1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Forum zu LANCOM Systems VoIP Router/Gateways und zur LANCOM VoIP Option

Moderator: Lancom-Systems Moderatoren

Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Sepp1982 »

Hallo zusammen,

ich hoffe, ich poste im richtigen Forum, ansonsten bitte verschieben :)

Wir haben unseren Anschluss von der Telekom zu E.ON (ehem. Innogy) gewechselt und danach ging nichts mehr. Ich kann jetzt telefonieren, das Surfen direkt am Lancom-Router funktioniert aber nur sporadisch, hinter der Firebox überhaupt nicht. Im Grund soll VOIP dem VLAN 232 (Routing-Tag 400) und INTERNET dem VLAN132 (Routing-Tag 401) zugeordnet werden. Den Loadbalancer im Routing, der via Assistent erstellt wurde (Routing-Tag 402), habe ich deaktiviert.
Ich habe diesen Thread gefunden. Aber die Umsetzung hat nicht funktioniert. Ich kann sehen, dass die SIP-Einstellungen dem richtigen Routing-Tag 400 zugewiesen wurde. Was erklären würde, warum Telefonie anstandslos funktioniert. Aber Surfen funktioniert nicht, obwohl ich eine neue Default-Route erstellt habe:

Ip-Adresse: 10.0.0.0
Netzmaske: 255.255.255.0 (mehr IPs brauche ich nicht ;))
Routing-Tag: 401
Schaltzustand: Route aktiv, wird immer propagiert
Router: INTERNET
Rip-Distanz:0
IP-Maskierung: Intranet und DMZ maskieren (Standard)
Administrative Distanz: 0

Ich bin ratlos und weiß nicht, warum das nicht funktioniert. Das Netzwerk hinter der Watchguard Firewall T15 ist komplett offline bzw. kann nie surfen.

Hier noch ein paar Details:

LANCOM-Router 1781VA-4G, IP: 10.0.0.1 (aktuelle Firmware 10.40.0291RU1 (24.08.2020)
Fritzbox (Telefonie) am S0-Bus IP: 10.0.0.250
Watchguard T15 IP: 10.0.0.2

Wenn ich irgendwelche Angaben vergessen haben sollte, bitte Bescheid geben, dann werde ich diese nachreichen. Vielen Dank im Voraus.
Zuletzt geändert von Sepp1982 am 18 Nov 2020, 17:29, insgesamt 1-mal geändert.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von backslash »

Hi Sepp1982
Ip-Adresse: 10.0.0.0
Netzmaske: 255.255.255.0 (mehr IPs brauche ich nicht ;))
Routing-Tag: 401
Schaltzustand: Route aktiv, wird immer propagiert
Router: INTERNET
Rip-Distanz:0
IP-Maskierung: Intranet und DMZ maksieren (Standard)
Administrative Distanz: 0
das ist *KEINE Default-Route... Default-Route hat alks Adresse 255.255.255.255 und als Netzmaske 0.0.0.0.
Dasm dürfte auch schon die Erklärung dafür sein, daß das Surfen nicht funktioniert
und auch warum das Telefonieren hingegen funktioniert - wenn dein Provider sein SIP-Gateway im 10.0.0.0/8 Netz stehen hat

Gruß
Backslash
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Sepp1982 »

Sorry, die Default-Route lautet:

IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 401
Schaltzustand: Route aktiv, RIP-Propaganda
Router: INTERNET
RIP-Distanz: 0
IP-Maskierung: Intranet & DMZ
Administrative Distanz: 0

Die o.g. Route war mein Versuch, den gesamten Internet-Verkehr fürs 10er-Netz an das Routing-Tag 401 zu binden.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Jirka »

Sepp1982 hat geschrieben: 18 Nov 2020, 17:25 Die o.g. Route war mein Versuch, den gesamten Internet-Verkehr fürs 10er-Netz an das Routing-Tag 401 zu binden.
...und auch dafür ist sie komplett falsch.

