IP Telefon im Homeoffice

  • Hallo zusammen,

    ich bin nicht grad der fähigste in Sachen Netzwerk und hangle mich mit gefährlichen Halbwissen durch die Thematik - ich weiß das ist falsch :blush: - aber man will ja was lernen ;)

    Ich würde gerne im Homeoffice ein IP-Telefon anschließen und dieses irgendwie ans Firmennetzwerk koppeln, damit ich auch von zu Hause normal mit meiner Firmentelefonnummer telefonieren kann. Das ganze funktioniert schon wunderbar mit einem Softphone und einer PPTP-Verbindung auf dem Rechner. Aber Softphone ist :wallbash:

    Was für ein Zufall, dass in unserem Firmennetzwerk ein Linux OpenVPN-Server steht und schon einige Standorte via PIs vernetzt sind. Die haben zu deisem Zweck allerdings alle eine Fritzbox (festes ipv4 Routing kann dort ja eingetragen werden) und ich brauche meinen Speedport-Hybrid, da eine 6.000 DSL einfach nicht reicht. Im Firmennetzwerk steht ebenfalls ein dnsmasq.

    Mein Pi zu Hause kann bereits alle Geräte im Firmennetzwek anpingen und natürlich auch meinen Router zu Hause - darüber bezieht er ja sein Internet, allerdings kommen alle Firmengeräte nur maximal bis zum Pi aber nicht zum Router. Logisch!? da ich in meinem Router die statische Route nicht eintragen kann!?

    Jetzt könnte ich das Telefon ja auch am Pi anschließen per USB-Lan Adapter und dann die beiden Verbindungen überbrücken? Geht sowas? Also ich habe in meinem Pi eth0 mit dhcp.

    er bekommt die IP 192.168.157.106

    jetzt müsste ich ein eth1 konfigurieren und meinetwegen die IP 192.168.0.1 und nur auf diesem Port müsste dann ein dhcp server laufen, der alle daran angeschlossenen Geräte mit einer IP versorgt und den gesamten Verkehr einfach auf die OpenVPN-Verbindung routet. Da es nur ein Gerät gibt, wäre es natürlich auch ohne DHCP mit eigener Adressvergabe möglich.

    Ich frage mich nun, woher weiß der Pi, an welchem USB-Port der Adapter angeschlossen ist wenn ich in der /etc/network/interfaces einfach einen eth1 konfiguriere - also klappt das ohne weiteres oder muss ich was beachten?

    Ich kann aus dem Firmennetzwerk...
    ...die OpenVPN-IP von meinem Pi (und natürlich die der anderen Standorte anpingen)
    ...die eth0-IP der anderen Standorte (192.168.x.2) anpingen
    ...aber nicht meine eth0-IP von meinem Pi anpingen

    Ich müsste jetzt erstmal in die Lage kommen die IP`s von eth0 und eth1 von extern anpingen zu können um mal das Telefon anzuschließen und zu gucken welche Probleme sich dann noch so ergeben :)

    ein tracert aus dem Firmennetzwerk zu meiner eth0 IP wird nicht via den dnsmasq-Server geleitet wie das bei den eth0 der anderen Pis der Fall ist. Hier ist doch irgendwo was faul!

    Ich danke schon mal allen, die ihre Zeit geopfert haben um sich meine Probleme durchzulesen! :danke_ATDE:

    wer nichts schreibt, schreibt nichts falsch

    Einmal editiert, zuletzt von do1emu (13. September 2017 um 11:05)

  • Zitat von "do1emu" pid='299487' dateline='1505290009'


    ... in unserem Firmennetzwerk ein Linux OpenVPN-Server steht ...

