# Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?



## Speeedymauss (7. März 2018)

*Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*

Hallo zusammen,
ich hatte ein Erlebnis, welches ich einfach mal mit euch Teilen möchte:

Wir haben seid etwa 3 Wochen starke Probleme mit der Telefonie, man hört uns nicht, wir hören die Gegenseite nicht oder niemand hört irgendwen. Bei fast jedem Gespräch traten diese Fehler auf. Gestern war ein Techniker bei uns der fast 2,5h mit dem Problem gekämpft hat, alles ausprobiert hat und wir haben am Ende auch eine komplett neue Fritzbox bekommen. Kurz nach dem anmelden der neuen Fritzbox ging alles ohne Probleme. Als ich diese dann wieder auf den alten Zustand zurück konfiguriert habe, gibt wieder nichts.
Dann habe ich mal in der Fritzbox die Telefoniedaten genauer betrachtet, wo man u.a. die IP Adressen der VoIP Clients sieht. Viele hatten IP Adressen im Bereich 172.17.X.X oder 10.X.X.X. So erstmal komisch, dass da Adresssen aus den privaten IP Räumen auftauchen für die normale Telefonie.

Das interessante ist aber:
Ich bin Netzwerker und habe Zuhause auch ein etwas aufwändigeres Netzwerk und ein Testlabor. Ich habe neben Unitymedia noch einen Telekomanschluss. Beide Fritzboxen gehen bei mir in eine Firewall die hinter sich weitere Netze hat. Auf den Fritzboxen sind händisch statische Routen zu meinen internen Netzen eingetragen, natürlich alles private Adressräume. So mein Gastnetzwerk hat zufälligerweise die Netzadresse 172.17.0.0/16.

Und ich denke mal den meisten sollte jetzt aufgefallen sein, dass da etwas nicht passt, da die VoIP Clients ja auch Adressen im dem Netz haben. Und genau das ist das Problem! Die Fritzbox routet natürlich alles was in das 172.17.X.X Netz geht zu meiner Firewall, die da als Next-Hop hinterlegt ist. Inklusive der Telefonate die eigentlich nach draußen gehen sollten. 

Somit kann man zuhause nicht mehr alle Netzwerke nehmen die im privaten Bereich sind. Ich habe ja schon Adressen aus dem 10.0.0.0/8 und 172.16.0.0/12 gesehen. Scheinbar sind nur die Fritzbox-Standardnetze 192.168.0.0/16 nicht genutzt. Ich finde das nur etwas doof, das ich jetzt potentiell 2 von 3 PRIVATEN Netzwerken nicht zuhause nutzen kann, nur weil ich dann eventuell nicht mehr telefonieren kann. Ich fühle mich da als Netzwerker etwas verarscht. Ich meine wofür hat man das denn extra so aufgeteilt?

Ich werde mich morgen auch mal bei denen erkundigen, welche Netzwerke man dann jetzt tatsächlich Zuhause benutzen darf und welche Unitymedia bei der Infrastruktur verwurschtelt hat.

Hat vlt. noch wer mal Erfahrungen damit gemacht welche Adressen da so für VoIP genutzt werden? Was meint ihr dazu? Würde mich mal interessieren. Ich bin auf jeden Fall etwas genervt, weil ich mein Netzwerk Zuhause wieder komplett auf links drehen darf...das Hauptnetz ist nämlich auch ne 172.16.0.0/24 mit vielen statischen Adressen...


----------



## cryon1c (7. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet!*

Ich nutze die Fritte auch, aber bei KD/Vodafone, daher leicht andere Einstellungen. Ich würde die Fritte im Netz lassen und die Firewall erst dahinterklemmen. Bei mir ist die Fritte praktisch als reines Modem + WLAN (wird nicht benutzt) und Hotspot aktiv, alles andere übernimmt ein TP-Link Archer dahinter und Switches sind auch vorhanden. Die WLAN-Leistung der Fritte ist mir eh zu schwach für die Wohnung, daher zweiter Router der das besser macht und viel besser konfigurierbar ist.


----------



## Speeedymauss (7. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*

ja gut ich kann auch meine beiden FritzBoxen noch doofer machen und alles meine Firewall machen lassen, Wie ich da raus komme ist für mich jetzt nicht so das Hauptthema

Mich würde auch viel eher mal interessieren, ob man das so als Provider überhaupt darf. Die IPs gehören für mich zum Öffentlichen Netz, sind ja quasi Telefonnummern. Und das sind Private IP Adressen. Im RFC1918 ist ja beschrieben welche Netze man wofür benutzen darf und das man da klar trennt. Wenn ich mal heise zitieren darf "Adressen aus diesem Bereich dürfen allerdings im öffentlichen Internet nicht auftreten" (steht zu den 3 privaten Adressräumen). Ich denke mal dass es da keine verpflichtenden Gesetze zu gibt aber dennoch finde ich das sehr fragwürdig.


----------



## Edding (7. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Speeedymauss schrieb:


> Als *ICH* diese dann wieder auf den alten Zustand zurück konfiguriert habe, gibt wieder nichts.



