Dual-WAN: Routing auf das jeweilige Interface

Es gibt 10 Antworten in diesem Thema, welches 2.128 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

    Moin erstmal an die Community.


    Ich finde es ja schonmal großartig euch gefunden zu haben. So brauche ich mich vielleicht nicht mehr mit meinen rudimentären Englisch-Kenntnissen quälen.😅


    Ob ich den Thread hier richtig eingestellt habe weiss ich nicht. Aber das wird mir mit Sicherheit verziehen. Hab schon versucht das ein oder andere hier im Forum zu finden aber die Geschichte an der UDM-Pro mit Dual-WAN und Load Balancing scheint ja noch nicht so lange im Gespräch zu sein.


    Ich schildere auch mal mein Szenario und was ich eigentlich warum und wie vor habe. Vielleicht hat ja schon jemand eine ähnliche Konstellation oder einen besseren Vorschlag.


    Gegeben ist folgendes:

    • UDM Pro
    • ISP 1 Telekom DSL 16.000 über Draytek Modem an WAN 1 (läuft)
    • ISP 2 EWE Glasfaser 75.000 direkt über das sfp Modul (aus der mitgelieferten FRITZ!Box) an WAN 2 (läuft)

    Jetzt geht es mir darum, dass die Telefonie-SIP-Geschichte (konfiguriert in Agfeo-Telefonanlage) wohl nur über den Telekom-Anschluss läuft. Ich hab es zumindest nicht über die EWE hinbekommen.


    Jetzt habe ich es wie folgt konfiguriert:

    • Telefonie 10.0.0.0 Telefonanlage, IP-Telefone.
    • Netzwerk 172.0.0.0 PCs, NAS und sonstige Netzwerk-Geräte.

    Dann habe ich eine Route erstellt, die sagt, dass alles an Traffic aus dem Telefonie-VLAN über das Interface Telekom läuft. Und eine zweite Route die sagt, dass alles aus dem Netzwerk-VLAN über das Interface EWE läuft.


    Das hat auch soweit in den ersten Versuchen geklappt: Telefonie läuft und Internet kommt egal wie ich die Balance Regel mit 75.000 rein. Er hat ja quasi auch nix zum ausgleichen, da ja fest definiert ist, was worüber laufen soll.


    Jetzt hab ich aber das Problem, dass auf den PCs eine CTI-Telefonsoftware läuft, die ja auf das Telefonie-Netzwerk zugreifen muss und andersrum.

    Die Frage ist also: Wie stelle ich das am besten an?

    Und ist das, was ich da bastel', eine einigermaßen vernünftige Lösung oder gibt es einen eleganteren Weg?

    Zitat von Jan_OL

    Jetzt hab ich aber das Problem, dass auf den PCs eine CTI-Telefonsoftware läuft, die ja auf das Telefonie-Netzwerk zugreifen muss und andersrum.

    Die Frage ist also: Wie stelle ich das am besten an?

    Und ist das, was ich da bastel', eine einigermaßen vernünftige Lösung oder gibt es einen eleganteren Weg?

    Tja, schwer zu sagen, denn das, was du bastelts, teilst Du ja nicht mit :frowning_face:


    Lediglich, dass Du zwei funktionieren Vlans hast, ist bekannt. Und wie swag schon schrieb, sind bei UI die Vlans gegenseitig erreichbar, solange man nicht Hand in der FW angelegt hat. Du solltest also aus dem PC-Netz die Agfeo nicht nur anpingen können, sonder auch auf deren GUI kommen (falls die eine hat). Klappt das nicht, hat die FW die Schotten dicht gemacht. Funktioniert es jedoch, ist es dann die Frage, wie Du den Tapi-Treiber auf den PCs einrichtest, der muss ja die Agfeo auch erreichen können (ich hoffe ja, das ist kein Uralt-Modell, welches Capi benötigt).


    Schreib doch mal ein bißchen mehr.

