Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

VoIP hinter Cisco Router

Mitglied: PharIT
Hallo allerseits,

ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.

Habe ein Softphone hinter dem Cisco mit IP 10.10.10.149. Das hängt an einem meiner internen GigabitEthernets, welcher im VLAN 1 hängt. Der GigabitEthernet8 sollte korrekt die Verbindung nach außen aufbauen. Hat mir jemand den Ansatz wo ich suchen muss? Fange gerade erst mit VoIP an und weiß nicht, ob ich in die falsche Richtung laufe... Danke schon mal im Voraus!

Und die folgenden Settings im Cisco kommen hier schon:


EDIT: Hängt das vielleicht mit SIP vs. H.323 zusammen?

Viele Grüße,

PharIT

Content-Key: 318708

Url: https://administrator.de/contentid/318708

Ausgedruckt am: 02.08.2021 um 22:08 Uhr

Mitglied: Pjordorf
Pjordorf 21.10.2016 aktualisiert um 20:53:14 Uhr
Goto Top
Hallo,

Zitat von @PharIT:
ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.
Beziehst du dich hierauf? https://www.administrator.de/forum/tk-anlage-cisco-891-318526.html
Was sagt ein Wireshark mitschnitt an den Port (Port Mirror) wo dein Softphone hängt (Oder direkt auf den PC wo dein Softphone laufen will?
Softphone korrekt eingerichtet?
Cisco lässt auch Port 5060 durch wie im anderen beitrag besonders hingewiesen wurde?
Softphone weiß um deiner VLANs?
Was ist dein Softphone?
Kann es überhaupt H.323 (ISDN over IP) oder warum die Frage nach SIP bzw. H323?

https://de.wikipedia.org/wiki/H.323
https://de.wikipedia.org/wiki/Session_Initiation_Protocol

Gruß,
Peter

PS Link nachgereicht
Mitglied: aqui
aqui 21.10.2016 aktualisiert um 20:03:29 Uhr
Goto Top
Deine Konfig hat gravierende Fehler oder du hast etwas unterschlagen hier !
Dein PAT hast du an die Route MAP nonat gemappt. Wo ist diese ??
Wenn du die nicht definiert hast wird alles im NAT geblockt und da ist es dann kein Wunder das nix klappt !
Hast du einen Router mit Firewall Image ??
Wenn ja nutze bitte folgende Konfig:
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
!
interface Vlan1
description Lokales LAN
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no ip route-cache
!
interface GigabitEthernet8
description Internet Port mit NAT
ip address xxx.xxx.xxx.xxx 255.255.255.192
ip nat outside
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect myfw out
ip virtual-reassembly in
no cdp enable
!
!
ip nat inside source list 101 interface GigabitEthernet8 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
!

Damit aktivierst du die Firewall mit einer CBAC Accessliste und lässt über das dortige Application Gateway SIP und RTP dynamisch passieren.
Damit entfallen auch sofort die statischen Port Forwardings für VoIP.
Diese musst du nur machen wenn du kein FirewallImage auf dem Router hast.
Mitglied: PharIT
PharIT 22.10.2016 um 00:10:22 Uhr
Goto Top
Hi aqui,

tausend Dank für Deine Antwort, ich habe versucht, das jetzt umzusetzen --leider noch immer ohne Erfolg. Könntest Du mal einen Blick darauf werfen, ob sich ein Fehler erkennen lässt? Diesmal habe ich die ganze Config bereinigt von DHCP Pools (außer dem einen Haupt-Pool) eingefügt. Mit dieser Testconfig komme ich immerhin ins Netz. GigabitEthernet8 baut eine Internetverbindung mit fixer IP auf (über ein Kabelmodem)


Mitglied: aqui
aqui 22.10.2016 aktualisiert um 12:40:09 Uhr
Goto Top
Und nochmals die Frage an dich: Betreibst du ein Firewall Image auf dem Cisco ? (Ein sh ver oder sh flash verrät dir das !)
Scheinbar ist es dir wohl egal was man hier als Antwort schreibt oder nicht, denn du ignorierst vollständig irgendwelche Tips. :-( face-sad
Anhand der wirren Konfiguration oben erkennt man auch das du vermutlich mit einem automatisierten Konfig Programm auf dem Cisco rummfummelst.
Vergiss das bitte !!!
All diese Programme sind für Volldummies und in der Regel großer Mist und machen mehr falsch als richtig, deshalb bekommst du das auch alles nicht zum Fliegen !
Schliesse ein ganz normales serielles Terminal mit PuTTY oder TeraTerm an den seriellen Konsolport des Routers und konfiguriere ihn mit den Kommandos die auch oben für dich hier gepostet wurden !!!
Soviel mal zu den Grundlagen....