Also wissen wir ja schonmal woran es liegt 



Speeedymauss schrieb:


> Dann habe ich mal in der Fritzbox die Telefoniedaten genauer betrachtet, wo man u.a. die IP Adressen der VoIP Clients sieht. Viele hatten IP Adressen im Bereich 172.17.X.X oder 10.X.X.X. So erstmal komisch, dass da Adresssen aus den privaten IP Räumen auftauchen für die normale Telefonie.



Ehm selbst verständlich haben deine VoIp Clients hinter einem iPV4-NAT private ip adressen aber aus 2 verschiedene netzen ist ungewöhnlich da solltest wohl mal deine DHCP-Server richtig konfen bzw den clients besser feste ips weil die brauchen port freigaben.



Speeedymauss schrieb:


> So mein Gastnetzwerk hat zufälligerweise die Netzadresse 172.17.0.0/16.
> 
> Und ich denke mal den meisten sollte jetzt aufgefallen sein, dass da etwas nicht passt, da die VoIP Clients ja auch Adressen im dem Netz haben.



Was wiederum dein problem ist, du solltest ja wissen wo im netzwerk du die VOiP-Clients platziert hast, sie hollen sich vom Netzwerk ja ihre ips über dhcp anscheinend



Speeedymauss schrieb:


> Hat vlt. noch wer mal Erfahrungen damit gemacht welche Adressen da so für VoIP genutzt werden?



Wie schon gesagt welche IPs Clients in DEINEM Privaten netzwerk bekommen ist ganz alleine deine sache.. mehr wie 1 öffentliche NAT iPV4 bekommste nicht.
Wen du öffentlich Ips an deinem voip clients willst bleibt dir nur ipv6

Richte an deinem router/firewall die voip Port weiterleitungen zu den voip clients ein, dann sollte das auch alles funzen.
Allerdings scheint mir das netzwerk so verconft zu sein das dass wohl schwieriger werden dürfte weil son richtiger netzwerker scheinste wohl doch nicht zu sein
nimms nicht persönlich.


----------



## fotoman (7. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*

Nachdem ich mich mit er Netzwerktechnik hinter VoIP nicht wirklcih auskenne (es soll halt funktionieren, was es bei mir zuverlässig tut, selbst mit einer im Haus reein analogen Gegenstelle), nur mal als Gegenfrage zu:


Speeedymauss schrieb:


> "Adressen aus diesem Bereich dürfen allerdings im öffentlichen Internet nicht auftreten"


Wer sagt, dass die Adresse, welche Deine FB protokolliert, im "öffentlichen Internet" auftaucht? U.U. nutzt UM die Aderesse ja "nur" in ihrem eigenen Netz und "mapped" sie beim Übergang ins Internet/zu einem anderen Provider nochmal.

Ich sehe bei mir in der FB (mit Telekom-Anschluss) nur Telekom-IPs (217.0.*.*) der wenigen von mir kontaktiereten Gegenstellen. Egal, ob ich angerufen habe oder angerufen wurde.. Meine eigene IP bei dem Telefonat sehe ich nicht oder ich weiss nicht wo ich suchen sollte. Diese Telekom-IPs sind nicht nur bei Gegenstellen, die garantiert zu einem Telekom-Anschluss gehören, sondern auch beim Anruf auf ein Vodafone-Handy (auch dort von der FB als "Rufnummer Gegenstelle" angegeben).

Damit stellen die IPs für mich eine IP im "privaten" Telekom-Netz dar und keine reale, öffentliche IP der echten Gegenstelle.


----------



## Speeedymauss (7. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*

@Edding
ich glaube du hast was missverstanden oder ich habs etwas doof erklärt. Die IP Adressen sind nicht meine, das sind die Adressen der Gegenstelle! Also die IP Adresse die der Rufnummer des Anrufers oder des Angerufenen zugeordnet werden. ich  selber habe gar keine VoIP Clients im Einsatz, die Telefone sind noch die ganz klassischen alten die an den Fon Port der Fritzbox hängn. wenn man das so sehen will ist die Fritzbox selbst der einzige VoIP Client den ich habe. Das ist ja das interessante. Die Adressen sind nicht bei mir sondern die vom Kommunikationspartner.

Das was ich konfiguriert habe (was du so betont hast) ist eine statische Route zu meiner Firewall für das Netz 172.17.0.0/24


----------



## Speeedymauss (7. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



fotoman schrieb:


> Nachdem ich mich mit er Netzwerktechnik hinter VoIP nicht wirklcih auskenne (es soll halt funktionieren, was es bei mir zuverlässig tut, selbst mit einer im Haus reein analogen Gegenstelle), nur mal als Gegenfrage zu:
> Wer sagt, dass die Adresse, welche Deine FB protokolliert, im "öffentlichen Internet" auftaucht? U.U. nutzt UM die Aderesse ja "nur" in ihrem eigenen Netz und "mapped" sie beim Übergang ins Internet/zu einem anderen Provider nochmal.
> 
> Ich sehe bei mir in der FB (mit Telekom-Anschluss) nur Telekom-IPs (217.0.*.*) der wenigen von mir kontaktiereten Gegenstellen. Egal, ob ich angerufen habe oder angerufen wurde.. Meine eigene IP bei dem Telefonat sehe ich nicht oder ich weiss nicht wo ich suchen sollte. Diese Telekom-IPs sind nicht nur bei Gegenstellen, die garantiert zu einem Telekom-Anschluss gehören, sondern auch beim Anruf auf ein Vodafone-Handy (auch dort von der FB als "Rufnummer Gegenstelle" angegeben).
> ...