    Es könnte auch an der Software liegen. Sie erwartet möglicherweise explizit den Gegenpart im selben Netz.
    Konfiguriere die LAN-Schnittstelle deines PC mal mit einer zusätzlichen IP-Adresse aus dem Zielnetz ohne eine Gateway-Adresse.


    Diese Verhalten hat man bei vielen Produkten im Telefonieumfeld. So hat auch die Fritz!Phone-App ein Problem damit, wenn die FB in einem anderen Netzwerksegment steht. Und da nutzt das Ganze routen nicht, wenn die Software es nicht will.


    PS: Ich fände das automatische "bridgen" zwischen den VLAN als Sicherheitslücke, das macht keine andere FW, die ich kenne. Man kann sich da doch die Sache mit den VLAN sparen, wenn die Netze nicht gegeneinander abschotten sind und macht ein 10.x.x.x Netz. :thinking_face:
    Ich habe bisher nur ein LAN und ein Gast-Netz, werde es aber mal Test.

    Hallöchen,
    wie ihr gemerkt habt, liegt mir nicht nur englisch nicht, sondern auch deutsch scheint nicht meine Stärke zu sein. Danke fürs Aufräumen.😉


    Habe mal eine kleine Zeichnung gefertigt, wie ich mir das vorstelle. Und was alles so in meinem Netzwerk vorhanden ist. Mal schauen, ob der Gedankengang so richtig ist und ob nach eurer Meinung die Aufteilung so Sinn ergibt. IP Bereiche sind erstmal nur zur Veranschaulichung.


    Wenn es hier sinnvollere Aufteilungen gibt, gerne her mit den Vorschlägen. Ich bin kein ITler. Alles, was ich da so umsetze, ist reines probieren und YouTube Wissen.


    Zu den bisherigen Antworten.
    Das Problem mit der CTI Dashboard Software. Die Kommunikation zwischen den vlan's funktioniert. Ich hatte mir nur schon vorher eine Regel in die Firewall gesetzt, die es unterbunden hat.


    Die vlan's sollen ja zum einen untereinander abschotten und zum anderen mir die Steuerung ermöglichen, welcher Traffic über welchen ISP geht.


    Auch die Kameras sollen nicht den gesamten Traffic über das ganze Netz verteilen.

    Diese Aufteilung sieht sehr gelungen aus und erscheint mit zukunftsorientiert.

    Zu deinem Problem mit der Telefoniesoftware.
    Warum nimmst du den Admin-PC nicht zusätzlich ins VLAN 30 mit einer festen IP.
    Mehrere VLAN pro Port/Netzwerkkarte funktionieren ja, siehe der AP.
    Wie gesagt Telefonzentralen/Software sind sehr zickig gegenüber Zugriffe von extern. Damit wurde früher sehr viel und sehr teurer Schindluder getrieben. AVM hat da viel reingesteckt, um die Boxen abzusichern, z.B. gegen hacken für 0900 Anrufe.

    Zitat von phino

    Warum nimmst du den Admin-PC nicht zusätzlich ins VLAN 30 mit einer festen IP.

    Hmm ich glaube nicht, dass das hilft - es sollen ja wohl alle PCs CTI können. Um dies im Netzwerk zu realisieren, bedarfs es i.d.R. einen CTI-Server(dienst), welcher die "Wünsche" der Clients entgegen und an die TK zur Ausführung weiter gibt. Würde man eine "gestandene" CTI-Suite einsetzen (z.B. Estos ProCall Enterprise), würde ein PC mit Beinen in zwei Netzwerken vielleicht helfen. In einem Netzwerk kommuniziert dieser dann mit den PCs und über das andere steuert er per TAPI die Telefonanlage.