Eine Frage noch vorweg:
Du schreibst du betreibst den Router mit einem Kabelmodem ??!!
Ist das wirklich ein reines Modem oder ist das ein Kabelrouter mit integriertem Modem ??
Letzteres wäre dann eine Router Kaskade die eine andere Konfig erfordert.
Da du mit ip address xxx.xxx.xxx.xxx 255.255.255.192 eine /26 Subnetz Adresse verwendest und diese vermutlich öffentlich ist, ist es vermutlich wirklich ein reines Modem, richtig ?
Merkwürdig ist dann hier aber nur das in aller Regel in Kabel TV Netzen die IP Adresse per DHCP vom Kabelprovider an die Kabelrouter vergeben werden.
Infolgedessen hätte man eine Interface Konfiguration dort als DHCP Client ip address dhcp erwartet.
Warum ist diese bei dir statisch bzw. manuell ???

Ansonsten sind es wiedermal die gleichen Fehler oder Ungereimtheiten wie oben von denen du rein gar nichts oder wenn dann vollkommen falsch entgegen der dir geposteten Konfig umgesetzt hast.
Die Kardinalsfrage ist WARUM du nicht mal Zeit gefunden hast mit einem sh run deine Konfig mit der geposteten zu vergleichen.
Auch einen vollkommenen Laien hätten diese gravierenden Fehler das ACLs an falschen Interfaces liegen ja sofort auffallen müssen ?!
Im Einzelnen:
  • Die ACL 111 macht nur Sinn wenn du das Firewall Image bzw. die Firewall aktivierst !
  • Außerdem hast du sie zwar definiert aber am völlig falschen Interface aktiviert ?! Damit ist sie NICHT aktiv :-( face-sad
  • Sie ist am lokalen LAN aktiviert was natürlich völliger Blödsinn ist. Hättest du nur einmal auf die IP Adressen in der ACL 11 gesehen dann hättest du gesehen wie blödsinning das ist. Klar das das schiefgeht.
  • Firewall Outgoing ebenfalls am LOKALEN LAN als Outgoing definiert. Sorry, aber auch das ist, gelinde gesagt, völliger Blödsinn und hätte dir auch als Laie sofort auffallen müssen !
  • Firewall und Application Gateway für SIP auch wieder nicht aktiviert !
  • Name Server auf Google definieren ist Unsinn es sei denn du lässt dich freiwillig gerne ausspionieren ?
  • DHCP Excluded Adresse sinnloss doppel und 3fach ausgenommen
  • Regel access-list 111 permit ip any any gefährlicher Irrsinn !! Damit erlaubst du ALLES eingehend. Tödlich für eine Firewall Regel !!
  • usw. usw.
Mit anderen Worten:
Deine Konfig ist die reinste Katastrofe und in weiten Teilen vollkommen fehlerhaft und es ist klar das du damit Schiffbruch erleidest.
Gehe jetzt bitte mal langsam Schritt für Schritt vor und so das du etwas lernst dabei und es nicht wieder schief geht:
1.) Schritt:
Die Grundkonfiguration mit lokalem LAN mit DHCP und Internet Zugang zum Laufen bringen.
2.) Schritt:
VPN zum Fliegen bringen

Wir fangen jetzt mit dem ersten Schritt an indem du folgendes machst:
  • Wie oben bereits gesagt: Terminal mit PuTTY oder TeraTerm (ZTerm wenn du einen Apple hast) an die serielle Schnittstelle anschliessen mit 9600 Baud, N81
  • Dann löschst du mit: write erase oder era startup deine kranke Konfig von oben komplett und machst den Router wieder jungfräulich (Factory Reset) und bootest den Router neu.
  • Wenn er dich dann nach dem Booten fragt ob du das Setup Menü starten willst sagst du "Nein". Du kommst dann ins normale Konfig Menü ( > Prompt und dann enable) und kannst dann dort mit conf t die folgende, für dich fertig zum Aptippen, kommentierte Konfig eingeben.
  • Bitte BEVOR du hier weiterfragst mit sh run nochmal genau verifizieren um die wiederholten Fehler, die du oben gemacht hast, nicht wieder und wieder geschehen zu lassen !
  • Eine gute Kurzeinführung in die wichtigsten Cisco Konfig Kommandos (Basisbefehle) findest du hier: http://www.coufal.info/cisco_ios/index.shtml