das würde ja dann heißen, dass die Fritzbox dann ganz komisch mappt oder von dem Provider ein paralleles VoIP Netz aufgebaut wurd mit diesen Adressen und das dann, könnte ich mir vorstellen, über den "normalen" Internetzugang getunnelt wird.
Ist nur trotzdem doof da man so ja privates Netz neben privaten Netz hat und wenn man dann das falsche private Netz für sein Heimnetz nimmt nichts mehr geht. Klar nehmen die meisten das Fritzbox Standardnetz aber wenn man halt nen anderes nimmt, dafür hat man ja auch die privaten Netze, dann ist das ja nen Glücksspiel.
woher soll ich jetzt z.b. wissen welche Netze ich intern nutzen kann, ohne dass es dann zu Routingfehlern kommt?

sry für das grottige Deutsch, aber ich stehe auf Kriegsfuß mit meiner Tablettastatur...groß klein und doppelte Buchstaben wollen da nicht immer...


----------



## Virikas (8. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*




Speeedymauss schrieb:


> Im RFC1918 ist ja beschrieben welche Netze man wofür benutzen darf und das man da klar trennt.



RFC1918 hats ja schon im Titel stehen "Adress allocation for private Internets"
Direkt in der Einführung geht's dann auch mit

_"__For the purposes of this document, an enterprise is an entity autonomously operating a network using TCP/IP and in particular determining the addressing plan and address assignments within that   network. "_
entsprechend weiter. 
Da Unitymedia die RFC1918 innerhalb seines eigenes AS einsetzt und nicht im e-BGP an fremde AS announced (was ohnehin geblockt/ignoriert würde) sind sie vollständig RFC konform.

Weiter im RFC schau dann nochmal auf die Beschreibung der Host Kategorien:
Sowohl die Voip Systeme als auch deine eigenen fallen dabei in Kategorie 1 und 2 und gelten dem RFC nach damit als "private".

Rechtlich kann UM mit seinem eigenen Netz sowieso machen was sie wollen und da sie vollkommen RFC konform handeln ist da also alles im grünen Bereich.
Solche Konstruke sind noch nicht einmal selten. Schliesslich ist die einfachste und zugleich sicherste Art Systeme vor Zugriff aus Fremdnetzen zu schützen sicherzustellen, dass sie schon auf Layer 3 nicht aus diesen erreichbar sind.

Ich denke wenn du freundlich bei denen anfragst, welche IP Adressbereiche du zur Voicenutzung aus deiner eigenen Netzwelt ausklammern musst, wird es da auch entsprechende Dokumentationen für geben.


----------



## Speeedymauss (8. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Virikas schrieb:


> Ich denke wenn du freundlich bei denen anfragst, welche IP Adressbereiche du zur Voicenutzung aus deiner eigenen Netzwelt ausklammern musst, wird es da auch entsprechende Dokumentationen für geben.



Hast du beim schreiben dieses Satzes wirklich geglaubt, dass man da an Infos kommt?  habe natürlich heute Kontakt mit Unitymedia aufgenommen. Erstmal ist es schwierig jemanden zu finden, der überhaupt was mit Netzadressen und ähnliches was anfangen kann. Ich habe aber leider keine Information darüber bekommen, welche Netze genutzt werden. Zum einen habe ich das Gefühl, dass mein Gegenüber das Problem nicht richtig verstanden hat, da immer wieder erwähnt wurde, dass mir bei meinen privaten Netzwerken nicht geholfen werden kann weil das ja meine Sache ist, zum andern kam dann als finale Antwort "Wir können Ihnen diese Informationen leider nicht geben." Auf erneute Nachfrage kam dann nur "Wir können Ihnen leider keinen Support bieten bei Fragen, die ein privates Netzwerk betreffen. Kann ich Ihnen sonst noch helfen?". Dann habe ichs aufgegeben...

ich kann also bei dem momentanen Stand nur durch ausprobieren testen ob ich was Treffe was Unitymedia selbst verwendet...

Zu deinem ersten Teil, ja hast ja eigentlich recht und so habe ich das durchaus auch schon betrachtet. Im Prinzip ist man ja im Netz von Unitymedia, es ist halt einfach nur etwas unglücklich wenn man selber andere Netze als das Standard FritzBox Netz verwendet und es keinerlei Informationen dazu gibt...


----------



## taks (8. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*

Die ankommenden Pakete sollten doch immer auf einen fixen Port gehen.
Kannst ja alle ausser dieser Pakete auf den VOIP Port  in dein Netz weiterleiten.


----------



## Speeedymauss (8. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



taks schrieb:


> Die ankommenden Pakete sollten doch immer auf einen fixen Port gehen.
> Kannst ja alle ausser dieser Pakete auf den VOIP Port  in dein Netz weiterleiten.



Die ankommenden sind ja weniger das Problem, nur die gesendeten Pakete, die die FritzBox erzeugt, werden scheinbar in die falsche Richtung weitergeleitet


----------



## Hatuja (8. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Speeedymauss schrieb:


> das würde ja dann heißen, dass die Fritzbox dann ganz komisch mappt oder von dem Provider ein paralleles VoIP Netz aufgebaut wurd mit diesen Adressen und das dann, könnte ich mir vorstellen, über den "normalen" Internetzugang getunnelt wird.



