Fibra

💡

Guia router OPNsense para mantener el telefono fijo de Digi

Pedro Sinto 3 noviembre 2024 12:03 ✎ ◉

⋮

Por si a alguien le ayuda, he preparado una mini guía para configurar el telefono fijo de Digi con un router neutro OPNsense.

Primero, quería dar las gracias al compañero @navajita por su guía en VyOS que me sirvió de base para replicarlo en OPNsense (Bridge entre dos VLAN 11 y conectar el router de Digi).

La idea entonces, para tener telefono fijo Digi con un router neutro que administre nuestra red, es crear un bridge transparente para el tráfico VoIP, sin DHCP, y conectar el router Digi en esa interfaz dedicada (y hacer creer al router Digi que está conectado directamente a la ONT).

Equipo

Router Digi: Zte H298Q + ONT Nokia.

Tengo Fibra Smart 600 Mb + Teléfono fijo. Sin modo administrador, no es posible poner en modo bridge el router de Digi (solo permite DMZ). Y aunque lo fuera, no sé si seguiría funcionando el telefono fijo (al que no puedo renunciar). En modo DMZ es tener doble NAT y quiero poder tener mi propio router neutro. Como en otros mensajes/guias que hay, es sencillo, una vez Digi te envía los datos (usuario y contraseña) PPPoE, configurar tu propio router y no usar el de compañía. Pero para que funcione el telefono, no.

Router neutro: OPNsense en Proxmox sobre un minipc Intel N100 con 4 puertos ethernet (8GB RAM y 256GB de disco).

Objetivo

Configurar un bridge transparente en OPNsense para que el tráfico VoIP (VLAN 11) pase directamente desde la ONT hasta el router Digi, mientras que el tráfico de Internet (VLAN 20) sea gestionado por OPNsense.

Configuración de partida

Si alguien lo pide, puedo hacer/añadir los pasos previos (configuración de proxmox, OPNsense y configuración de la WAN con PPPoE).

OPNsense instalado y funcionando
WAN configurada con PPPoE y VLAN 20 para Internet
Puerto ethernet libre para conectar el router Digi (yo uso el 4º de 4 = vtnet3/eth3) (Hay: vtnet0,1,2,3)

Pasos

(Iré incorporando más capturas de pantalla).

1. Crear VLANs

En Interfaces → Other Types → VLAN → Add:

Primera VLAN:

Parent Interface: WAN
VLAN Tag: 11
Description: VOIP_WAN_VLAN

Segunda VLAN:

Parent Interface: voipdigi (vtnet3/eth3)
VLAN Tag: 11
Description: VOIP_LAN_VLAN

2. Asignar VLANs como Interfaces (crear Interfaces)

En Interfaces → Assignments → + (New Interface):

Para VOIP_WAN_VLAN:

Device: Seleccionar VOIP_WAN_VLAN
Enable: Check
Description: VOIP_WAN_INTERFACE

No configurar IP.

Para VOIP_LAN_VLAN:

Device: Seleccionar VOIP_LAN_VLAN
Enable: Check
Description: VOIP_LAN_INTERFACE

No configurar IP.

VLANs como Interfaces. Para que funcionae internet previo a esta guia configuré WAN con vlan20 y PPPoE.

3. Crear Bridge

En Interfaces → Other Types → Bridge → Add:

Description: VOIP_BRIDGE
Member interfaces: seleccionar VOIP_WAN_INTERFACE y VOIP_LAN_INTERFACE
Enable link-local address: No marcar

Resto de opciones por defecto

4. Asignar Bridge (crear Interface)

En Interfaces → Assignments → + (New Interface):

Device: Seleccionar el bridge creado
Enable: Check
Description: VOIP_BRIDGE

No configurar IP

5. Configurar Tunables del Sistema

En System → Settings → Tunables:

Verificar/Modificar:

net.link.bridge.pfil_member = 0 (Si existe, modificar; si no, crear)
net.link.bridge.pfil_bridge = 0 (Si existe, verificar; si no, crear)

6. Configurar Firewall, crear reglas

En Firewall → Rules:

Para VOIP_WAN_INTERFACE:

Action: Pass
Quick: Checked
Interface: VOIP_WAN_INTERFACE
Direction: in
TCP/IP Version: IPv4
Protocol: any
Source: any
Destination: any
Description: "Allow VoIP WAN traffic in"

Añado, que modifiqué las reglas y añadí encima de la anterior (la prioridad de reglas en OPNsense va de arriba a abajo), entonces una primera que bloquea el acceso a mis otras redes internas (aunque no creo que sea necesario, lo he preferido).

Repetir las mismas reglas (in) para:

VOIP_LAN_INTERFACE
VOIP_BRIDGE

idem con la de bloqueo.

En la interfaz original VOIPDIGI tambíen tengo la de bloqueo, aunque al no tener otra regla de pass, no haría falta.