    Ich kann aus dem Firmennetzwerk...
    ...die OpenVPN-IP von meinem Pi

    ...aber nicht meine eth0-IP von meinem Pi anpingen

    Ist im Firmen-OpenVPN-Server eine Route in das Subnetz deiner eth0-IP (oder auch nur zur eth0-IP) konfiguriert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich habe gesucht was ich so von den anderen EInstellungen her finden konnte und im Ordner /etc/openvpn/ccd gab es mehrere Dateien (für jeden Standort eine) dort stand dann folgendes drin:

    Code
    ifconfig-push 10.8.0.2 255.255.255.0
    
    
    iroute 192.168.2.0 255.255.255.0

    das habe ich dann für meinen Standort auch gemacht.

    wer nichts schreibt, schreibt nichts falsch

  • Zitat von "do1emu" pid='299495' dateline='1505291916'


    das habe ich dann für meinen Standort auch gemacht.

    Wie ist auf dem Server die Ausgabe von:

    Code
    route -n | grep -i 192.168.2.0


    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Wenn du aus deinem Heim-Netz in das Firmennetz kommst, kannst du doch ganz einfach ein VoIP-Gerät in dein Heimnetz stellen und im Firmennetz anmelden.
    Entweder, wenn die Netze durch den Tunnel gekoppelt sind, direkt, oder, wenn sie es nicht sind, indem das VoIP-Telefon einen eigenen Tunnel aufbaut.

    Die aktuellen VoIP-Telefone können normalerweise alle mindestens eine Art von VPN-Tunnel selber aufbauen.

    Computer ..... grrrrrr

  • 192.168.157.0 10.8.0.57 255.255.255.0 UG 0 0 0 tun0

    oben waren nur Beispielangaben (keine Ahnung warum ich echte interne IPs verändert habe! (habe die IPs im 1. Post angepasst)

    Also mein Netz zu Hause ist 192.168.157.x und meine openvpn ist 10.8.0.57 und route -n | grep -i 192.168.157.0 ergibt obige Augabe
    Automatisch zusammengefügt:
    Rasp-Berlin

    ich komme nicht aus dem Heimnetz ins Firmennetz, sondern nur vom Pi, der ja nur ein Gerät im Heimnetz ist :)

    wer nichts schreibt, schreibt nichts falsch

    Einmal editiert, zuletzt von do1emu (13. September 2017 um 11:07)

  • Zitat von "do1emu" pid='299502' dateline='1505293040'


    192.168.157.0 10.8.0.57 255.255.255.0 UG 0 0 0 tun0

    Also mein Netz zu Hause ist 192.168.157.x und meine openvpn ist 10.8.0.57 und route -n | grep -i 192.168.157.0 ergibt obige Augabe

    Dann starte mal auf deinem PI (im Heimnetz):

    Code
    sudo tcpdump -c 20 -vvveni tun0 icmp


    und mache _vom OpenVPN-Server_ (im Firmennetz) den Ping auf die IP-Adresse (aus dem Subnetz 192.168.157.0/24) deines PI:

    Code
    ping -c 3 -W 2 192.168.157.<???>


    Was zeigt tcpdump auf deinem PI, nach dem Ping an?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Was für einen Router hast du?

    Ist der PI als Router konfiguriert? (sudo sysctl -w net.ipv4.ip_forward=1 )
    Hier mit sollte der PI zwischen den beiden Netzen routen, wenn er nicht nur auf "host-routing" konfiguriert wurde. (Wenn es als OpenVPN-Server, nicht als Client konfiguriert wurde)

    Wenn du einen FritzBox als normalen Router einsetzt, kannst du auf dieser eine statische Route eintragen.
    Hier wird das Zielnetz eingegeben und als Router die IP des Raspberry-PI
    Dann sollten alle Geräte aus deinem Netz auch in das Netz hinter dem Tunnel kommen.
    Trotzdem solltest du mit den Netzwerkern der Firma reden, denn diese Konfiguration ist nicht besonders Beliebt.

    (Steckst du eine zweite Netzwerkkarte in den PI, könntest du aus diesem Netz auch ins Firmennetz, hier dann aber besser per NAT, so dass der verkehr aus dem 'USB-Netz' mitd er IP deines PI erscheint.
    In diesem Fall musst du dann auch einen STUN betreiben.