Los gehts:
!
service timestamps log datetime localtime
--> Log Uhrzeit auf Lokalzeit stellen
!
hostname CiscoRouter
--> Hostnamen im Prompt einstellen
!
enable secret Geheim
--> Login Passwort setzen
!
clock timezone CET 1 0
--> Uhrzeit auf EU Zeitzone stellen
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
--> Uhr auf auto. Sommerzeit stellen
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.10.1 10.10.10.99
<-- DHCP Adress Pool lokales LAN .100 bis .149
ip dhcp excluded-address 10.10.10.150 10.10.10.254
!
ip dhcp pool LAN
<-- DHCP Pool Router, DNS etc.
network 10.10.10.0
default-router 10.10.10.1
dns-server 10.10.10.1
domain-name pharit.intern
!
!
ip inspect name myfw tcp
--> Firewall global aktivieren
ip inspect name myfw udp
ip inspect name myfw sip
<-- Firewall App Gateway f. VoIP
ip inspect name myfw rtsp
<-- Firewall App Gateway f. VoIP
!
interface Vlan1
description Lokales LAN
--> (Switch Gig Ports 0 bis 7)
ip address 10.10.10.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address xxx.xxx.xxx.xxx9 255.255.255.192
ip access-group 111 in
<-- HIER ! Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out
<-- HIER ! Firewall aktiv auf Internet Port
no cdp enable
!
ip dns server
<-- Cisco ist Proxy DNS
!
ip nat inside source list 101 GigabitEthernet8 overload
<-- NAT aktivieren für Pakete nach ACL 101 am Gig 8 Port
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x
<-- Default Route, x.x.x.x = Provider Gateway IP (Entfällt bei Internet Port Gig8 im DHCP Mode)
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
<-- Alles mit Absender IP 10.10.10.x wird geNATet !
!
access-list 111 permit icmp any any administratively-prohibited
<-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
<-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
<-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any
<-- Erlaubt NTP (Zeit) durch die Firewall
!


Bitte erstmal NUR allein diese Konfig zum Fliegen bringen !!!

Das ist die einfache Grundkonfig für ein lokales LAN mit DHCP und Internet Zugriff mit NAT zum Kabelprovider.
Wenn der DHCP macht für die IP dann kannst du den GigE 8 Port auch anders konfigurieren:
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address dhcp
ip access-group 111 in
<-- Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out
<-- Firewall aktiv auf Internet Port
no cdp enable
!

Die ACL 111 muss dann aber auch entsprechend angepasst werden sofern du DHCP Vergabe am Gig8 Provider Port machst !!
!
access-list 111 permit icmp any any administratively-prohibited
<-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
<-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
<-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any
<-- Erlaubt NTP (Zeit) durch die Firewall
access-list 111 permit udp any eq bootps any
<-- Erlaubt DHCP vom Provider
!

Wenn dein Provider die IP per DHCP vergibt bekommst du so auch die DNS Server IP Adresse automatisch und musst NICHTS weiter konfigurieren.
Musst du sie wirklich statisch vergeben, dann musst du mit ip name-server x.y.z.h den Name Server statisch eintragen.
Google solltest du immer vermeiden ! Die erstellen ein Profil von dir mit deinen Surfgewohnheiten !
Wenn, dann immer die DNS Server deines Providers nehmen !

Bitte jetzt diese (und NUR diese !) Konfig so über das Terminal eingeben und KEIN Konfig Programm oder solchen Unsinn benutzen !
Dann querchecken ob deine Konfig der obigen entspricht. Überflüssige Kommandos und Interfaces sind da jetzt weggelassen der Übersicht halber um dich nicht zu verwirren.
Bitte halte dich auch parallel an das hiesige_Cisco_Tutorial was alle diese Konfigs ebenfalls abtippfertig und zur Überprüfung komplett kommentiert vorhält !!!

Falls du noch ein Gastnetz oder weitere lokale Subnetze brauchst musst du das sagen, das kann man zusätzlich noch leicht einrichten in der Grundkonfiguration aber wie gesagt: "Alles der Reihe nach !!!"
Erstmal das obige als Internet Grundkonfig zum Laufen bringen und testen, dann machen wir hier weiter !
Mitglied: PharIT
PharIT 22.10.2016 aktualisiert um 16:15:45 Uhr
Goto Top
Hallo aqui,

Tausend Dank Dir, ich mach mich gleich mal an's Werk. Tatsächlich hab ich von vielen Seiten versucht, zu konfigurieren und selbst mit null Wissen und einer gewissen Fahrigkeit das Ganze angepackt! Danke Dir vielmals. Ich habe aber nicht übersehen, dass Du mich nach dem Firewall-Image gefragt hast -nur überhaupt keine Idee, wie ich die folgende Ausgabe interpretieren soll:

Wenn Du es jetzt erkennst, ob ja oder nein, sagst Du mir bitte, wo?