    Da ich aber nun voraussetze, dass der TE passend zu seiner Agfeo ES 516 auch die eierlegende Wollmilchsau "TK-Suite ES" bzw. auf den PC den "TK-Suite-Cient ES" verwenden möchte (ich meine, diese gibt es immer noch kostenlos zur Anlage hinzu), nutzt ein dedizierter CTI-Server nix, denn den hat die Agfeo gleich mit eingebaut (und dieser nutzt per se kein TAPI). Die PCs müssen sich daher auf Gedeih und Verderb mit der Agfeo verbinden können, sonst ist nix mit CTI :frowning_face:


    Wenn dann jedoch die Agfeo Verbindungsanfrage aus fremden Netzen ablehnt, hilft tatsächlich nur, PCs und Telefonie in ein gemeinsames Netzwerk zu werfen (ich verstehe ohnehin nicht, wozu die Telefonie im SOHO-Umfang ein eigenes netzwerk brauchen sollte) - oder eben Estos ProCall Enterprise kaufen (funktioniert sau gut) :face_with_tongue:

    Ich glaube, in den vielen Büroumgebungen sind die Arbeitsplätze und Telefone im selben Netz. Meist geht dort LAN ins Telefon und dann weiter in den PC. Aber größtenteils nicht sehr performant, weil häufig die IP-Telefone überwiegend nur 100 MB durchreichen. Da muss man schauen, ob deine Modelle mehr können.

    Die Frage ist, ob du Ports in der FW öffnen musst für die SIP-Kommunikation nach außen. Dies wäre aber sicher nur zur ES 516. Bei deiner Anzahl von Telefon hast du vermutlich einen SIP-Trunk Anschluss, da weiß ich nicht was man da einrichten muss, damit dies funktioniert in verschiedenen Netze.

    Ja, es handelt sich um einen SIP Trunk Tarif, den wir auf keinen Fall ändern wollen. Darum ja auch die Geschichte mit dem DUAL WAN und das Routing der Telefongeschichte über WAN Telekom und Internet über den neuen EWE Glasfaseranschluss WAN 2. Den SIP Trunk der Telekom bekomme ich über den EWE Anschluss nicht zu laufen. Sonst würde ich den Telekom-Anschluss einfach als Failover laufen lassen. Und wenn ich einen bestimmten Traffic einem WAN Interface zuordnen möchte, muss ich diesen doch in ein separates Netzwerk stecken, oder?

    Ich glaube, da kommen wir hier nicht weiter. Weil die PCs willst du ja nicht Richtung DSL, sondern nach GF.

    Mit deinem Netzwerkplan solltest du dich besser an Agfeo wenden. Solche Probleme werden denen nicht neu sein. Wahrscheinlich wird es da Lösungsansätze geben und dann kann man hier schauen wie es mit der UDM umzusetzen geht.

    Zitat von Jan_OL

    Den SIP Trunk der Telekom bekomme ich über den EWE Anschluss nicht zu laufen.

    Eigentlich unterbindet die Telekom die nomadische Nutzung, aber wenn Du die DNS-Server der Telekom verwendest, könnte es dennoch funktionieren - probiere es einfach mal aus. Hast du aber vielleicht sogar einen Geschäftsanschluß (z.B. CompanyFlex), dann geht dies von vornherein.


    Zitat von Jan_OL

    Und wenn ich einen bestimmten Traffic einem WAN Interface zuordnen möchte, muss ich diesen doch in ein separates Netzwerk stecken, oder?

    Grundsätzlich nein, aber es kommt darauf an, was Dein Router als "Unterscheidungsmerkmal" händeln, daher, wo nach er routen kann. Bei mir sind das IPs, IP-Gruppen, Netzwerke, FQDNs, User, Usergruppen, Dienstarten, Anwendungsobjekte, etc. - was UI da kann

    Zitat von phino

    Meist geht dort LAN ins Telefon und dann weiter in den PC.

    Na ja, die Regel ist schon seit vielen, vielen Jahre, mindesten 2 Ports pro Arbeitsplatz --> siehe dienstneutrale, universelle Gebäudeverkabelung.