Was Du brauchst, ist eine Default-Route mit Routing-Tag 0, die sollte man eigentlich immer haben und dazu zwei Default-Routen mit Routing-Tag 400 und 401. Von den letzten beiden Routen kann man eine möglicherweise auch einsparen, wenn dann letztlich die Default-Route mit Routing-Tag 0 greift, aber eine Route mehr an der Stelle stört jetzt auch nicht - einen entsprechenden Kommentar in der Route vorausgesetzt. Denn wer weiß, wer vielleicht mal was an der Default-Route ändert und dann betrifft die Änderung auch Sachen, die sie eigentlich nicht betreffen soll.

Jetzt musst Du mit Schnittstellen-Tags (bei IP-Netzwerken) oder Firewall-Regeln (Policy-based-Routing) oder Routing-Tags (bei SIP-Leitungen) nur noch dafür sorgen, dass die entsprechenden Default-Routen greifen - im Grunde genommen nicht schwierig.

Viele Grüße,
Jirka
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Sepp1982 »

IPv4-Routing-Tabelle.jpg
IP-Netzwerke.jpg
Das ist der aktuelle Stand der Dinge. Default Routes für 400 und 401 existieren bereits und die SIP-Leitungen sind versorgt, daher funktioniert auch die Telefonie einwandfrei. Die oberste Route bzw. den fehlerhaften Eintrag würde ich wieder löschen. Im Grunde möchte ich den gesamten Internetverkehr für alle angeschlossenen Geräte, so einfach wie möglich, durch die primäre Gegenstelle namens "INTERNET" jagen.

Ich hätte wohl bei Geräten für Otto-Normal-Verbraucher bleiben sollen, statt mir so ein Equipment zu besorgen :lol:

Ich schaue mir gerade die Schnittstellen mal an.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Jirka »

Sepp1982 hat geschrieben: 19 Nov 2020, 00:08 Das ist der aktuelle Stand der Dinge.
Ja, so hattest Du ihn beschrieben.
Aber dann solltest Du umsetzen, was ich beschrieben habe.
Sepp1982 hat geschrieben: 19 Nov 2020, 00:08 Im Grunde möchte ich den gesamten Internetverkehr für alle angeschlossenen Geräte, so einfach wie möglich, durch die primäre Gegenstelle namens "INTERNET" jagen.
Ja na dann lege eine Default-Route mit Rounting-Tag 0 an und der Gegenstelle INTERNET, wie ich bereits im letzten Posting geschrieben hatte.
Sepp1982 hat geschrieben: 19 Nov 2020, 00:08 Ich hätte wohl bei Geräten für Otto-Normal-Verbraucher bleiben sollen, statt mir so ein Equipment zu besorgen :lol:
Na ja, man kann auch jemanden fragen, der sich damit auskennt oder gleich ein (Gebraucht-)Gerät mit Einrichtung kaufen, denn dann sind das keine 10 Minuten hier. Die wären bei mir sogar kostenfrei mit dabei...

Viele Grüße,
Jirka
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Sepp1982 »

Ich würde gerne das Policy-Based-Routing vermeiden - dafür habe ich meine Gründe. Ich hab die Konfig via LANCONFIG angepasst und mich dann ausgesperrt. Musste den Router dann zurücksetzen und das Backup wieder einspielen. Vielen Dank für die Hilfen soweit :)

Die Default-Route ist bereits angelegt. Ich werde nachher einen aktuellen Screenshot hochladen :D Die Konfiguration des IP-Netzwerkes möchte sich mir nicht erschließen, weswegen ich mich wohl auch ausgesperrt habe :lol:

Eine Frage habe ich: Ist "Schnittstellen-Tag" = "Routing-Tag" oder sind das unterschiedliche Dinge?
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von hotzenplotz »

Sepp1982 hat geschrieben: 19 Nov 2020, 00:08 IPv4-Routing-Tabelle.jpg
Hier fehlt immer noch die Default-Route!

Grüße,
hotzenplotz
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Sepp1982 »

@hotzenplotz: Wie gesagt, ich werde nachher den aktuellen Screenshot hochladen, sobald ich dazu komme. Momentan schreibe ich von unterwegs. Danke für die Hilfe :)
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Sepp1982 »

IPv4-Routing-Tabelle-v2.jpg
So, wie versprochen, ist hier die aktuelle. Die IP-Netzwerke-Tabelle verwirrt mir noch ein bisschen. Standardmäßig ist die DMZ und INTRANET darin enthalten. Das sind aber keine Netzwerke, DMZ z.B. ist mit 10.0.0.1 ein Gerät bzw. der Router des 10ers. Unter Netzwerk verstehe ich 10.0.0.0, 192.168.0.0, 172.16.0.0. Wo mache ich einen Denkfehler bei dieser Tabelle?