Jap, das läuft tatsächlich so ähnlich. Zumindest solange du keine dedizierte IPv4 Adresse hast, also mittlerweile bei fast allen Kabel-Privat-Anschlüssen.  
Alle Anschlüsse sind quasi teil des privaten Netztes des Kabel-Betreibers ("DS-Light-Prinzip"). Nur IPv6 Adresse wird direkt nach draußen geroutet, die IPv4 ist im privtane Netz und geht nur über ein NAT-Gateway des Providers nach draußen.
Da die VoIP Server aber auch in privaten IPv4 Netz stehen, werden Telefonate innerhelb des Providernetzes nicht erst nochmal ins Internet geleitet, sondern eine direkte Verbindung der Teilnehmer im privaten Netz hergestellt. Daher siehst du auch direkt die private VoIP-Adresse des anderen Teilnehmers, bzw. bei "externen" Telefonaten die "privat Netz IP" des VoIP-Servers.

Zumindest die Telekom macht es ähnlich. Die legen dir für VoIP ein weiteres Vlan auf den Anschluss. Telefonate von Telekom zu Telekom verlassen dabei das "private" Netz der Telekom auch nicht!


----------



## Speeedymauss (8. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Hatuja schrieb:


> Jap, das läuft tatsächlich so ähnlich. Zumindest solange du keine dedizierte IPv4 Adresse hast, also mittlerweile bei fast allen Kabel-Privat-Anschlüssen.
> Alle Anschlüsse sind quasi teil des privaten Netztes des Kabel-Betreibers ("DS-Light-Prinzip"). Nur IPv6 Adresse wird direkt nach draußen geroutet, die IPv4 ist im privtane Netz und geht nur über ein NAT-Gateway des Providers nach draußen.
> Da die VoIP Server aber auch in privaten IPv4 Netz stehen, werden Telefonate innerhelb des Providernetzes nicht erst nochmal ins Internet geleitet, sondern eine direkte Verbindung der Teilnehmer im privaten Netz hergestellt. Daher siehst du auch direkt die private VoIP-Adresse des anderen Teilnehmers, bzw. bei "externen" Telefonaten die "privat Netz IP" des VoIP-Servers.
> 
> Zumindest die Telekom macht es ähnlich. Die legen dir für VoIP ein weiteres Vlan auf den Anschluss. Telefonate von Telekom zu Telekom verlassen dabei das "private" Netz der Telekom auch nicht!



Ja so wie ich das verstanden habe läuft das bei Unitymedia ähnlich. Es gibt auf jeden Fall ein getrenntes VoIP und Datennetz. Wie da intern noch in v6 genatet wird weiß ich natürlich nicht, wir haben jedenfalls einen v4 only Anschluss, die Frage ist nur wie weit das "only" reicht...

Ich habe heute mit 5 Stellen Kontakt gehabt weil ich versuche herauszufinden welche Subnetze ich gefahrlos verwenden kann, ohne dass ich mir durch manuelles Routing auf der Fritzbox die Telefonie zerschieße. Das Problem dabei ist aber, dass bei denen niemand weiß, welche Netzwerke da im Einsatz sind bzw. überhaupt gar nicht das Problem verstehen. Selbst bei der hintersten "Fachabteilung" bei der ich nach diversen Weiterleitungen gelandet bin konnte mit Netzadressen, VoIP und IP Adressen wenig anfangen  Die letzte Chance ist ein Techniker der hier die Tage anrufen soll...
Solange werde ich wohl einfach probieren müssen und hoffe, dass ich kein falsches Netz erwische...4 mögliche Bereiche sind mir inzwischen bekannt die ich aus alten Anrufen ableiten konnte...

Was mich natürlich interessieren würde ist, ob da bei dem VoIP Netz bei End- und Businesskunden unterschieden wird. Als Firma ist es ja durchaus nicht unüblich, dass man mehrere Netzwerke nutzt und auch die 172.16.0.0/12 und 10.0.0.0/8 Subnetze nutzt. Da müsste es dann ja unter bestimmten Umständen auch zu Problemen kommen können...Das man bei den "normalen" Endkunden davon ausgeht, dass nur das FritzBox Standardnetz genommen wird kann ich ja verstehen, ich bilde da sicherlich eine Außnahme...


----------



## Virikas (12. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Speeedymauss schrieb:


> Hast du beim schreiben dieses Satzes wirklich geglaubt, dass man da an Infos kommt?



Als PK vermutlich eher nicht. 
Man kriegt halt nur den Service für den man bezahlt 
Sorry, aber Unitymedia ist bei mir einfach unten durch. Selbst 1&1 hat besseren Service als die 



Speeedymauss schrieb:


> Was mich natürlich interessieren würde ist, ob da bei dem VoIP Netz bei End- und Businesskunden unterschieden wird. Als Firma ist es ja durchaus nicht unüblich, dass man mehrere Netzwerke nutzt und auch die 172.16.0.0/12 und 10.0.0.0/8 Subnetze nutzt. Da müsste es dann ja unter bestimmten Umständen auch zu Problemen kommen können...Das man bei den "normalen" Endkunden davon ausgeht, dass nur das FritzBox Standardnetz genommen wird kann ich ja verstehen, ich bilde da sicherlich eine Außnahme...



