funktioniert auch nicht.

 

Die Schnittstellen, die auch Internetzugang benötigen werden mit:

Quelle: LAN_EN1-1 Ziel: WAN_DTAG INTERNET-ZUGANG Dienst: Internet Aktion: Zugriff

angelegt.

 

So kannst du auch bestimmte Dienste von z.B. LAN_EN1-1 zu LAN_EN1-1-1 einstellen und erlauben.

 

Viel Spaß.

 

 

 

Du kannst auch eine (oder mehrere) neue Schnittstelle(n) mit Tagged VLAN auf BR0 hinzufügen.

Telekom hilft Team
Hallo @huett,

vielen Dank, dass Sie mit Ihrem Anliegen den Weg zu uns gefunden haben.

Haben die Hinweise von @wari1957 und @Kalle2014 weiter geholfen?
Melden Sie sich gern, sofern weitere Hilfe benötigt wird.

Viele Grüße Heike Ha.
Hallo @wari1957,

besten Dank für Deine/eure kompetente Hilfe.
Ich glaube, so kann das funktionieren. Habe das jetzt mal so ausprobiert, es klappt im Kern auch, was sich mir aber nicht erschließt:
Wenn ich alles so eingerichtet habe, bekommt mein Netzwerk im Firmen VLAN, in dem ja ein eigenständiger DHCP arbeitet, keine IPv4's mehr zugewiesen, sondern nur noch IPv6 und der gesamte Netzwerkverkehr ins Internet ist kriechend langsam, bzw. um einige Sekunden verzögert. Manche Websiten lassen sich gar nicht aufrufen. Woran kann das liegen?
Stelle ich wieder alles zurück auf Anfang, funktioniert das Netzwerk wieder wie gewünscht schnell und komplett auf IPv4-Basis.

Die Oberfläche der Digibox ist aus dem neuen VLAN auch nicht mehr erreichbar, das klappt nur noch über einen anderen Port. Ist das Absicht?

@huett 

- Die Oberfläche der Digibox ist aus dem neuen VLAN auch nicht mehr erreichbar, das klappt nur noch über einen anderen Port. Ist das Absicht? 

Das kannst du unter Systemverwaltung -> Administrativer Zugriff einstellen.

 

- Wenn ich alles so eingerichtet habe, bekommt mein Netzwerk im Firmen VLAN, in dem ja ein eigenständiger DHCP arbeitet, keine IPv4's mehr zugewiesen, sondern nur noch IPv6 und der gesamte Netzwerkverkehr ins Internet ist kriechend langsam, bzw. um einige Sekunden verzögert. Manche Websiten lassen sich gar nicht aufrufen. Woran kann das liegen?

Da mußt du strukturiert suchen, wo du was falsch gemacht hast.

 

 

@wari1957
Vielen Dank. Dann werde ich mal suchen, was ich falsch gemacht habe. Kann die schlechte Netzwerkverbindung damit zusammenhängen, dass die Oberfläche (und damit auch das Gateway?) der Digibox nicht erreichbar war in dem VLAN?

@huett 

- Kann die schlechte Netzwerkverbindung damit zusammenhängen, dass die Oberfläche (und damit auch das Gateway?) der Digibox nicht erreichbar war in dem VLAN?

Nein.

Für den administrativen Zugriff auf die Digitalisierungsbox mußt du die gewünschten Schnittstellen explizit freigeben.

Kann natürlich auch sein, daß du den Dienst http in den Firewallregeln vergessen hast.

 

@wari1957 


Kann natürlich auch sein, daß du den Dienst http in den Firewallregeln vergessen hast.


Das kann gut sein - ich werde das mal testen, wenn das Netzwerk mal ruhig ist. Vielen Dank!

Telekom hilft Team
Moin @huett,

vielen Dank, dass Sie sich hier an die Community wenden.

Wie ich sehe, wurde Ihnen durch @wari1957 bereits sehr gut weitergeholfen. Testen Sie den Vorschlag gerne einmal so aus.
Und die Rückmeldung an uns bitte nicht vergessen Zwinkernd

Liebe Grüße aus Kiel
Gerrit H.

@wari1957 

So, gestern Abend habe ich mal alles so umgesetzt. Das hat auch soweit gut geklappt. Besten Dank für die Hilfe!

Was mich aber noch immer wundert:

- Ich kann in den VLANs nicht auf die Oberfläche der Digibox zugreifen, obwohl alle Schnittstellen unter "administrativer Zugriff" aktiviert sind. Woran kann das liegen?

 

- Ich habe ja jetzt ein VLAN (inkl. DHCP von der Digibox) eigens für die Telefonie. Das VLAN ist auch online, ich kann auf das Internet zugreifen nach der Einrichtung, die Telefonanlage meckert aber, dass der DNS nicht funktionieren würde. Muss ich da etwas besonderes einstellen? Anrufe können auch abgesetzt und angenommen werden, allerdings wird keine Sprache übertragen. Muss ich dahingehend noch etwas freigeben in der Firewall o.ä.?