Hab mir grad mal die "Advanced_Routing_and_Forwarding_(ARF).pdf" geladen. Ich möchte es verstehen, auch wenn die Konfiguration im späteren Verlauf des Tages vielleicht funktioniert. :D

Hab mir grad noch dieses durchgelesen. Ich kann also schon dies hier erstellen:
IP-Netzwerke-v2.jpg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von hotzenplotz »

Nein :cry:

Die Default Route muss ins WAN raus - hier muss statt "Default" entweder der LB oder Internet rein.

Gruß,
hotzenplotz
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Jirka »

Sepp1982 hat geschrieben: 19 Nov 2020, 12:24 So, wie versprochen, ist hier die aktuelle.
Oh je, eine Default-Route heißt nicht Default-Route, weil der Router/die zugeordnete Gegenstelle die DEFAULT-Gegenstelle ist, sondern weil es die Standard-Route ist, die greift, wenn keine andere Route zuvor gegriffen hat, Backslash hatte das oben doch schon erklärt, was eine Default-Route ist und wie die Adresse und Netzmaske dafür einzustellen ist.
Also bitte INTERNET als Router in der Default-Route auswählen.
Sepp1982 hat geschrieben: 19 Nov 2020, 12:24 Die IP-Netzwerke-Tabelle verwirrt mir noch ein bisschen. Standardmäßig ist die DMZ und INTRANET darin enthalten. Das sind aber keine Netzwerke,
Doch INTRANET ist ein Netzwerk und DMZ auch. Sie sind halt so bezeichnet. Mit dem Unterschied, dass das DMZ-Netzwerk mit 0.0.0.0 deaktiviert ist, also derzeit nicht verwendet wird.
Sepp1982 hat geschrieben: 19 Nov 2020, 12:24 DMZ z.B. ist mit 10.0.0.1 ein Gerät bzw. der Router des 10ers.
Das verstehe ich jetzt nicht, weiß aber auch nicht, wofür der Name DMZ bei Dir (im Netzwerk) so steht.
Sepp1982 hat geschrieben: 19 Nov 2020, 12:24 Ich kann also schon dies hier erstellen:
Nein. Erstens ist 10.0.0.0 bei der Netzmaske keine gültige IP-Adresse für den Router. Zweitens ist das Netz bereits oben mit dem INTRANET definiert. Drittens verwendest Du für das gleiche Netzwerk mal das Schnittstellen-Tag 0 und dann wieder das Schnittstellen-Tag 401 - welches soll der Router denn da nun nehmen? Das geht also nicht.
Sepp1982 hat geschrieben: 19 Nov 2020, 10:18 Ich würde gerne das Policy-Based-Routing vermeiden - dafür habe ich meine Gründe. Ich hab die Konfig via LANCONFIG angepasst und mich dann ausgesperrt.
Was aber nicht am Policy-Based-Routing liegt, sondern eher daran, dass Du Dich anderweitig so ausgesperrt hast, dass Du mir dem Gerät auf IP-Ebene halt nicht mehr kommunizieren konntest. Üblicherweise kommt das nur bei VLAN-Einsteigern vor, aber man kann es auch anders schaffen :-)
Sepp1982 hat geschrieben: 19 Nov 2020, 10:18 Eine Frage habe ich: Ist "Schnittstellen-Tag" = "Routing-Tag" oder sind das unterschiedliche Dinge?
Grob gesagt ja. Genau gesagt wird ein Schnittstellen-Tag zum Routing-Tag.

Viele Grüße,
Jirka
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Sepp1982 »

@JIRKA: DMZ war ein Tippfehler, ich meinte den Eintrag "INTRANET" 10.0.0.1, der eigentlich die eigene Adresse des Lancom-Routers wiederspiegelt.