Die Wahrscheinlichkeit, dass du als FK eine Fritzbox mit integriertem SIP Stack zur Telefonie Anbindung nutzt ist aber doch eher gering


----------



## Speeedymauss (12. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Virikas schrieb:


> Als PK vermutlich eher nicht.
> Man kriegt halt nur den Service für den man bezahlt
> Sorry, aber Unitymedia ist bei mir einfach unten durch. Selbst 1&1 hat besseren Service als die



Ja so ohne Aufwand kommt man an die Info auch nicht weil es schlichtweg keiner weiß. Der normale Support hat sowieso generell keine Ahnung wenn es um Technik geht. Ich hatte aber das Glück, dass ich tatsächlich von einem kompetenteren technischen Mitarbeiter zurückgerufen wurde, mit dem ich ein wenig länger telefoniert habe. Mit ihm konnte man sich zumindest auch fachlich sinnvoll über dieses Thema unterhalten. Er konnte mir auch relativ viel zu den Netzwerken etc. sagen, dass Problem war nur, dass natürlich das VoIP Netz das einzige war wo es wohl keine Dokumentation zu gab, oder er hatte darauf keinen Zugang. Jedenfalls waren wir beide sehr bemüht eine sinnvolle Lösung zu finden, leider bleibt am Ende nichts anderes übrig, dass ich anhand der dokumentierten IPs filtern muss, welche Netze ich nutzen kann und welche nicht - einfach weil von dem Teil die Doku fehlt...


Ich hätte ja auch nichts gegen einen anderen Anbieter als Unitymedia nur leider sind dass die einzigen, die hier einigermaßen akzeptable Datenraten liefern und das hier sogar ziemlich zuverlässig und stabil...bin halt nicht in der Innenstadt wo zu viele Anschlüsse auf einer Leitung liegen...



Virikas schrieb:


> Die Wahrscheinlichkeit, dass du als FK eine Fritzbox mit integriertem SIP Stack zur Telefonie Anbindung nutzt ist aber doch eher gering



Aber die Standard Unitymedia Werbung für FK sieht halt so aus. Wenn wir jetzt mal die Glasfaser Angebote ausblenden gibt es bei den FK die selben Konditionen wie bei PK. Da gibts halt nur kein TV aber dafür direkt die FB und ne statische IP inkl....So abwägig finde ich das jetzt gar nicht, dass die da sehr ähnliche Techniken verwenden wie bei PK. Warum halt auch nicht? Ich denke mal für 98% der Fälle, die mit so einer Leitung zufrieden sind auch nicht den Anwendungsfall haben, dass sowas auffallen würde...


----------



## Stockmann (14. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Speeedymauss schrieb:


> Ja so ohne Aufwand kommt man an die Info auch nicht weil es schlichtweg keiner weiß. Der normale Support hat sowieso generell keine Ahnung wenn es um Technik geht. Ich hatte aber das Glück, dass ich tatsächlich von einem kompetenteren technischen Mitarbeiter zurückgerufen wurde, mit dem ich ein wenig länger telefoniert habe. Mit ihm konnte man sich zumindest auch fachlich sinnvoll über dieses Thema unterhalten. Er konnte mir auch relativ viel zu den Netzwerken etc. sagen, dass Problem war nur, dass natürlich das VoIP Netz das einzige war wo es wohl keine Dokumentation zu gab, oder er hatte darauf keinen Zugang. Jedenfalls waren wir beide sehr bemüht eine sinnvolle Lösung zu finden, leider bleibt am Ende nichts anderes übrig, dass ich anhand der dokumentierten IPs filtern muss, welche Netze ich nutzen kann und welche nicht - einfach weil von dem Teil die Doku fehlt...
> 
> 
> Ich hätte ja auch nichts gegen einen anderen Anbieter als Unitymedia nur leider sind dass die einzigen, die hier einigermaßen akzeptable Datenraten liefern und das hier sogar ziemlich zuverlässig und stabil...bin halt nicht in der Innenstadt wo zu viele Anschlüsse auf einer Leitung liegen...
> ...



So nachdem ich mir mal den ganzen Thread durchgelesen habe, muss ich sagen. Ich habe keine Ahnung wovon du sprichst und was genau das Problem ist.
Solange wie kein VPN Tunnel zwischen dir und UnityMedia besteht ist es Absolut egal welche IP Adressen du Intern benutzt.
Ich kann es mir auch ehrlicherweise gar nicht vorstellen das UnityMedia irgendwelche Privaten IP Adressen "öffentlich" benutzt.

Ich persönlich sehe den Fehler bei dir im Netzwerk.

Erstelle doch mal bitte eine Übersicht von deinem Netzwerk, wie es genau aufgebaut ist und welche IPs verwendet werden.


----------



## Speeedymauss (14. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Stockmann schrieb:


> So nachdem ich mir mal den ganzen Thread durchgelesen habe, muss ich sagen. Ich habe keine Ahnung wovon du sprichst und was genau das Problem ist.
> Solange wie kein VPN Tunnel zwischen dir und UnityMedia besteht ist es Absolut egal welche IP Adressen du Intern benutzt.
> Ich kann es mir auch ehrlicherweise gar nicht vorstellen das UnityMedia irgendwelche Privaten IP Adressen "öffentlich" benutzt.
> 
> ...