 

- Jetzt will die Telefonanlage (aus VLAN 110) noch auf den Port 123 auf dem Server 192.168.1.100 aus VLAN 100 funken. Wo kann/muss ich das wie einstellen? Alternativ müssen die Maschinen in VLAN 120 den freigegebenen Ordner "Maschinen" auf dem selben Server (192.168.1.100, VLAN 100) zugreifen können. Das gebe ich dann wahrscheinlich ähnlich, wie bei der Telefonanlage in der Firewall ein, oder?

 

Mal wieder ein dickes > Dankesehr < an alle Beteiligten!

@huett 

- Ich kann in den VLANs nicht auf die Oberfläche der Digibox zugreifen, obwohl alle Schnittstellen unter "administrativer Zugriff" aktiviert sind. Woran kann das liegen?

Müßte ich mal ausprobieren, ich vermute einen Konfigurationsfehler.

Hast du den Dienst http von den einzelnen VLANs zu LAN_LOCAL erlaubt?

 

- Ich habe ja jetzt ein VLAN (inkl. DHCP von der Digibox) eigens für die Telefonie. Das VLAN ist auch online, ich kann auf das Internet zugreifen nach der Einrichtung, die Telefonanlage meckert aber, dass der DNS nicht funktionieren würde. Muss ich da etwas besonderes einstellen? Anrufe können auch abgesetzt und angenommen werden, allerdings wird keine Sprache übertragen. Muss ich dahingehend noch etwas freigeben in der Firewall o.ä.?

In welcher Betriebsart läuft die Smart (PBX oder MGW).

Wie sehen denn deine Firewalleinträge für das VLAN aus (Screenshots)?

Für RTP müßte man wahrscheinlich noch die entsprechenden Port freigeben.

 

- Jetzt will die Telefonanlage (aus VLAN 110) noch auf den Port 123 auf dem Server 192.168.1.100 aus VLAN 100 funken. Wo kann/muss ich das wie einstellen? Alternativ müssen die Maschinen in VLAN 120 den freigegebenen Ordner "Maschinen" auf dem selben Server (192.168.1.100, VLAN 100) zugreifen können. Das gebe ich dann wahrscheinlich ähnlich, wie bei der Telefonanlage in der Firewall ein, oder?

Das wird normalerweise in der Firewall eingestellt.

 

 


@wari1957  schrieb:

@huett 

- Ich kann in den VLANs nicht auf die Oberfläche der Digibox zugreifen, obwohl alle Schnittstellen unter "administrativer Zugriff" aktiviert sind. Woran kann das liegen?

Müßte ich mal ausprobieren, ich vermute einen Konfigurationsfehler.

Hast du den Dienst http von den einzelnen VLANs zu LAN_LOCAL erlaubt? Nein, tatsächlich nicht. Welche Funktion hat das?

 

- Ich habe ja jetzt ein VLAN (inkl. DHCP von der Digibox) eigens für die Telefonie. Das VLAN ist auch online, ich kann auf das Internet zugreifen nach der Einrichtung, die Telefonanlage meckert aber, dass der DNS nicht funktionieren würde. Muss ich da etwas besonderes einstellen? Anrufe können auch abgesetzt und angenommen werden, allerdings wird keine Sprache übertragen. Muss ich dahingehend noch etwas freigeben in der Firewall o.ä.?

In welcher Betriebsart läuft die Smart (PBX oder MGW). Die Box läuft komplett ohne Telefonie. Unsere TA wählt sich mit den SIP-Daten eigenständig über die Internetverbindeung der Digibox ein.

Wie sehen denn deine Firewalleinträge für das VLAN aus (Screenshots)? Muss ich nachreichen, wenn das Netzwerk ruhig ist. Aktuell läuft wieder/noch alles ohne VLANs.

Für RTP müßte man wahrscheinlich noch die entsprechenden Port freigeben.

 

- Jetzt will die Telefonanlage (aus VLAN 110) noch auf den Port 123 auf dem Server 192.168.1.100 aus VLAN 100 funken. Wo kann/muss ich das wie einstellen? Alternativ müssen die Maschinen in VLAN 120 den freigegebenen Ordner "Maschinen" auf dem selben Server (192.168.1.100, VLAN 100) zugreifen können. Das gebe ich dann wahrscheinlich ähnlich, wie bei der Telefonanlage in der Firewall ein, oder?

Das wird normalerweise in der Firewall eingestellt. Probiere ich auch mal. Danke!

 

 


 

@huett 

LAN_LOCAL ist die Kiste selber.

Wenn du also per http auf die Konfigurationsoberfläche willst, brauchst du einen entsprechenden Firewalleintrag.

Quelle: "das VLAN", Ziel: LAN_LOCAL, Dienst: http, Aktion: Zugriff.

 

- Die Box läuft komplett ohne Telefonie. Unsere TA wählt sich mit den SIP-Daten eigenständig über die Internetverbindeung der Digibox ein.

Dir ist aber schon klar, daß die Kiste ein eingebautes SIP-ALG hat.

Wie verbindet sich denn deine TA mit dem Telefonieserver, udp, tcp oder tls?