Viele Grüße und Danke nochmals für dieses Mammutstück an Einführung,

PharIT
Mitglied: PharIT
PharIT 22.10.2016, aktualisiert am 23.10.2016 um 01:26:55 Uhr
Goto Top
Hi Aqui,

Nochmals vielen Dank, mein VoIP-Softphone läuft jetzt wie eine eins. Anhand Deiner Anleitung und verglichen mit meinem vorherigen Kauderwelsch hab ich viele Fehler verstehen können. Wenn Du noch den Nerv hättest, würde ich folgende Fragen stellen:

  • Um VPN wieder zu aktivieren reicht es schlichtweg, den Teil "VPN (IPsec) Server für iPhone, Android und Mac OS-X User mit onboard Client aktivieren:" aus Deinem Tutorial hinzuzufügen?-->das würde jetzt von intern schon laufen, aber was erwartet die Firewall hierzu von mir? Von außen geht nix...
  • Kann ich nach Schema F Deiner Anleitung jetzt den externen Mikrotik anbinden? Oder erwartet dieser dann auch besondere Firewall-Regeln?
  • * habe ich es richtig verstanden: ip inspect setzt die Firewall für beispielsweise das sip Protokoll auf, und ich weise sie dem WAN-Interface zu? Und lässt sie nur durch, was sie inspected?
*Erübrigen sich jetzt Portfreigaben zu einem Sip-Trunking? Sipgate zum Beispiel benötigt noch Port 5064, hat sich das dann auch erledigt?
  • Dein Angebot von Subnetz und Gastnetz: Wo kann ich hier ansetzen?

Zu Deinen Fragen: Ich habe ein Kabelmodem und eine fixe IP vom Anbieter, daher läuft alles jetzt so.

Vielen Dank nochmals und viele Grüße,

PharIT
Mitglied: aqui
aqui 23.10.2016 aktualisiert um 12:38:50 Uhr
Goto Top
dass Du mich nach dem Firewall-Image gefragt hast -nur überhaupt keine Idee, wie ich die folgende Ausgabe interpretieren soll:
Im Zweifel gibst du einfach mal ein Firewall Kommando am Router ein und checkst ob er das "frisst" !
Tut er das hast du ein Firewall Image drauf. Bei den 880ern und 890ern ist das eigentlich Standard...
So prüfst du das:
conf t
ip inspect name myfw tcp
<ctrl z>
wr

Wenn du nach ip inspect name myfw tcp die Eingabetaste gedrückt hast und er hat keinen Syntax Fehler meldet dann hast du ein Firewall Image !!

Zu deinen Fragen:
1.)
Ja, das reicht wenn du das machst. Richte dich immer nach den Praxiskonfigs in diesem Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Die o.a. Firewall ACL 111 ist oben noch nicht angepasst auf den IPsec VPN Zugriff von außen ! Deshalb lässt sie auch kein IPsec durch und deshalb klappt es nicht.
Die Lösung ist aber kinderleicht:
Dort musst du noch IPsec erlauben.
Die angepasste ACL 111 sieht dann so aus bei dir:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any any eq non500-isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit esp any any
=> IPsec eingehend durch die Firewall erlauben
(access-list 111 permit udp any eq bootps any)


2.)
Nein die o.a. Regel in der ACL 111 erlaubt jeglichen IPsec Zugriff von anderen Geräten außerhalb auf den Cisco Router. Was du machen musst ist lediglich eine zusätzliche Crypto Map einrichten für den Mikrotik.
Richte dich einfach nach dem o.a. Praxistutorial, dort ist das alles einzeln kommentiert beschrieben !
Bei Detailfragen fragst du hier.

3.)
Ja das hast du richtig verstanden !
Du kannst die Firewall speziell für diverse Protokolle dediziert customizen.
Das macht auch Sinn als es nur einzig für TCP und UDP global zu tun. Gerade bei VoIP und auch anderen Applikationen macht dies Sinn, denn die VoIP Protokollkomponenten nutzen dynamische Portokollports die die Firewall dann auch dynamisch öffnet ohne hier weite Bereiche manuell per Default zusätzlich öffnen zu müssen.
Ein ip inspect name myfw ? zeigt dir die verschiedenen Protokolle die möglich sind.
Eine übliche Konfig von Dingen die so in kleinen Netzen vorkommen lautet z.B.:
!
ip inspect name myfw ftp
ip inspect name myfw h323
ip inspect name myfw sip
ip inspect name myfw icmp
ip inspect name myfw rtsp
ip inspect name myfw esmtp
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw http
!

IMAP oder Secure IMAP (Email) könnte man da noch dazunehmen.
Und ja es würde nur durchgehen was du mit der FW ansiehst wenn du sie auf dem Internet Interface aktivierst. Minimal sollte man also immer TCP und UDP aktivieren. Damit werden dann diese Sessions stateful von der Firewall inspiziert. Sonst arbeitet der Router nur mit passiven Accesslisten.
Hier wird das Prinzip der CBAC Listen gut beschrieben auf dem Router:
http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/13814-3 ...
Da die Firewall aber alles dichtmacht brauchst du für Inbound Verbindungen (Zugriff von außen) zwingend die ACL 111 die dir das Interface öffnet für Zugriff von außen.
Der o.a. Cisco Artikel beschreibt das.

