FB7590 / Wireguard-VPN und Telefonie

F

FB-Anfaenger

New member
Hallo Heimnetz-Gemeinde,

ich habe seit neuestem eine Fritzbox 7590AX. Dh., ich habe noch nicht so viel Wissen und Erfahrung mit diesem Router. Falls ich daher einige "dumme Fragen" stelle, bitte ich das zu entschuldigen. Danke! :)

Die FB hat einen Asus Router in Kooperation mit einem Telekom-Speedport Smart ersetzt. Diese beiden Geräte hatten zuvor folgende Konstellation erfolgreich hergestellt:

- Telekom-Internet-Zugang mit IP-Telefonie / 3 Rufnummern
- VPN-Zugang als Client über OVPN, im Asus-Router mittels OpenVPN-Konfigurationsdarteien eingerichtet
- WLAN-Zugriff über den Asus

Das hat jahrelang gut funktioniert. Nun habe ich den Speedport ersetzen wollen, weil ich für jede der drei Rufnummern einen eigenen Anrufbeantworter benötige. Meine Wahl fiel hier halt auf die FB 7590AX, die das gut kann.

Gleichzeitig sollte die FB aber auch Wireguard können, wie ich im Handbuch las. Da auch mein VPN-Anbieter (OVPN) Wireguard kann, habe ich den Asus entfernt und lassen nun die FB alle Arbeit allein machen. :)

Die Konfigurationsdateien habe ich erstellt, die FB damit bespielt, und nun läuft das Internet über die FB und das OVPN. Das läuft auch einwandfrei.

Was nicht mehr geht, ist allerdings die IP-Telefonie. D.h. ich kann zwar noch angerufen werden und kann die Gegenstelle auch hören. Die Gegenstelle kann MICH allerdings nicht hören, und auch diue Anrufbeantworter der FB werden nicht gehört.

Dieses Problem läßt sich beheben, indem ich den VPN-Tunnel deaktiviere.


Leider habe ich hier zu wenig Hintergrundwissen, um das Problem eingrenzen zu können und frage deshalb hier mal nach. Der OVPN-Support ist auch informiert, hat aber noch nicht geantwortet.

Wenn jemand etwas zur Lösung beitragen kann, würde ich mich freuen.

Vielen Dank!
Günther
 
AVM schreibt dies dazu:
  • Die Telefonie über den VPN-Anbieter kann nicht zugesichert werden. Je nach Telefonie- und VPN-Anbieter ist die Telefonie eventuell gar nicht oder nicht zuverlässig möglich.
Die meisten Anschlussprovider lassen keine sogenannte "nomadische Nutzung" ihrer VoIP-Accounts zu, d.h. die Anmeldung ist nur aus dem Netz des Providers oder sogar nur vom Anschluss, zu dem der VoIP-Account gehört, möglich.
Bei der Deutschen Telekom und Vodafone ist die Registrierung der Rufnummern über einen VPN-Anbieter nicht zuverlässig möglich.

Wenn der gesamte Netzwerkverkehr über die VPN-Verbindung geleitet wird, greift diese Einschränkung auf nicht-nomadische Nutzung.

Vielleicht kann man in der Wireguard Konfigurationsdatei die Routen (Allowed-IPs) so anpassen, um das Subnetz der VoIP Server nicht über Wireguard zu routen. Muss man vermutlich etwas mit den Subnetzen basteln, da es keine Blacklist gibt. Da weiß ich aber nicht, wie das machbar wäre.
 
Zuletzt bearbeitet:
Vielen Dank für die Hinweise.
Ja, diese hatte ich auch gelesen, allerdings funktioniert ja das Anrufen und auch das "Hören" der Gegenstelle. Dh. man müßte halt dafür sorgen, daß die IP-Telefonie nicht über den Tunnel geht. Bei der vorherigen Kombi war das natürlich kein Problem, da das Telefon direkt am Speedport war und der Tunnel über den Asus gebildet wurde und dann nur noch über den Speedport geleitet wurde.

Gibt es eine Möglichkeit, den Telefonie-Datenverkehr separat vom Tunnel in der FB zu konfigurieren?

Als letzte Möglichkeit müßte sonst halt wieder der Asus ran und mit der Fritte verbunden werden.
 
Ich glaube, Ihr schmeisst da etwas durcheinander.
VPN bzw. VPN via Wiregard ist nur für die Clients. Die Verbindung vom Router ins Internet ist davon nicht betroffen und damit auch das Telefonieren nicht.
Ich hätte das vor einigen Monaten mal gerne gemacht, das mein Router grundsätzlich nur noch via VPN ins Internet geht, aber dafür ist er nach meinem dafürhalten nicht gemacht.
Warum bei Dir das Telefonieren geht, wenn Du VPN abschaltest, schwer zu sagen. Hast Du den DECT Telefone angeschlossen oder per Kabel oder per WLAN ?
 
