Mehrere VLANs / getrennte Subnetze

Wenn deine TK-Anlage und deine Apps in verschiedenen Subnetzen liegen: welche Ports musst du in deiner Firewall öffnen, damit alles funktioniert.

Wann brauchst du das?

Standardmäßig liegt FRANZFON im selben Netzwerk wie deine Endgeräte (Desktop-PC, Hardware-Telefone, WLAN-fähige Mobilgeräte). Das ist der unterstützte Default-Fall, dafür musst du nichts konfigurieren.

Wenn du aber mehrere VLANs / Subnetze in deinem Netzwerk hast (typisch bei UniFi/Ubiquiti, pfSense, Mikrotik-Setups oder größeren Firmennetzen), und FRANZFON im einen, deine Apps im anderen Subnetz hängen — dann muss dein Router/Firewall den nötigen Traffic explizit zwischen den VLANs durchlassen.

Welche Ports öffnen?

Eine Inter-VLAN-Routing-Regel von deinem Apps-VLAN zur FRANZFON-VM-IP für folgende Ports:

Port 8089 (WSS / TLS) brauchst du nicht. Port 22 (SSH) ist auf Kunden-Images sowieso deaktiviert.

Wichtig: Cross-VLAN-Traffic darf ausschließlich innerhalb deines vertrauenswürdigen LAN bleiben. Niemals diese Ports ins öffentliche Internet routen. Eine native Public-Access-Lösung mit TLS-Verschlüsselung ist in einem späteren Release geplant.

Beispiel: UniFi (USG / UDM / UXG)

In der UniFi-Network-Anwendung:

1. Firewall & Security → Traffic Rules → Add Rule
2. Action: Allow
3. Source: dein Apps-VLAN (z.B. WLAN-VLAN-Subnetz 10.10.20.0/24)
4. Destination: die FRANZFON-VM-IP (z.B. 10.10.10.217)
5. Ports: einzelne Regeln pro Port-Block oder eine Sammelregel mit den oben genannten Ports
6. Speichern und auf das Router-Reapply warten

Vom Apps-VLAN aus mit ping <FRANZFON-IP> testen — wenn ICMP auch in der Regel ist, sollte der Ping antworten.

Beispiel: pfSense

1. Firewall → Rules → das Apps-Interface auswählen
2. Add → Action Pass, Protocol TCP/UDP, Source dein Apps-VLAN, Destination FRANZFON-VM-IP, Destination Port-Range (oben genannte Ports)
3. Save & Apply Changes

Sicherheitshinweis: Nur im vertrauenswürdigen LAN

Cross-VLAN-Routing ist nur dafür gedacht, dass deine Apps und die TK-Anlage sich innerhalb deines eigenen Heim- oder Firmennetzes erreichen können - auch wenn sie in unterschiedlichen Subnetzen sitzen.

Diese Ports dürfen nicht über die WAN-Seite (öffentliches Internet) erreichbar sein. Das wäre eine ungeschützte SIP-/Web-Schnittstelle und würde Brute-Force-Versuche, Toll-Fraud und Datenleaks ermöglichen.

Generelles “Public Access” für die FRANZFON-Web-UI und die Mobile-App über das Internet ist aktuell nicht freigegeben - das kommt in einem späteren Release mit TLS-Zertifikat-Workflow und DDNS/FQDN-Setup.

Häufige Fallstricke

Ping geht durch, aber App-Login schlägt fehl mit Timeout:

• Prüfe ob du nur ICMP geöffnet hast und nicht auch Port 3000/TCP
• App spricht intern auf TCP 3000 für den Login, separat von ICMP

Login geht, aber kein Audio im Gespräch:

• RTP-Range fehlt oft, da man “nur SIP” denkt
• Stelle sicher dass UDP 10000-10200 offen ist
• RTP-Pakete werden in beide Richtungen ausgetauscht, beide Richtungen müssen in der Firewall erlaubt sein (üblicherweise Stateful-Firewall macht das automatisch, manche manuelle Regelwerke nicht)

Inbound-Anrufe von extern kommen trotzdem nicht durch:

• Das ist meist kein VLAN-Problem, sondern ein FritzBox-Routing-Problem. Siehe FritzBox einrichten.

Wenn nichts hilft

Erstelle einen Diagnose-Report und schick ihn zusammen mit einem Screenshot deiner Firewall-Regel an info@franzfon.de.

Zuletzt aktualisiert: 07. Mai 2026 · Autor: IAP-IT, Viktor Weizel