Ich habe mal versucht das Ganze so gut es geht grafisch darzustellen:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



EDIT: Die Netzadresse des neuen Gast-Netzwerks ist natürlich 192.168.200.0/24. Die in der Grafik wäre ja keine private Adresse mehr...


----------



## Stockmann (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*

Wenn ich mir die Grafik so ansehe,
dann sind die Telefone direkt an der Fritzbox angeschlossen oder?

Sollte dies so sein, so werden beide FritzBox'en nur für die Einwahl und Telefonie verwendet.
Also auf der FritzBox alle Routen löschen und nur ggf. eine einbauen falls Software für VoIP Clients verwendet wird.

Die Firewall auf beiden FritzBoxen als Exposed Host einstellen und Fertig.

Für mich ergibt (außer es gibt einen Server für die VoIP Clients) es keinen Sinn wofür die ganzen Statischen Routen benötigt werden in den FritzBox'en.
Die gesamte Netzwerkverwaltung mach doch die Firewall dahinter.

Edit:
Netzwerk Konfiguration:
Fritzbox Telekom: DHCP aus | 192.168.0.0 / 24
Fritzbox Telekom: DHCP aus | 192.168.178.0 /24 | VoIP Clients Statisch

Firewall: WAN 1 -> Telekom Router
                                       WAN 2 -> Unitymedia Router
Falls Gewünscht | Loadbalacing Ein

Netzwerk 1 | DHCP ? | Gateway: Firewall
Netzwerk 2| DHCP ? | Gateway: Firewall
Netzwerk 3| DHCP ? | Gateway: Firewall
Netzwerk 4 | DHCP ? | Gateway: Firewall
Netzwerk 5 | DHCP ? | Gateway: Firewall

Routen: 
Netzwerk 1 nach 2,3,4,5
Netzwerk 2 nach 1,3,4,5
Netzwerk 3 nach 1,2,4,5
Netzwerk 4 nach 1,2,3,5
Netzwerk 5 nach 1,2,3,4
Und alles was er nicht kennt nach WAN 1 oder WAN 2 routen, alternativ Route Loadbalacing

Die Fritzbox'en müssen solange kein VoIP Client zugriff auf das Netzwerk hinter der Firewall braucht keine Statische Route besitzen / wissen.


----------



## Speeedymauss (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Stockmann schrieb:


> Wenn ich mir die Grafik so ansehe,
> dann sind die Telefone direkt an der Fritzbox angeschlossen oder?


Ja, da ich gar keine VoIP Telefone nutze. Ich selber brauche quasi auch kein Telefon, das ist eher für den Rest der Familie gedacht, da hängt halt sone ganz klassische Telefonbasis mit weiteren Telefonen dran. Ich werde auch nicht anfangen da irgendwas mit VoIP im eigenen Netz aufzubauen, das lohnt sich einfach nicht.



Stockmann schrieb:


> Sollte dies so sein, so werden beide FritzBox'en nur für die Einwahl und Telefonie verwendet.
> Also auf der FritzBox alle Routen löschen und nur ggf. eine einbauen falls Software für VoIP Clients verwendet wird.


Du kannst die Routen nicht Löschen weil die hinteren Netze dann kein Internet mehr haben. Die FritzBoxen haben im Prinzip nur noch eine Funktion: Das sind die Border-Router die die NAT Adresse bekommen. Das kann man nämlich nicht an die Firewall als Exposed Host weitergeben. Dafür müssten die FritzBoxen nur als Modem laufen und die Firewall als Router. Ohne die Routen wissen die Fritzboxen doch gar nicht mehr wo die die Pakete die von außen kommen hinschicken sollen, wenn die gespeicherte interne NAT-Adresse nicht aus dem eigenen Netzwerk ist. Die Firewall hat nämlich kein NAT für die hinterliegenden Netze aktiv. Doppeltes NAT ist in dem Fall halt unnötig...



Stockmann schrieb:


> Die Firewall auf beiden FritzBoxen als Exposed Host einstellen und Fertig.


Läuft längst so, hilft dir aber wie erwähnt bei Routing nicht weiter...das ist nur für die Portfreigaben, VPN und so interessant



Stockmann schrieb:


> Für mich ergibt (außer es gibt einen Server für die VoIP Clients) es keinen Sinn wofür die ganzen Statischen Routen benötigt werden in den FritzBox'en.
> Die gesamte Netzwerkverwaltung mach doch die Firewall dahinter.


s.o.



Stockmann schrieb:


> Edit:
> Netzwerk Konfiguration:
> Fritzbox Telekom: DHCP aus | 192.168.0.0 / 24
> Fritzbox Telekom: DHCP aus | 192.168.178.0 /24 | VoIP Clients Statisch


wie gesagt - habe keine VoIP Clients...



Stockmann schrieb:


> Firewall: WAN 1 -> Telekom Router
> WAN 2 -> Unitymedia Router
> Falls Gewünscht | Loadbalacing Ein


läuft so, nur nicht als Balancer sondern reines Failover, da die Leitungen stark verschiedene Bandbreiten haben, lohnt sich nicht. Die Telekom hat nur ein paar Freigaben für Datacenter Zugriffe übers Internet...