Hallo Rudi,

doch, mittlerweile geht Wireguard auf der FB auch so, daß sie als Router der VPN Client ist.
Das war früher mal anders, aber mittlerweile kann die FB auch VPN CLient sein.

Wie schon geschrieben, das Telefon ist mittels RJ45 hinten am Anschluß "FON 1" der FB angeschlossen.
 
Erklärst Du mir mal bitte, wie ich das einstellen kann ?
Würde mir ja haufenweise Arbeit ersparen, auf all meinen Geräten VPN zu installieren.
 
Moinsen,
Auch wenn es der Problemlösung nicht beiträgt: warum wollt ihr denn den gesamten Traffic vom LAN aus durch einen VPN Tunnel eines kommerziellen Anbieters schicken?
Also, was sind die Beweggründe?
Ich nutze zwar VPN, allerdings nur um von draußen nach drinnen zu kommen...mir fehlt da gerade das Anwendungsgebiet. Klar, mit einzelnen clients vielleicht mal ein IP bezogenes geoblocking umgehen, aber sonst...?
 
Tja, das ist genau mein Problem. Dieses Einlesen dauert nun schon 15 Minuten.
Welchen Anbieter nutzt Du für die Wireguard Verbindung ?
 
Ich habe nun festgestellt, daß beim Verbindungsaufbau über VoIP immer ein bestimmter IP-Adreßbereich der Telekom verwendet wird. Könnte man nicht in der Konfigurationsdatei diesen Bereich vom Tunnel "ausklammern"?

Die Konfigurationsdatei sieht so aus:

Code: 
[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = nnn.nnn.nnn.nnn/32
DNS = nnn.nnn.nnn.nnn

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 0.0.0.0/0
Endpoint = vpn93.prd.erfurt.ovpn.com:9929

Die Frage wäre, ob man bei der Einstellung der "allowed ips" etwas ändern muß (und kann).
 
Theoretisch geht das natürlich. Aber das wird kompliziert, da Wireguard kein DeniedIPs kennt, sondern nur AllowedIPs.
Du müsstest also einen eventuell sehr langen Allowed-String bauen, der den ungewollten Bereich ausklammert.
Dabei ist dann die Nutzung von 0.0.0.0/0 natürlich ausgeschlossen.
 
Gehen wir einfach mal davon aus, dass die Telekom (das ist nur ein Beispiel!!) das Subnetz 130.78.0.0/16 für ihr VoIP nutz, dann müsstest Du folgende (theoretische) Subnetze betrachten.

SubnetzErste IP des SubnetzesLetzte IP des Subnetzes
0.0.0.0/10.0.0.0127.255.255.255
128.0.0.0/7128.0.0.0129.255.255.255
130.0.0.0/10130.0.0.0130.63.255.255
130.64.0.0/13130.64.0.0130.71.255.255
130.72.0.0/14130.72.0.0130.75.255.255
130.76.0.0/15130.76.0.0130.77.255.255
130.78.0.0/16130.78.0.0130.78.255.255
130.79.0.0/16130.79.0.0130.79.255.255
130.80.0.0/12130.80.0.0130.95.255.255
130.96.0.0/11130.96.0.0130.127.255.255
130.128.0.0/9130.128.0.0130.255.255.255
131.0.0.0/8131.0.0.0131.255.255.255
132.0.0.0/6132.0.0.0135.255.255.255
136.0.0.0/5136.0.0.0143.255.255.255
144.0.0.0/4144.0.0.0159.255.255.255
160.0.0.0/3160.0.0.0191.255.255.255
192.0.0.0/2192.0.0.0255.255.255.255

In dem Falle wären Deine AllowedIPs anstatt 0.0.0.0/0 dann:
AllowedIPs=0.0.0.0/1, 128.0.0.0/7, 130.0.0.0/10, 130.64.0.0/13, 130.72.0.0/14, 130.76.0.0/15, 130.79.0.0/16, 130.80.0.0/12, 130.96.0.0/11, 130.128.0.0/9, 131.0.0.0/8, 132.0.0.0/6, 136.0.0.0/5, 144.0.0.0/4, 160.0.0.0/3, 192.0.0.0/2

Dieser ganze "Heck-Meck" wäre nötig, da es eben kein einfaches DenyIPs=130.78.0.0/16 gibt. :(
 
Oh, vielen Dank für die Auflistung. Das erspart mir ja jede Menge Arbeit.
:)

Das bei mir benutzte Subnetz bei Anrufen der Telekom ist: 217.0.160.xxx

Ich werde das einfach mal probieren. Und dann noch die Antwort vom OVPN-Support abwarten.
 
Für dieses Subnetz musst Du natürlich eine passende AllowedIPs-Liste bauen, die wird anders aussehen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 104 (Mitglieder: 7, Gäste: 97)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.584
Beiträge
46.922
Mitglieder
4.224
Neuestes Mitglied
derStaudamm

Teilen

Zurück
Oben