Ich mache jetzt Nägel mit Köpfen und setzte den zweiten baugleichen Router komplett zurück. Dann sollten alle alten Einträge verschwinden, alte SIP-Leitungen, die ich zwar deaktiviert hatte und noch viel mehr Altlasten. Ein Kumpel, der sich mit diesen Teilen auskannte, hatte es mir damals eingestellt bzw. angepasst an den T-Kom-Anschluss, samt Backup-Router. Aber dieser Kumpel ist nicht mehr verfügbar. Ich hatte zuvor die Teile von meinem alten Arbeitgeber günstig abgestaubt, weil dieser zuvor aufgerüstet hatte.

Ich habe mich jetzt hier und da eingelesen und mit der Materie befasst, aber mein Wissen hat noch viele Lücken. Vielen Dank für eure Geduld und Hilfe.
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von Sepp1982 »

So... Router komplett zurückgesetzt, ersten Assistenten inkl. aktiviertem DHCP abgeschlossen. Zweiten Assistenten für die erste VDSL-Leitung durchlaufen lassen, anschließend zweite VDSL-Leitung eingerichtet.

Surfen am LANCOM-Router funktioniert. Telefonie auch, muss aber die Null vorwählen, da werde ich später noch die alten Call-Routen übernehmen, um das Problemchen zu lösen. Beim Einrichten der zweiten Leitung mit dem Assistenten habe ich den Loadbalancer verneint und die Standard-Route behalten. Hab anschließend eine zweite Default-Route mit Tag 1 erstellt und dann erst mit Hilfe des VOIP-Assistenten die SIP-Leitungen erstellt. Die SIP-Leitungen sind alle mit Tag 1 versehen. Anbei die Screenshots:
Gegenstellen(DSL)&IP-Netzwerke-neu-v1.jpg
IPv4-Routing-Tabelle-neu-v1.jpg
SIP-Leitungen-neu-v1.jpg
Jetzt stellt sich mir nur die Frage, warum der Laptop via DHCP am 4. Port surfen kann, aber die Fritzbox und die Firewall und somit die Geräte hinter der Watchguard-Firewall nicht online gehen können. Wobei: die Fritzbox und die Firebox sind im Grunde beides Router. Muss ich dem LANCOM-Router das auch klar machen?

EDIT: Ups. Da ist ein Template in der IPv4-Routing-Tabelle? Das müsste doch alles blockieren. Warum kann darf dann der Laptop surfen? Und warum existieren diese Templates überhaupt von Werk aus :lol: Die machen doch alles komplizierter für Anfänger wie mich :D Zum Glück sind die durch 0.0.0.0 inaktiv :wink:

EDIT2: Ich hoffe, ich habe alles entsprechend umgesetzt. Die 3 Templates habe ich gelöscht, da sie eh inaktiv sind und nicht gebraucht werden.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: 1781VA-4G an E.ON (Innogy) INET + VOIP + Watchguard Firewall

Beitrag von hotzenplotz »

Moin!
Sepp1982 hat geschrieben: 19 Nov 2020, 18:20 So... Router komplett zurückgesetzt, ersten Assistenten inkl. aktiviertem DHCP abgeschlossen. Zweiten Assistenten für die erste VDSL-Leitung durchlaufen lassen, anschließend zweite VDSL-Leitung eingerichtet.
Schön, dass das schonmal läuft!
Sepp1982 hat geschrieben: 19 Nov 2020, 18:20 Jetzt stellt sich mir nur die Frage, warum der Laptop via DHCP am 4. Port surfen kann, aber die Fritzbox und die Firewall und somit die Geräte hinter der Watchguard-Firewall nicht online gehen können. Wobei: die Fritzbox und die Firebox sind im Grunde beides Router. Muss ich dem LANCOM-Router das auch klar machen?
Du erwartest hier, dass wir Kaffeesatz lesen!
Der Laptop kann surfen, weil er direkt vom Lancom per DHCP eine IP bekommt.
FB und SonicWall müssen jetzt so eingerichtet werden, dass Sie als WAN-Adresse eine IP aus Deinem 10er Netz haben, inkl. Gateway und DNS-Forwarder.

Gruß,
hotzenplotz
Antworten