Stockmann schrieb:


> Netzwerk 1 | DHCP ? | Gateway: Firewall
> Netzwerk 2| DHCP ? | Gateway: Firewall
> Netzwerk 3| DHCP ? | Gateway: Firewall
> Netzwerk 4 | DHCP ? | Gateway: Firewall
> Netzwerk 5 | DHCP ? | Gateway: Firewall


Home + Gast mit DHCP klassisch

DC Netzwerke "manuelles DHCP" - es bekommen nur von mir eingetragene Clients auch Adressen



Stockmann schrieb:


> Routen:
> Netzwerk 1 nach 2,3,4,5
> Netzwerk 2 nach 1,3,4,5
> Netzwerk 3 nach 1,2,4,5
> ...


Quatsch, viel einfacher

Alles was lokal anliegt hat auto Routen,
bei der Firewall gibts nur ne Default und Backup-Default zu den beiden Gateways


----------



## Stockmann (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Speeedymauss schrieb:


> Du kannst die Routen nicht Löschen weil die hinteren Netze dann kein Internet mehr haben. Die FritzBoxen haben im Prinzip nur noch eine Funktion: Das sind die Border-Router die die NAT Adresse bekommen. Das kann man nämlich nicht an die Firewall als Exposed Host weitergeben. Dafür müssten die FritzBoxen nur als Modem laufen und die Firewall als Router. Ohne die Routen wissen die Fritzboxen doch gar nicht mehr wo die die Pakete die von außen kommen hinschicken sollen, wenn die gespeicherte interne NAT-Adresse nicht aus dem eigenen Netzwerk ist. Die Firewall hat nämlich kein NAT für die hinterliegenden Netze aktiv. Doppeltes NAT ist in dem Fall halt unnötig...
> 
> Läuft längst so, hilft dir aber wie erwähnt bei Routing nicht weiter...das ist nur für die Portfreigaben, VPN und so interessant


Die Frage selbst beantwortet.
Wenn du die manuell erstellen Routen löscht und die Clients dann kein Internet mehr haben ist deine Konfiguration falsch.

Der WAN Port der Firewall als Exposed Host im selben Netzwerk wie die FritzBox und dann entsprechend die Firewall konfigurieren.

Magst du verraten welche Firewall du im Einsatz hast?

Edit:
Die Firewall + alle Clients sind als ganzes nur 1x Client für die FritzBox. Der FritzBox kann es absolut egal sein, was mit den Paketen dahinter passiert. Das übernimmt alles die Firewall.

Das selbe Szenario habe ich selber konfiguriert, nur deutlich umfangreicher ohne Probleme mit der FritzBox.

Edit2: Und ich würde bei so einer Konfiguration keine Auto-Routen mehr verwenden.


----------



## Speeedymauss (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Stockmann schrieb:


> Die Frage selbst beantwortet.
> Wenn du die manuell erstellen Routen löscht und die Clients dann kein Internet mehr haben ist deine Konfiguration falsch.
> 
> Der WAN Port der Firewall als Exposed Host im selben Netzwerk wie die FritzBox und dann entsprechend die Firewall konfigurieren.


Die Firewall ist bereits für beide Seiten der Exposed Host, trotzdem ist die FritzBox das Internetgateway zum Provider, wenn ich die Routen raus nehme, dann funktionieren die Verbindungen nicht, dass kann ich dir aus Erfahrung sagen, da ich mal einen Tippfehler in einer Route hatte...
Ich kann mit daher Absolut nicht vorstellen wie das gehen soll ohne die Routen, oder es gibt einen Weg, den ich so gar nicht kenne...


Stockmann schrieb:


> Magst du verraten welche Firewall du im Einsatz hast?


pfSense



Stockmann schrieb:


> Edit:
> Die Firewall + alle Clients sind als ganzes nur 1x Client für die FritzBox. Der FritzBox kann es absolut egal sein, was mit den Paketen dahinter passiert. Das übernimmt alles die Firewall.


Ja ne eben genau nicht. Das Szenario was du beschreibst hast du, wenn du auf der Firewall NAT/PAT Einsetzen würdest für die hinterlegenden Netzwerke, dass die Fritzbox alle Clients mit der Firewall-IP Adressieren würde (wie das halt bei dem klassischen Heimnetzwerk zum Provider der Fall ist). So wie das aber bei mir läuft, kommt bei der Fritzbox nicht die Firewall IP als Absender/Empfänger an sondern die tatsächliche IP des Clients in dem dahinter liegenden Netzwerk. Ich habe da kein doppeltes NAT.



Stockmann schrieb:


> Das selbe Szenario habe ich selber konfiguriert, nur deutlich umfangreicher ohne Probleme mit der FritzBox.


wahrscheinlich dann aber mit einem ganz kleinen Unterschied. Wie beschrieben, hast du nen aktives NAT auf der Firewall?


Stockmann schrieb:


> Edit2: Und ich würde bei so einer Konfiguration keine Auto-Routen mehr verwenden.


Die "auto" Routen wie ich es genannt habe, sind ja die direkt anliegenden Netzwerke an der Firewall. Direkt Verbundene Netzwerke tragen sich ja automatisch in die Routingtabelle ein, wenn die Firewall/Router nen Interface in dem Netz hat. Für den Ganzen Kram im Hintergrund muss man daher gar keine Routen selber eintragen...