4.)
Nein, wenn SIPgate noch von außen UDP 5064 benötigt musst du den natürlich auch öffnen sprich also in der ACL 111 muss noch zusätzlich stehen: access-list 111 permit udp any eq 5064 any

5.)
Erweiterung Gastnetz:
Deine 8 GigE Ports 0 bis 7 arbeiten als ein 8 Port Switch.
Ohne spezielle Konfig sind dort üblicherweise alle Ports im Default VLAN 1. Das korrespondiert dann mit dem Interface vlan 1 in der Router Konfig bzw. der IP Adressierung usw. drauf.
Du kannst nun beliebige Ports dieses Switches in beliebige IP Segmente (VLANs) unterteilen und dort weitere Netzsegmente anschliessen.
Nehmen wir hier als Beispiel mal ein Gastnetz was wir fest auf den Switchport GigabitEthernet7 ins VLAN 99 legen mit der IP 10.99.1.0 /24 und was NICHT mit dem lokalen LAN an VLAN 1 reden darf.
Zuerst legst du dazu das Gastnetz VLAN 99 an:
conf t
vlan 99 <ret>
name Gastnetz <ret>
<ctrl z>
wr


Dann kommen jetzt die zusätzlichen Konfig Kommandos für das Gastnetz:
!
ip dhcp excluded-address 10.99.1.1 10.99.1.99
<-- DHCP Gastnetz Adress Pool von .100 bis .149
ip dhcp excluded-address 10.99.1.150 10.99.1.254
!
ip dhcp pool LAN
<-- DHCP Gastnetz DHCP Server
network 10.99.1.0
default-router 10.99.1.1
dns-server 10.99.1.1
domain-name gaeste.pharit.intern
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99
<-- Port 7 auf Gastnetz umschalten (VLAN 99)
no ip address
no cdp enable
!
interface Vlan99
description Gastnetz (Port=GigabitEthernet7)
ip address 10.99.1.1 255.255.255.0
ip access-group keingast in
<-- ACL "keingast" blockt Zugriff auf lokales LAN !
ip nat inside
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 permit ip 10.99.1.0 0.0.0.255 any
<-- NAT um Gastnetz erweitern
!
ip access-list extended keingast
deny ip 10.99.1.0 0.0.0.255 10.10.10.0 0.0.0.255
permit ip 10.99.1.0 0.0.0.255 any
!

Die o.a. ACL "keingast" kannst du dann beliebig erweitern oder anpassen je nachdem was du deinen Gästen erlauben willst.
Die obige erlaubt den Gästen alles außer den Zugriff auf das lokale LAN. Nicht immer gewollt, denn Gäste sollen ja nur rechtssicher das machen was unbedingt nötig ist. Die ACL
!
ip access-list extended keingast
deny ip 10.99.1.0 0.0.0.255 10.10.10.0 0.0.0.255
permit udp 10.99.1.0 0.0.0.255 any eq dns
permit tcp 10.99.1.0 0.0.0.255 any eq dns
permit tcp 10.99.1.0 0.0.0.255 any eq http
permit tcp 10.99.1.0 0.0.0.255 any eq https
!

Erlaubt z.B. nur Surfen im Gastnetz.
Über eine Whitelist kannst du hier nur das zufügen was die Gäste dürfen.

Port 7 am Router ist nun NICHT mehr Mitglied im VLAN 1 sondern im VLAN 99 !
Das siehst du daran wenn du dort einen PC oder Laptop anschliesst er dann eine IP aus dem Gastbereich 10.99.1.x bekommt.
Durch die ACL "keingast"" werden die Geräte hier gehindert vom Vlan 99 (Gäste) auf das lokale LAN (Vlan1) zu kommen.
Diese kannst du z.B. beliebig erweitern wenn du MSSID fähige WLAN Acesspoints hast die mehrere WLANs aufspannen können wie hier beschrieben usw.
Mitglied: PharIT
PharIT 23.10.2016 um 17:40:05 Uhr
Goto Top
Hi Aqui,

Tausend Dank Dir, ich habe jetzt alles umgesetzt was Du geschrieben hast und es klappt 1A -vom Lerneffekt endlich ganz abgesehen, anders als mein Gestochere im Dunkeln bisher. Firewall Image habe ich in diesem Fall-> zu dem Test mit den Funktionen hätte ich unten noch eine Frage

Am Mittwoch ist dann meine Freundin fällig, die für den Mikrotik-Test von Außen herhalten muss ;-) face-wink

Wenn Du erlaubst, hätte ich noch zwei Fragen an dieser Stelle:
  • Ich habe den Router billig wie von Dir in einem der Tipps beschrieben bei eBay besorgt, daher keine Ahnung, ob er jetzt PoE kann. Verhält es sich hier nun wie mit Deinem Firewall Tipp? Denn er kennt wirklich keines der PoE Kommandos, die ich im Internet finde.
  • Für mein Android Phone sagte der Support, ich sollte ein Update des Routers fahren, da immer die Meldung "unsuccessfull" erscheint. Brauche ich da jetzt so einen Wartungsvertrag, oder gibt es die auch anders?
  • AnyConnect wäre ja auch eine Super-Sache, weißt Du zufällig, wie es sich da mit Setup und/oder Servicevertrag verhält?