En Firewall → Rules → Floating:

Action: Pass
Quick: Checked
Interface: VOIP_BRIDGE
Direction: in
TCP/IP Version: IPv4
Protocol: any
Source: any
Destination: any
Description: "Allow VoIP Bridge floating"

7. Conexión

Conectar el router Digi al puerto configurado como voipdigi (en mi caso vtnet3/eth3)
Reiniciar/encender el router Digi
El teléfono VoIP debería registrarse automáticamente

Iré añadiendo mas capturas/info.

jonatthan 5 noviembre 2024 16:45

⋮

y con el n100 que veolicidad te da?

✖

Pedro Sinto 7 noviembre 2024 21:54

⋮

¿A qué te refieres con velocidad? ¿De internet? La misma que tenía con el router de Digi, la contratada (600mb) (siempre da un poco mas). Pero no esperaba menos. Sino vaya churro, aunque toco madera. La razón de cambiar a OPNsense, principalmente ha sido para cacharrear, pero también por tener control sobre mi red, crear VLANs, etc. Todo a raiz de leer este foro y videos en YouTube.

Adjunto pantallazo speed test by Ookla (medido desde mi portatil conectado por cable ethernet cat5e, todo puertos gigabit)

OPNsense → cable 1m cat 7 → switch gestionable → cable 25m cat5e → switch no gestionable → cable 1,5m cat 5e→mi PC

Creo que el n100 es perfecto para estas cosas. Poco consumo pero potente para tener varias vm y contenedores. Lo tengo solo con 8gb ddr5 y creo se quedará así. La version con ddr4 debe tener practicamente el mismo rendimiento. Compré el minipc en AliExpress. Los tipicos "fanless" para este menester. En mi caso rebusqué un poco mas y cogí el que tiene ventilador en la carcasa incorporado. No hace mucho ruido, pero no lo tendría en mi habitacion. En el salon es ok. Me costó sin ram ni disco 145 euros con cupones dia x etc (justo algo menos de 150 que el tope para tema aduana si viene fuera de UE). Compré la ram Samsung (8gb ddr5) a parte por 18 euros tambien en AliExpress. Disco nvme ya tenia uno de 256gb. He instalado proxmox, y ya dentro solo quiero poner cosas relacionadas con redes (actualmente tengo: OPNsense como router, adguard home como servidor DNS y heimdall como dashboard).

Adjunto foto.

vukits 5 noviembre 2024 17:56

⋮

muchas gracias. muy interesante. muy necesario.

lo añado a la F.A.Q

✖

Pedro Sinto 7 noviembre 2024 21:59

⋮

No hay de que.

Cuando tenga un poco de tiempo proximamente tengo pensado hacer una guía de instalación completa: proxmox + OPNsense + DNS adguard. Y en la parte de OPNsense explicarlo toda la configuración (WAN y VoIP) + VLANs + Firewall rules + conexion AP con ssids por VLANs + switch gestionable para cableado VLANs.

✖

Weikis 8 noviembre 2024 09:19

⋮

Si metes WireGuard al asunto te hago la ola

✖

Solospam 8 noviembre 2024 13:39

⋮

y donde está el inconveniente de meter WireGuard si tiene proxmox? la cosa más fácil del mundo

✖

Pedro Sinto 8 noviembre 2024 15:27

⋮

Weikis 8 noviembre 2024 17:33

⋮

Pedro Sinto 23 noviembre 2024 21:04

⋮

Aun no he mirado de instalarlo en proxmox, no creo que lo haga porque no tengo necesidad de entrar a mi red de casa desde fuera. Pero estuve cacharreando para poner WireGuard en un servidor Linux (en uno de oracle cloud, los que dan gratis con la capa freetier "perpetua). Y encontré este repositorio github.com/angristan/wireguard-install a partir de este video youtube.com/watch?v=IUF4aWVnf-M

Ha sido correr el script, leer qr, y ya estaba conectado via VPN al servidor. En el entorno oracle cloud tuve que habilitar una regla ingress en el firewall de la vpc para el puerto que durante la instalacion de WireGuard puso. Ahora tengo mi propia VPN para conectarme a Paris. Una pena no eligiera un lugar mejor al registrarme en oracle cloud, porque no se puede cambiar en la capa gratuita. Tengo 3 servidores (1 con arm con 4cpu y 24gb de ram (que realmente se podria dividir an varios), y 2 servidores con amd x86 de 1cp y 1gb de ram (en uno de estos es donde he puesto WireGuard), totalmente gratis (ya los llevo teniendo mas de dos años).

Lo comento por si a alguien le interesa para proyectos personales o para cacharrear. En el otro servidor amd 1cpu, tengo cloudpanel alojando una pagina web wordpress, al tener IP publica fija vale para tener nuestro hosting propio y carga rapido.

Un saludo.

VicentAntonio 10 noviembre 2024 11:44

⋮

Yo tengo el fijo y lo quitaré porque lo puse por si he de llamar a algún número especial y no lo he hecho en 2 años…

✖

lhacc 10 noviembre 2024 12:07

⋮

¿A qué te refieres con algún número especial?

