BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra
💡

Guia router OPNsense para mantener el telefono fijo de Digi

1
Pedro Sinto
12
Router con OPNsense

Por si a alguien le ayuda, he preparado una mini guía para configurar el telefono fijo de Digi con un router neutro OPNsense.

Primero, quería dar las gracias al compañero @navajita por su guía en VyOS que me sirvió de base para replicarlo en OPNsense (Bridge entre dos VLAN 11 y conectar el router de Digi).

La idea entonces, para tener telefono fijo Digi con un router neutro que administre nuestra red, es crear un bridge transparente para el tráfico VoIP, sin DHCP, y conectar el router Digi en esa interfaz dedicada (y hacer creer al router Digi que está conectado directamente a la ONT).

Equipo

Router Digi: Zte H298Q + ONT Nokia.

Tengo Fibra Smart 600 Mb + Teléfono fijo. Sin modo administrador, no es posible poner en modo bridge el router de Digi (solo permite DMZ). Y aunque lo fuera, no sé si seguiría funcionando el telefono fijo (al que no puedo renunciar). En modo DMZ es tener doble NAT y quiero poder tener mi propio router neutro. Como en otros mensajes/guias que hay, es sencillo, una vez Digi te envía los datos (usuario y contraseña) PPPoE, configurar tu propio router y no usar el de compañía. Pero para que funcione el telefono, no.

Router neutro: OPNsense en Proxmox sobre un minipc Intel N100 con 4 puertos ethernet (8GB RAM y 256GB de disco).

Objetivo

Configurar un bridge transparente en OPNsense para que el tráfico VoIP (VLAN 11) pase directamente desde la ONT hasta el router Digi, mientras que el tráfico de Internet (VLAN 20) sea gestionado por OPNsense.

Configuración de partida

Si alguien lo pide, puedo hacer/añadir los pasos previos (configuración de proxmox, OPNsense y configuración de la WAN con PPPoE).

  • OPNsense instalado y funcionando
  • WAN configurada con PPPoE y VLAN 20 para Internet
  • Puerto ethernet libre para conectar el router Digi (yo uso el 4º de 4 = vtnet3/eth3) (Hay: vtnet0,1,2,3)

Pasos

(Iré incorporando más capturas de pantalla).

1. Crear VLANs

En Interfaces → Other Types → VLAN → Add:

Primera VLAN:

Parent Interface: WAN
VLAN Tag: 11
Description: VOIP_WAN_VLAN

Segunda VLAN:

Parent Interface: voipdigi (vtnet3/eth3)
VLAN Tag: 11
Description: VOIP_LAN_VLAN
image
Interfaces: Other Types: VLAN

2. Asignar VLANs como Interfaces (crear Interfaces)

En Interfaces → Assignments → + (New Interface):

Para VOIP_WAN_VLAN:

Device: Seleccionar VOIP_WAN_VLAN
Enable: Check
Description: VOIP_WAN_INTERFACE

No configurar IP.

Para VOIP_LAN_VLAN:

Device: Seleccionar VOIP_LAN_VLAN
Enable: Check
Description: VOIP_LAN_INTERFACE

No configurar IP.

image
VLANs como Interfaces. Para que funcionae internet previo a esta guia configuré WAN con vlan20 y PPPoE.

3. Crear Bridge

En Interfaces → Other Types → Bridge → Add:

Description: VOIP_BRIDGE
Member interfaces: seleccionar VOIP_WAN_INTERFACE y VOIP_LAN_INTERFACE
Enable link-local address: No marcar

Resto de opciones por defecto

image
Crear Bridge

4. Asignar Bridge (crear Interface)

En Interfaces → Assignments → + (New Interface):

Device: Seleccionar el bridge creado
Enable: Check
Description: VOIP_BRIDGE

No configurar IP

image
Interfaces finales

5. Configurar Tunables del Sistema

En System → Settings → Tunables:

Verificar/Modificar:

  • net.link.bridge.pfil_member = 0 (Si existe, modificar; si no, crear)
  • net.link.bridge.pfil_bridge = 0 (Si existe, verificar; si no, crear)

6. Configurar Firewall, crear reglas

En Firewall → Rules:

Para VOIP_WAN_INTERFACE:

Action: Pass
Quick: Checked
Interface: VOIP_WAN_INTERFACE
Direction: in
TCP/IP Version: IPv4
Protocol: any
Source: any
Destination: any
Description: "Allow VoIP WAN traffic in"
image

Añado, que modifiqué las reglas y añadí encima de la anterior (la prioridad de reglas en OPNsense va de arriba a abajo), entonces una primera que bloquea el acceso a mis otras redes internas (aunque no creo que sea necesario, lo he preferido).

image

Repetir las mismas reglas (in) para:

  • VOIP_LAN_INTERFACE
  • VOIP_BRIDGE

idem con la de bloqueo.

En la interfaz original VOIPDIGI tambíen tengo la de bloqueo, aunque al no tener otra regla de pass, no haría falta.

En Firewall → Rules → Floating:

Action: Pass
Quick: Checked
Interface: VOIP_BRIDGE
Direction: in
TCP/IP Version: IPv4
Protocol: any
Source: any
Destination: any
Description: "Allow VoIP Bridge floating"
image

7. Conexión

  1. Conectar el router Digi al puerto configurado como voipdigi (en mi caso vtnet3/eth3)
  2. Reiniciar/encender el router Digi
  3. El teléfono VoIP debería registrarse automáticamente

Iré añadiendo mas capturas/info.

jonatthan

y con el n100 que veolicidad te da?