 

 

Um eine VoIP - TK-Anlage an der DigiBox betreiben zu können, muss die DigiBox Smart im MGW - Modus konfiguriert werden.

 

Zum  VLAN: Ich hatte schon mal den Fall, das ein manuell eingerichtetes VLAN erst richtig funktioniert hat nachdem ich eine SSID mit der VLAN-ID versehen angelegt und dem Slave-AP der DigiBox zugeordnet habe. Die SSID habe ich dann offline gesetzt.

Der Grund: Durch den WLAN - Controller werden die LAN - Schnittstellen vom WLC verwaltet, und alles was dieser nicht kennt wird ausgebremst.

Vielen Dank!
Ich probier das mal, wenn das Netzwerk ruhig ist.

Dann muss ich nur noch zwei WLAN-Netze an zwei der neuen VLANs koppeln/eingliedern. Das probiere ich mal.

Telekom hilft Team
Guten Tag @huett,

hatten Sie bereits die Möglichkeit die Tipps auszuprobieren?

Freundliche Grüße
Marita W.
Guten Tag @Marita W.
leider noch nicht - mal sehen, wann ich dazu komme!
Viele Grüße!
Telekom hilft Team
Hallo @huett,


vielen Dank für Ihre Nachricht.

Alles klar, melden Sie sich gerne.

Ich freue mich über eine Information, ob es geklappt hat.


Viele Grüße
Marita W.

Hallo lieber @huett,

 

ich wollte fragen, ob Sie mit ihrem Setup weitergekommen sind bzw. ob sich das Problem mit der Nutzeroberfläche gelöst hat?

Wenn ich Ihren ersten Post richtig verstehe, scheinen wir ein ähnliches Problem zu haben bzw. ein ähnliches Setup anzustreben: Digibox Smart per tagged trunk VLAN an einen Router, der die VLANs verwaltet und die DHCP-Server darauf laufen hat, korrekt?

 

Ich bin leider noch nicht wirklich weitergekommen, wäre aber an einer Lösung sehr interessiert. Gibt es da Ihrerseits Fortschritte?

 

Viele Grüße,

TheDJ

Hallo lieber @TheDJ42 ,

 

ich würde gerne gute Nachrichten überbringen, muss aber gestehen, dass ich seither schlicht keine Zeit hatte, die genannten Vorschläge umzusetzen.

Ich hoffe, in den (ruhigeren) Zeit "zwischen den Jahren" dahingehend voranzukommen und mich anschließend melden!

 

Viele Grüße!

@wari1957: Es ist schon eine Weile her, dass Du auf meine ursprüngliche Frage geantwortet hattest - Darf ich Dich nochmal um Rat fragen:
Gestern kam ich endlich dazu, alles in aller Ruhe auszuprobieren. Es hat auch fast alles geklappt, die VLANs sind sauber angelegt, die Firewalleinträge gesetzt, ein Teil der VLANs bekommt auch wie gewünscht seine Adressen vom DHCP der Digibox und alle VLANs arbeiten wie gewünscht.

Einzig das VLAN, in dem die Telefonie stattfindet, schafft es noch nicht, die Sprache sauber nach draußen, bzw. wieder herein zu routen. Wir betreiben die Telefonanlage "hinter" der Digibox. Die in der Digibox integrierte TA ist nicht aktiv.

 

Eingehende und abgehende Anrufe werden sauber angekündigt, d.h. das Telefon des Gesprächpartners klingelt, jedoch wird nach dem Abnehmen keine Sprache übertragen und das Telefonat bricht nach ca. 10 Sekunden Stille automatisch ab.

 

In der Firewall habe ich den Zugriff von dem VLAN, bzw. dessen Schnittstelle, auf LAN_LOCAL mit dem Dienst wlan-guest-local-access erlaubt und auch auf das Internet (beides voreingestellte Gruppen). Zusätzlich habe ich noch den sip-Dienst erlaubt.

Habe ich noch etwas vergessen? Welche Ports brauche ich denn für RTP oder gibt es dafür auch einen voreingestellten Dienst in der Digibox?

 

Paradoxerweise funktioniert die Sprachübertragung mit der Standardkonfiguration der Digibox ohne VLANs einwandfrei.

 

Vielen Dank bereits für alle Hinweise und Mühen & einen guten Rutsch ins neue Jahr!

@huett 

- Einzig das VLAN, in dem die Telefonie stattfindet, schafft es noch nicht, die Sprache sauber nach draußen, bzw. wieder herein zu routen. Wir betreiben die Telefonanlage "hinter" der Digibox. Die in der Digibox integrierte TA ist nicht aktiv.

Funktioniert die Telefonie, wenn du das VLAN auf vertrauenswürdig umstellst?

 

- Welche Ports brauche ich denn für RTP oder gibt es dafür auch einen voreingestellten Dienst in der Digibox?

Die konfigurierst du doch in deiner TK-Anlage.

Firewallregeln mußt du dann entsprechend anlegen.

 

Sieh dir mal dieses Video an:

https://www.youtube.com/watch?v=lrmCvywvGmA