Viele Grüße und auch Dir mal einen erholsamen Sonntag!

PharIT
Mitglied: aqui
aqui 23.10.2016 aktualisiert um 21:35:19 Uhr
Goto Top
Wenn Du erlaubst, hätte ich noch zwei Fragen an dieser Stelle:
Immer her damit... ;-) face-wink

Du meinst dann sowas hier, richtig ?? :-D face-big-smile (Der verschickt bei 80 Euro)
http://www.ebay.de/itm/262385170703?ul_noapp=true
ob er jetzt PoE kann.
Du meinst auf seinen GiG Ports am Switch ?
Gib einfach testweise mal ein PoE Kommando ein am Port, dann siehst du das ! Ist wie bei der Firewall: Frisst er das Komanndo kann er das. Sonst gibts ne Fehlermeldung ;-) face-wink
Denn er kennt wirklich keines der PoE Kommandos, die ich im Internet finde.
Dann kann er das auch nicht. Wäre auch unüblich für einen SoHo Router.
PoE Injektor verwenden !
Brauche ich da jetzt so einen Wartungsvertrag, oder gibt es die auch anders?
Wenn du pfiffig suchst findest du es auch ohne :-) face-smile Einfach mal den IOS Firmwarenamen bei Dr. Google eingeben.
Das mit dem Update ist aber zu 98% Blödsinn. I Ein 10 Jahre alter 831er Router hier der macht das problemlos ! Wichtig ist das du native IPsec machst und kein L2TP mit IPsec.
Hast du mal den Debugger laufen lassen auf dem Router bei der Einwahl um mal zu checken WARUM ein "unsuccessful" kommt ??
(debug crypto ipsec und debug crypto isakmp. Zum Schluss immer "u all" eingeben um den Debugger abzuschalten !)
AnyConnect wäre ja auch eine Super-Sache,
Brauchst du nicht. Nimm den kostenlosen Shrew Client: https://www.shrew.net/download
Oder verwende einfach PPTP mit einem einigermaßen sicheren Passwort:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...
Spart dir ne Menge Nerven...
Mitglied: PharIT
PharIT 23.10.2016 aktualisiert um 23:22:46 Uhr
Goto Top
Danke Dir schon wieder!!! Sagst Du mir vielleicht dennoch, wie ich für den AnyConnect anfangen kann? Würde es aus Interesse wirklich gern machen. Muss ich da erst was kaufen?

Dein Tipp bei ebay lag schon verdammt richtig, wie machst Du das nur? :D

Also das Samsung S6 meiner Freundin macht keine Probleme, bei meinem stechen folgende Meldungen raus:


*Oct 23 19:52:49.694: ISAKMP-PAK: (2053):received packet from 82.113.121.125 dport 4500 sport 9309 Global (R) AG_INIT_EXCH


*Oct 23 19:52:49.694: ISAKMP: (2053):Info Notify message requeue retry counter exceeded sa request from xxx to xxx (IP-Adressen)

*Oct 23 19:52:48.998: ISAKMP: (2053):phase 1 packet is a duplicate of a previous packet.


Muss ja fast am Telefon liegen in diesem Fall, oder?
Mitglied: aqui
aqui 24.10.2016 aktualisiert um 16:15:33 Uhr
Goto Top
Für Anyconnect ist das die gleiche Konfig für einen Client Dialin wie du im o.a. IPsec Praxis Tutorial siehst.
Da gibt es keinen Unterschied.
Zu deinen Messages:
received packet from 82.113.121.125 dport 4500 sport 9309 Global R AG_INIT_EXCH

Empfangen wurde ein IKE Initialisierunds Paket mit dem Destination Port 4500 (was NAT Traversal ist) und Source Port 9303
Auf das folgenden Paket wurde nicht geantwortet. Der Retry Counter also der Wiederholungszähler ist abgelaufen und es kam keinen Antwort.
3tes ist komisch. Paket Duplication kann eigentlich nicht sein.
Muss ja fast am Telefon liegen in diesem Fall, oder?
Das kann man versucht sein zu glauben. Wenn es fehlerfrei mit dem Telefon der Freundin geht ist fast davon auszugehen. Aaaaber...
Bei deinem sendet er ja scheinbar Pakete und der Router antwortet nicht.
Da wäre es sehr wichtig zu wissen ob diese Pakete ankommen ???
Schalte also mal den IPsec Debugger an mit debug crypto ipsec und debug crypto isakmp !
Wenn du mit Telnet oder SSH auf dem Router drauf bist gib zusätzlich ein term mon ein um die Debug Meldungen auf dem Schirm zu bringen.
Dann startest du den IPsec Verbindungsaufbau von deinem Androiden (und nur deinem !)
Anhand der dann auftauchenden Debug Meldungen am Router kannst du sofort sehen was schief geht oder ob diese Pakete oben irgendwo hängenbleiben.
Am Ende des Debugg Prozesses immer u all eingeben um den Debugger wieder abzuschalten.
Mitglied: PharIT
PharIT 25.10.2016 um 09:01:02 Uhr
Goto Top
Hi Aqui,

vielen Dank, ich habs jetzt mal ganz durchlaufen lassen, bis mein Handy "Unsuccessfull" meldet. Leider werde ich aus dem Folgenden aber nicht schlau... Du vielleicht?