🗨️ 1
Pedro Sinto
3

¿A qué te refieres con velocidad? ¿De internet? La misma que tenía con el router de Digi, la contratada (600mb) (siempre da un poco mas). Pero no esperaba menos. Sino vaya churro, aunque toco madera. La razón de cambiar a OPNsense, principalmente ha sido para cacharrear, pero también por tener control sobre mi red, crear VLANs, etc. Todo a raiz de leer este foro y videos en YouTube.

Adjunto pantallazo speed test by Ookla (medido desde mi portatil conectado por cable ethernet cat5e, todo puertos gigabit)

OPNsense → cable 1m cat 7 → switch gestionable → cable 25m cat5e → switch no gestionable → cable 1,5m cat 5e→mi PC

image

Creo que el n100 es perfecto para estas cosas. Poco consumo pero potente para tener varias vm y contenedores. Lo tengo solo con 8gb ddr5 y creo se quedará así. La version con ddr4 debe tener practicamente el mismo rendimiento. Compré el minipc en AliExpress. Los tipicos "fanless" para este menester. En mi caso rebusqué un poco mas y cogí el que tiene ventilador en la carcasa incorporado. No hace mucho ruido, pero no lo tendría en mi habitacion. En el salon es ok. Me costó sin ram ni disco 145 euros con cupones dia x etc (justo algo menos de 150 que el tope para tema aduana si viene fuera de UE). Compré la ram Samsung (8gb ddr5) a parte por 18 euros tambien en AliExpress. Disco nvme ya tenia uno de 256gb. He instalado proxmox, y ya dentro solo quiero poner cosas relacionadas con redes (actualmente tengo: OPNsense como router, adguard home como servidor DNS y heimdall como dashboard).

Adjunto foto.

imageimage
vukits
1

muchas gracias. muy interesante. muy necesario.

lo añado a la F.A.Q

🗨️ 5
Pedro Sinto
2

No hay de que.

Cuando tenga un poco de tiempo proximamente tengo pensado hacer una guía de instalación completa: proxmox + OPNsense + DNS adguard. Y en la parte de OPNsense explicarlo toda la configuración (WAN y VoIP) + VLANs + Firewall rules + conexion AP con ssids por VLANs + switch gestionable para cableado VLANs.

🗨️ 4
Weikis

Si metes WireGuard al asunto te hago la ola

🗨️ 3
Solospam
1

y donde está el inconveniente de meter WireGuard si tiene proxmox? la cosa más fácil del mundo

🗨️ 2
Weikis
Weikis
VicentAntonio

Yo tengo el fijo y lo quitaré porque lo puse por si he de llamar a algún número especial y no lo he hecho en 2 años…

🗨️ 2
lhacc

¿A qué te refieres con algún número especial?

🗨️ 1
VicentAntonio

Pues, p. ej. 010

Vashkat

Gracias por la guía, si no es mucha molestia, ¿Podrías decirme como has configurado el IPv6 en OPNsense? En mi caso lo tengo configurado pero muchas veces al reiniciar no pilla IP y tienes que reiniciar la interfaz hasta 5 o 6 veces para acabar consiguiendola (por lo que nunca estoy seguro de si la obtendré en caso de reinicio no controlado/voluntario)

🗨️ 1
Pedro Sinto

No tengo configurado IPv6. ¿Para que necesitas usar IPv6?

En cualquier caso en los videos que ví de configuración de OPNsense en YouTube (mayoritariamente el canal de homenetworkguy youtube.com/@homenetworkguy ) vi que tenía, creo, alguno para su uso. Y si vi este canal apalrd's adventures youtube.com/watch?v=uKrxwySUH2I que enseñaba a configurarlo.

nvidia

No entiendo muy bien por que haces dos VLAN y un bridge. Con una sola VLAN en la WAN el tráfico ya sale tagueado.

🗨️ 2
Pedro Sinto

No se si te he entendido bien. Disculpad pero mis conocimientos de redes son algo basicos.

Hay tres VLAN: 1 es para acceso a internet con VLAN 20 y los otros 2 son para VoIP con VLAN11. Mi minipc tiene 4 puertos ethernet (eth0, eth1, eth2, eth3):

  • WAN (internet) necesita una VLAN 20 para PPPoE, y tiene el puerto 0 como parent.
  • VoIP (para telefono) que es con VLAN 11. Necesitamos 2 interfaces para crear el bridge. Creamos las interfaces a partir de 2 VLANs, cada VLAN se asocia a un puerto fisico (parent): una al puerto conectado a la ONT (puerto 0) y el otro al puerto conectado al router Digi (puerto 2). Y no podemos reutilizar la interfaz WAN (la vlan20 de internet) porque es 20 y no 11.

PD: en alguna captura aparece una interfaz llamada VOIPDIGI y es la interfaz asociada al puerto eth3 (vtnet3) originalmente cuando configuré OPNsense. Aunque no tiene uso realmente. Y son las dos VLANs 11 las que se convierten en interfaces asociadas respectivamente a vtnet0 y vtnet3.

🗨️ 1
nvidia

Hola! Después de leer la guía de la que partes, entiendo la creación del Bridge, aunque no hace falta taguear la parte LAN. Con el bridge y el interfaz te valdría. La pena es que no tengo los datos sacados de la VoIP para comprobarlo.