    Computer ..... grrrrrr

  • rpi444
    hmm der vpn-server kann eth0-IP vom Pi pingen!? jetzt bin ich verwirrt.
    Antwort:

    Code
    12:01:16.225445 ip: (tos 0x0, ttl 64, id 22802, offset 0, flags [DF], proto ICMP (1), length 84)
        10.8.0.1 > 192.168.157.106: ICMP echo request, id 28963, seq 1, length 64

    Andere Geräte im Firmennetzwerk allerdings nicht! und die Telefonanlage müsste es ja können.

    Rasp-Berlin
    Ich habe einen Speedport Hybrid von der Telekom (an den Mistdingern kann man nichts verstellen) oder halt nur mit veraltetet Firmware!

    wer nichts schreibt, schreibt nichts falsch

    Einmal editiert, zuletzt von do1emu (13. September 2017 um 12:13)

  • Zitat von &quot;do1emu&quot; pid='299514' dateline='1505297520'


    rpi444
    hmm der vpn-server kann eth0-IP vom Pi pingen!? jetzt bin ich verwirrt.
    Antwort:

    Code
    12:01:16.225445 ip: (tos 0x0, ttl 64, id 22802, offset 0, flags [DF], proto ICMP (1), length 84)
       10.8.0.1 > 192.168.157.106: ICMP echo request, id 28963, seq 1, length 64

    OK, aber warum antwortet dein PI nicht mit einem "ICMP echo reply" an den Server? Oder hast Du die Antwort nur nicht gepostet?

    Zitat von &quot;do1emu&quot; pid='299514' dateline='1505297520'


    Andere Geräte im Firmennetzwerk allerdings nicht! ...


    Evtl. ist im Firmennetzwerk keine für die anderen Geräte zugängliche/erkennbare Route bzw. Gateway zu deinem PI (bzw. dessen Subnetz), konfiguriert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (13. September 2017 um 12:16)

  • Sry, nicht gepostet:

    Code
    PING 192.168.157.106 (192.168.157.106) 56(84) bytes of data.
    64 bytes from 192.168.157.106: icmp_seq=1 ttl=64 time=37.3 ms
    64 bytes from 192.168.157.106: icmp_seq=2 ttl=64 time=36.7 ms
    64 bytes from 192.168.157.106: icmp_seq=3 ttl=64 time=37.1 ms
    
    
    --- 192.168.157.106 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 2003ms
    rtt min/avg/max/mdev = 36.719/37.072/37.386/0.352 ms


    Automatisch zusammengefügt:
    Also tracert auf einem Gerät im Firmernnetzwerk

    zu dem Router in Berlin:

    Routenverfolgung zu router.berlin.rm [192.168.152.1]
    über maximal 30 Hops:

    1 1 ms <1 ms <1 ms 192.168.102.254 <- Firmenswitch
    2 <1 ms <1 ms <1 ms srvvpn [192.168.102.72] <- openvpn-Server
    3 32 ms 33 ms 31 ms pi.berlin.rm [10.8.0.52] <- Pi in Berlin
    4 32 ms 42 ms 32 ms fritz.berlin.rm [192.168.152.1] <-Router in Berlin

    Dann tracert zu mir

    Routenverfolgung zu router.guetersloh.rm [192.168.157.1]
    über maximal 30 Hops:

    1 1 ms 1 ms <1 ms 192.168.102.254 <-Firmenswitch
    2 1 ms 1 ms 1 ms 10.10.0.1 <- Firmenrouter
    3 89 ms 75 ms 46 ms 217.x.x.x <- Telekom

    Es scheint also, also müsste man dem Switch auch noch was beibringen :) da war ich noch nicht drin!!