✖

VicentAntonio 10 noviembre 2024 15:27

⋮

Pues, p. ej. 010

Vashkat 11 noviembre 2024 17:41

⋮

Gracias por la guía, si no es mucha molestia, ¿Podrías decirme como has configurado el IPv6 en OPNsense? En mi caso lo tengo configurado pero muchas veces al reiniciar no pilla IP y tienes que reiniciar la interfaz hasta 5 o 6 veces para acabar consiguiendola (por lo que nunca estoy seguro de si la obtendré en caso de reinicio no controlado/voluntario)

✖

Pedro Sinto 12 noviembre 2024 13:36

⋮

No tengo configurado IPv6. ¿Para que necesitas usar IPv6?

En cualquier caso en los videos que ví de configuración de OPNsense en YouTube (mayoritariamente el canal de homenetworkguy youtube.com/@homenetworkguy ) vi que tenía, creo, alguno para su uso. Y si vi este canal apalrd's adventures youtube.com/watch?v=uKrxwySUH2I que enseñaba a configurarlo.

✖

Vashkat 15 noviembre 2024 21:59

⋮

Lo utilizo para conexiones a ciertos servicios, aunque no es algo crítico y por eso he ido tirando con lo que tengo. Intenté copiar las configuraciones mencionadas en el foro para otros routers, pero por lo visto hay algo que no acaba de funcionar bien y a veces no se asigna. Miraré los videos a ver si veo algo nuevo muchas gracias

Dorek 15 noviembre 2024 21:08

⋮

@Vashkat Te importaria compartir como tienes el IPv6 configurado? En mi caso no me signa IPv6 de ninguna forma… Voy con Digi también.

Gracias

✖

Vashkat 15 noviembre 2024 21:58

⋮

No soy capaz de subir imagenes así que te pego la configuracion en Interfaces:

En la interfaz WAN:

Generic configuration:

IPv4 Configuration Type: PPPoE

IPv6 Configuration Type: DHCPv6

MAc address: la del router de Digi

PPPoE configuration:

UserName y password facilitados por Digi

DHCPv6 client configuration:

Use IPv4 connectivity: Marcado

Configuration Mode: Basic

Prefix delegation size:56

Lo demás desactivado

En interfaz LAN :

Generic configuration:

IPv4 Configuration Type:Static IPv4

IPv6 Configuration Type: Track interface

Static IPv4 configuration

IPv4 address: La que quieras para tu red local eg 192.168.x.x

Track IPv6 Interface:

Parent interface: WAN

Assign prefix ID: 0

Manual configuration: Allow manual adjustment of DHCPv6 and Router Advertisements marcado

En Interfaces Settings:

Allow IPv6: Marcado Allow IPv6

IPv6 DHC: Prevent release desmarcado

En Services: Router Advertisements: [LAN]:

Router Advertisements: Stateless

Router Priority: Normal

Source Address: Automatic

Advertise Default Gateway: Marcado

DNS options: Marcado Use the DNS configuration of the DHCPv6 server

En Services: ISC DHCPv6: [LAN]

Enable: Marcadoe DHCPv6 server on LAN interface

Range: Puede delimitar dentro del prefijo asignado cuantas asignar e.g. desde ::1 a ::FFEE

DNS servers: Aqui podrías poner las DNS de Digi para IPv6 (Yo uso adguard para resolver DNS y aquí lo tengo vacio)

Como ya comentaba, luego vas a interfaces y le das a reocnectar la WAN hasta que al final al cabo de unas cuantas te asigna IPv6

✖

Dorek 16 noviembre 2024 02:16

⋮

Pues nada, no hay forma. En ope wrr me iba sin problema pero aqui nada, rienes fibra directa?

En mi caso voy x indirecta

nvidia 11 noviembre 2024 23:40

⋮

No entiendo muy bien por que haces dos VLAN y un bridge. Con una sola VLAN en la WAN el tráfico ya sale tagueado.

✖

Pedro Sinto 12 noviembre 2024 13:26

⋮

No se si te he entendido bien. Disculpad pero mis conocimientos de redes son algo basicos.

Hay tres VLAN: 1 es para acceso a internet con VLAN 20 y los otros 2 son para VoIP con VLAN11. Mi minipc tiene 4 puertos ethernet (eth0, eth1, eth2, eth3):

WAN (internet) necesita una VLAN 20 para PPPoE, y tiene el puerto 0 como parent.
VoIP (para telefono) que es con VLAN 11. Necesitamos 2 interfaces para crear el bridge. Creamos las interfaces a partir de 2 VLANs, cada VLAN se asocia a un puerto fisico (parent): una al puerto conectado a la ONT (puerto 0) y el otro al puerto conectado al router Digi (puerto 2). Y no podemos reutilizar la interfaz WAN (la vlan20 de internet) porque es 20 y no 11.

PD: en alguna captura aparece una interfaz llamada VOIPDIGI y es la interfaz asociada al puerto eth3 (vtnet3) originalmente cuando configuré OPNsense. Aunque no tiene uso realmente. Y son las dos VLANs 11 las que se convierten en interfaces asociadas respectivamente a vtnet0 y vtnet3.

✖

nvidia 12 noviembre 2024 19:52

⋮

Hola! Después de leer la guía de la que partes, entiendo la creación del Bridge, aunque no hace falta taguear la parte LAN. Con el bridge y el interfaz te valdría. La pena es que no tengo los datos sacados de la VoIP para comprobarlo.