----------



## Stockmann (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Speeedymauss schrieb:


> Ja ne eben genau nicht. Das Szenario was du beschreibst hast du, wenn du auf der Firewall NAT/PAT Einsetzen würdest für die hinterlegenden Netzwerke, dass die Fritzbox alle Clients mit der Firewall-IP Adressieren würde (wie das halt bei dem klassischen Heimnetzwerk zum Provider der Fall ist). So wie das aber bei mir läuft, kommt bei der Fritzbox nicht die Firewall IP als Absender/Empfänger an sondern die tatsächliche IP des Clients in dem dahinter liegenden Netzwerk. Ich habe da kein doppeltes NAT.
> 
> 
> wahrscheinlich dann aber mit einem ganz kleinen Unterschied. Wie beschrieben, hast du nen aktives NAT auf der Firewall?
> ...



Du brauchst natürlich das aktive NAT auf der Firewall und ich verstehe auch nicht wieso du es nicht machst.
So viel mühe wie du in das Netzwerk investiert, aktiviere es doch.

Sobald du es Aktivierst, wirst du dir viele Probleme ersparen und das gesamte Netzwerk wirkt sofort durchdachter und sauberer konfiguriert.


----------



## Speeedymauss (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*

Zum einen hat das einen "historischen" Hintergrund warum ich so geroutet habe, da ich zwischendurch aufbauten hatte bei denen das einfach sinnvoller war, ich experimentiere halt auch gerne...
und irgendwie habe ich die Einstellung, so wenig NAT wie geht zu verwenden...mehrfaches NAT kann auch gerne mal zu Problemen führen und das hab ich irgendwie relativ stark bei mir verankert...


Klar wenn ich NAT benutzte, fallen die Routen weg und die Konfig an der der FritzBox wird noch schmaler...
ich denke nochmal drüber nach, ob ich das mal so ansetze wie du das vorschlägst, eigentlich müsste ich das nur mal um es mal gemacht zu haben ausprobieren...hast ja auch eigentlich recht was das angeht...das ist halt der andere Ansatz wie man das angehen könnte...


----------



## Stockmann (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen fÃ¼r Ã¶ffentliches VoIP - und was das (fÃ¼r mich) bedeutet! Darf man das?*



Speeedymauss schrieb:


> Zum einen hat das einen "historischen" Hintergrund warum ich so geroutet habe, da ich zwischendurch aufbauten hatte bei denen das einfach sinnvoller war, ich experimentiere halt auch gerne...
> und irgendwie habe ich die Einstellung, so wenig NAT wie geht zu verwenden...mehrfaches NAT kann auch gerne mal zu Problemen führen und das hab ich irgendwie relativ stark bei mir verankert...
> 
> 
> ...



Ich möchte dich nicht persönlich angreifen oder ähnliches, nur ist es halt so wie du es gemacht hast mit der Netzwerktopologie einfach nicht sauber konfiguriert.
Da du wahrscheinlich eh die Firewall als VM benutzt (ich denke es mal), einfach eben Snapshot anlegen und umkonfigurieren.
Vieles wird dann einfacher 

Wenn du fragen zum Routing hast bei der Umstellung, schreib mir einfach ne PM.

PS: Kostenloser Firewall - Home Edition | Sophos Firewall Download
Die Firewall solltest du dir mal anschauen, wenn du in dem Zuge das mal umstellen möchtest.
Nur so als Tipp


----------



## Speeedymauss (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*

Ach alles in Ordnung, nur so kann ich dazu lernen  Habe jetzt auch wirklich verstanden was du zwischendurch alles meintest, ich habe nur anders Gedacht
Deinen Ansatz hatte ich halt so gar nicht auf dem Schirm 

Meine Firewall läuft momentan tatsächlich auch einen physikalischen Server der total overkill ist, da ich momentan noch dabei bin die Server untereinander umzuziehen und keinen festen VM Host habe   Das ändert sich aber bald 


Ich wusste gar nicht, dass Sophos auch ne kostenlose Version für Privatanwender hat, die werde ich mir tatsächlich mal angucken, allein aus Interesse


----------



## Stockmann (15. März 2018)

*AW: Unitymedia benutzt private IP Adressen für öffentliches VoIP - und was das (für mich) bedeutet! Darf man das?*



Speeedymauss schrieb:


> Ach alles in Ordnung, nur so kann ich dazu lernen  Habe jetzt auch wirklich verstanden was du zwischendurch alles meintest, ich habe nur anders Gedacht
> Deinen Ansatz hatte ich halt so gar nicht auf dem Schirm
> 
> Meine Firewall läuft momentan tatsächlich auch einen physikalischen Server der total overkill ist, da ich momentan noch dabei bin die Server untereinander umzuziehen und keinen festen VM Host habe   Das ändert sich aber bald
> ...



Da du einen Domain Controller im Netzwerk hast, würde sich Microsoft HyperV Server 2016 anbieten.
Der ist kostenlos, aber nur wirklich nutzbar wenn du auch eine MS Domäne hast (ansonsten zu viel Gefummel).
Installieren, in die Domäne aufnehmen und in einen Windows PC mit HyperV Manager einbinden


----------