    Danke fürs mitdenken!

    wer nichts schreibt, schreibt nichts falsch

    Einmal editiert, zuletzt von do1emu (13. September 2017 um 12:30)

  • Wenn du aus Berlin in dein Netz kommst, aber nicht aus Gütersloh, dann ist das Routing in der Firma nicht korrekt
    Ein Ping/Tracerote auf eine private IP-Adresse sollte nicht ins Internet gehen, was ja wohl da drüben' passiert
    Siehe hier:

    Zitat

    1 1 ms 1 ms <1 ms 192.168.102.254 <-Firmenswitch
    2 1 ms 1 ms 1 ms 10.10.0.1 <- Firmenrouter
    3 89 ms 75 ms 46 ms 217.x.x.x <- Telekom

    ---
    Wenn aus deinem Netz der Weg in den Tunnel nicht gefunden wird, musst du bei den Geräten deinen PI als Gateway in das Firmennetz definieren, was man bei den FritzBoxen durch den Routing-Eintrag machen kann.
    Dann muss man nicht am DHCP drehen, was man ja nur selten wirklich machen kann. Oder, was auch bei wenigen Systemen geht, die per DHCP provisioniert werden, einen eigenen Gateway fest einstellen.

    Computer ..... grrrrrr

  • Ok, die Route ist nun auch im Switch und es geht bis hier her! Ab jetzt nur noch die Sache mit der Brücke! Das probiere ich erst selbst aus! Wenn ich probleme habe melde ich mich nochmal! Vielen vielen vielen Dank an euch beide bis hierhin :)

    wer nichts schreibt, schreibt nichts falsch

    Einmal editiert, zuletzt von do1emu (13. September 2017 um 12:57)

  • Soo, nachdem ich kläglich gescheitert bin den USB-Netzwerk-Adapter von MS zum laufen zu bekommen bzw er wohl mit Direktverbindungen nicht so klar kommt habe ich den Pi nun per Wlan mit meinem Router verbunden und das Telefon am eth0

    Ich kann...
    ...vom Firmennetzwerk mein Pi eth0 anpingen (192.168.158.1)
    ...von meinem Pi das direkt angeschlossene Telefon anpingen (192.168.158.2)
    ...aber nicht vom Firmennetzwerk mein Telefon anpingen was ja im selben Subnetz hängt wie eth0

    in der rc.local steht noch das:

    Code
    iptables -A FORWARD -o eth0 -i tun0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
    iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    ob das eth0 nun eigentlich durch wlan0 ersetzt werden müsste ist mir unklar...

    ich wäre nochmals sehr sehr dankbar für den entscheiden Tip von euch!

    wer nichts schreibt, schreibt nichts falsch

  • Zitat von &quot;do1emu&quot; pid='299652' dateline='1505374659'


    Ich kann...
    ...vom Firmennetzwerk mein Pi eth0 anpingen (192.168.158.1)
    ...von meinem Pi das direkt angeschlossene Telefon anpingen (192.168.158.2)
    ...aber nicht vom Firmennetzwerk mein Telefon anpingen was ja im selben Subnetz hängt wie eth0

    Wie ist auf deinem PI, die Ausgabe von:

    Code
    sysctl net.ipv4.ip_forward


    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • rpi444
    vielen Dank! Nun kann ich mit dem Telefon telefonieren (ich höre zwar noch nichts aber das finde ich schon noch raus) Wenn du jemals Matratze oder Lattenrost brauchst, schreib mich an - ich organisier dir was als kleines Dankeschön ;)

    wer nichts schreibt, schreibt nichts falsch

  • hm... bin wirklich zu doof wenn ich telefoniere mit aktiviertem tcpdump dann kommt sobald der gegenüber abnimmt das:

    11:34:29.615826 IP 192.168.158.2 > 192.168.158.1: ICMP 192.168.158.2 udp port 29100 unreachable, length 208

    ich glaube da muss ich noch ne NAT einstellung in der rc.local konfigurieren?

    wer nichts schreibt, schreibt nichts falsch

  • Zitat von &quot;do1emu&quot; pid='299693' dateline='1505385136'


    ich glaube da muss ich noch ne NAT einstellung in der rc.local konfigurieren?

    Du hast doch MASQUERADE (source-NAT) konfiguriert. Funktioniert der Ping (icmp) richtig, aber mit udp-Paketen nicht?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!