Viele Grüße!


Mitglied: aqui
aqui 25.10.2016 um 10:46:11 Uhr
Goto Top
Ja, dein Smartphone macht einen Protokollfehler. Kurz vor der Phase 2 retransmitted es ein Packet was das IPsec als Fehler oder Attacke ansieht und dann den Sessionaufbau abbricht.
Da ist ein Fehler im IPsec Protokollstack bei dem telefon. Gibt es da ggf. ein Firmware Update.
Siehst du ja auch schon daran das andere Telefone wie das der Trautholdesten sauber funktionieren.
Was du nochmal machen kannst ist die Schlüssellänge auf 256 Bit zu erhöhen, was heute eigentlich üblicher Standard ist. 128 Bit ist schon etwas alt.
Es ist nur in der Praxiskonfig mit drin, da häufig noch alte Router verwendet werden und billige Consumer Systeme mit schwachbrüstigen SoC CPUs oft nicht mehr können.
Du fügst also einfach eine weitere Policy mit crypto isakmp policy xy dazu mit aes 256.
Mitglied: PharIT
PharIT 25.10.2016 um 11:18:53 Uhr
Goto Top
Danke Aqui!

Hast Du 128 daran gesehen, dass nichts mehr nach "aes" kommt, oder?

Hab's jetzt mal gemacht, aber immer noch dasselbe. Es ist das neue Android Nougat 7.1 --vielleicht ein Fehler dort. Ich würde mal abwarten, ob ein Update kommt

Viele Grüße,

PharIT
Mitglied: aqui
aqui 25.10.2016 um 11:21:33 Uhr
Goto Top
Nein er lehnt ja alle vorgeschlagenen Credentials ab erst mit 128 acceptet er. Daraus kann man schliessen das du nur 128 anbietest bei AES, richtig ?
Du kannst im Debugger ja sehen ob er die 256 annimmt.
Machst du auch 3DES ?
Mitglied: PharIT
PharIT 25.10.2016 aktualisiert um 11:26:12 Uhr
Goto Top
Nein, stimmt genau! 3DES bisher nicht, wusste garnicht, ob das Anklang bei Android findet...

Edit: Ich habe es einfach in meine policy mal aufgenommen, aber leider lehnt er das auch ab. Oder sind die beiden parallel in derselben Policy ein Unding?

Meinst Du der Anyconnect für Android würde da was ändern? Du hast nicht auch dort so einen genialen Guide geschrieben?! :D -- nur Spaß

Viele Grüße,

PharIT
Mitglied: aqui
aqui 25.10.2016 um 11:28:56 Uhr
Goto Top
Nein, das ist normal das man mehrere Policies zum Negotiaten anbietet. 3DES/SHA und AES 128 und 256 sollten dabei sein.
Du siehst ja auch am Debugger wie er das alles einzeln durchgeht und einen Match sucht.
Für Anyconnect brauchst du keinen Guide. Die Konfig ist wie die oben.
Such einfach auf den Cisco Seiten nach "IOS Anyconnect Config" dann siehst du das auch.
Mitglied: PharIT
PharIT 27.10.2016 um 12:49:56 Uhr
Goto Top
Sorry für die späte Rückmeldung, ich lag flach die letzten Tage...

Meinst Du, ein anderer VPN würde vielleicht was bringen? Der Support sagt, mein Cisco sei nicht "neu genung" da mein Handy bereits das neueste Android 7.1 nutzt...

Viele Grüße,

PharIT
Mitglied: aqui
aqui 27.10.2016 um 15:25:55 Uhr
Goto Top
mein Cisco sei nicht "neu genung" da mein Handy bereits das neueste Android 7.1 nutzt...
Ha ha ha...was für Schwachmaten sitzen da denn in der Hotline !!! Der Schenkelklopfer...
Du kannst das mit dem Debug Output ja sogar beweisen.
Was hast du denn auf dem Cisco für eine Firmware drauf ?? Nur darauf kommt es ja an.
Die sollte natürlich nicht äkter als 2 oder 3 Jahre sein.
Sag ihnen doch mal das das Smartphones deiner Freundin und auch alle allerneuesten iPhones und iPads damit fehlerlos rennen.
Auf die Antwort darauf wäre ich gespannt...?!
Mitglied: PharIT
PharIT 28.10.2016 um 00:17:19 Uhr
Goto Top
Der Hammer, oder? :D

Ich hab den Bug bei Android gemeldet und da reiht sich eine ganze Schar hinter mir ein... Cisco ist von 2015, da sollte alles ok sein.
Mitglied: aqui
aqui 28.10.2016 um 10:10:59 Uhr
Goto Top
und da reiht sich eine ganze Schar hinter mir ein...
Das sagt ja eigentlich alles.. :-) face-smile
Mitglied: PharIT
PharIT 29.10.2016 um 19:53:33 Uhr
Goto Top
Du Aqui, mal eine Frage noch. Ich würde gerne von extern eine Datensicherung auf einen extra-NAS (Raspberry) schicken.

Kann ich ein Gastnetzwerk erstellen, worin der Raspberry liegt, und diese eine spezielle VPN Anfrage irgendwie genau da rein senden?
Mitglied: aqui
aqui 30.10.2016 um 00:54:29 Uhr
Goto Top
Ja, natürlich das ist schnell erledigt.
Weiteres Subnetz oder VLAN einrichten:
!
interface GigabitEthernet6
description Raspberry NAS
switchport access vlan 20 <-- Port 6 auf Raspberry Netz umschalten (VLAN 20)
no ip address
no cdp enable
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99
no ip address
no cdp enable
!
interface Vlan20
description Raspberry NAS (Port=GigabitEthernet6)
ip address 10.20.1.1 255.255.255.0
(ip access-group nas in)
<-- evtl. NAS Netz absichern
ip nat inside
!
access-list 101 deny ip 10.22.1.0 0.0.0.255 x.y.z.0 0.0.0.255
=> Kein NAT für das VPN mit RasPi
access-list 101 permit ip 10.20.1.0 0.0.0.255 any
<-- NAT um NAS Netz erweitern
!
ip access-list extended vpnraspi
=> Bestimmt zu verschlüsselnden Traffic für VPN mit RasPi
permit ip 10.20.1.0 0.0.0.255 x.y.z.0 0.0.0.255
!

Mit den entsprechenden VPN Crypto Configs dann noch wie im o.a. Tutorial beschrieben..
Heiß diskutierte Beiträge
question
Hyper-V - verwaiste Snapshots löschen gelöst basdschoVor 1 TagFrageHyper-V28 Kommentare

Hallo, mein Veeam machte bei einer installation Probleme und konnte plötzlich die Snapshots nicht mehr löschen. Kein Problem, Disks konsolidiert, alte Snapshot Dateien gelöscht. Nun ...

question
USB 3 beißt sich mit 2,4Ghz Funkperipherie gelöst O-Two06Vor 1 TagFragePeripheriegeräte3 Kommentare

Hiho, ich habe nun schon einige Artikel über das leidige Thema gelesen, komme aber zu keiner Lösung. Ich habe Mini-PCs, bei denen nun leider mal ...

question
Fritzbox 7590 ersetzten gegen Modem + Router oder Router mit Modemindignus-estVor 1 TagFrageNetzwerke10 Kommentare

Hallo zusammen, nach langer Krankheit und Genesungszeit fasse ich jetzt mal wieder den Mut eine frage zustellen die mir schon seit längeren im Kopf herum ...

question
Ipv6 RouterliodiceVor 16 StundenFrageDSL, VDSL10 Kommentare

Hallo zusammen, ich hoffe ihr könnt mir weiterhelfen, ich benötigen einen ADSL Router (Kabelgebundenen) der IPv4 und IPv6 kann, also Dual Stack (DHCP Extern und ...

question
Günstiges Open-Source NAS für HeimgebrauchpanguuVor 9 StundenFrageSAN, NAS, DAS8 Kommentare

Hallo, mit NAS-Systemen hatte ich bisher gearbeitet: Synology, QNAP, Buffalo, etc. Dabei kommen proprietäre Betriebssysteme zum Einsatz, die sich natürlich von Hersteller zu Hersteller unterscheiden ...

question
SSH Login nur möglich bei eingelogtem USERhell.wienVor 20 StundenFrageLinux Netzwerk17 Kommentare

habe einen Server (Debian) mit SSH (nur mit Public Key und auf einem Custom Port) und ufw aktiv. Ich kann mich nicht einlogen. Wenn ich ...

question
ProLiant DL380p G8 findet HP SAS-Festplatten MB3000FBUCN nicht ?IT-DAUVor 1 TagFrageServer-Hardware5 Kommentare

Hallo liebe Community! Kurz vorweg: ich bin Quereinsteiger in der IT-Branche und möchte nun als Vorbereitung zu meinem Ausbildungskurs bzw. für zu Hause ein bisschen ...

question
Umstellung Pfsense VM auf HW IP WLAN Clientsraxxis990Vor 1 TagFrageFirewall5 Kommentare

Hallo , Ich habe begonnen meine Pfsense von VM auf Richtige HW umzurüsten. Soweit hat das auch geklappt. Fritte in LAN 1 und LAN 2 ...