Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VoIP hinter Cisco Router

Mitglied: PharIT

PharIT (Level 1) - Jetzt verbinden

21.10.2016, aktualisiert 16:21 Uhr, 2703 Aufrufe, 23 Kommentare, 1 Danke

Hallo allerseits,

ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.

Habe ein Softphone hinter dem Cisco mit IP 10.10.10.149. Das hängt an einem meiner internen GigabitEthernets, welcher im VLAN 1 hängt. Der GigabitEthernet8 sollte korrekt die Verbindung nach außen aufbauen. Hat mir jemand den Ansatz wo ich suchen muss? Fange gerade erst mit VoIP an und weiß nicht, ob ich in die falsche Richtung laufe... Danke schon mal im Voraus!

Und die folgenden Settings im Cisco kommen hier schon:

EDIT: Hängt das vielleicht mit SIP vs. H.323 zusammen?

Viele Grüße,

PharIT
Mitglied: Pjordorf
21.10.2016, aktualisiert um 20:53 Uhr
Hallo,

Zitat von PharIT:
ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.
Beziehst du dich hierauf? https://www.administrator.de/forum/tk-anlage-cisco-891-318526.html
Was sagt ein Wireshark mitschnitt an den Port (Port Mirror) wo dein Softphone hängt (Oder direkt auf den PC wo dein Softphone laufen will?
Softphone korrekt eingerichtet?
Cisco lässt auch Port 5060 durch wie im anderen beitrag besonders hingewiesen wurde?
Softphone weiß um deiner VLANs?
Was ist dein Softphone?
Kann es überhaupt H.323 (ISDN over IP) oder warum die Frage nach SIP bzw. H323?

https://de.wikipedia.org/wiki/H.323
https://de.wikipedia.org/wiki/Session_Initiation_Protocol

Gruß,
Peter

PS Link nachgereicht
Bitte warten ..
Mitglied: aqui
21.10.2016, aktualisiert um 20:03 Uhr
Deine Konfig hat gravierende Fehler oder du hast etwas unterschlagen hier !
Dein PAT hast du an die Route MAP nonat gemappt. Wo ist diese ??
Wenn du die nicht definiert hast wird alles im NAT geblockt und da ist es dann kein Wunder das nix klappt !
Hast du einen Router mit Firewall Image ??
Wenn ja nutze bitte folgende Konfig:
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
!
interface Vlan1
description Lokales LAN
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no ip route-cache
!
interface GigabitEthernet8
description Internet Port mit NAT
ip address xxx.xxx.xxx.xxx 255.255.255.192
ip nat outside
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect myfw out
ip virtual-reassembly in
no cdp enable
!
!
ip nat inside source list 101 interface GigabitEthernet8 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
!

Damit aktivierst du die Firewall mit einer CBAC Accessliste und lässt über das dortige Application Gateway SIP und RTP dynamisch passieren.
Damit entfallen auch sofort die statischen Port Forwardings für VoIP.
Diese musst du nur machen wenn du kein FirewallImage auf dem Router hast.
Bitte warten ..
Mitglied: PharIT
22.10.2016 um 00:10 Uhr
Hi aqui,

tausend Dank für Deine Antwort, ich habe versucht, das jetzt umzusetzen --leider noch immer ohne Erfolg. Könntest Du mal einen Blick darauf werfen, ob sich ein Fehler erkennen lässt? Diesmal habe ich die ganze Config bereinigt von DHCP Pools (außer dem einen Haupt-Pool) eingefügt. Mit dieser Testconfig komme ich immerhin ins Netz. GigabitEthernet8 baut eine Internetverbindung mit fixer IP auf (über ein Kabelmodem)

Bitte warten ..
Mitglied: aqui
22.10.2016, aktualisiert um 12:40 Uhr
Und nochmals die Frage an dich: Betreibst du ein Firewall Image auf dem Cisco ? (Ein sh ver oder sh flash verrät dir das !)
Scheinbar ist es dir wohl egal was man hier als Antwort schreibt oder nicht, denn du ignorierst vollständig irgendwelche Tips.
Anhand der wirren Konfiguration oben erkennt man auch das du vermutlich mit einem automatisierten Konfig Programm auf dem Cisco rummfummelst.
Vergiss das bitte !!!
All diese Programme sind für Volldummies und in der Regel großer Mist und machen mehr falsch als richtig, deshalb bekommst du das auch alles nicht zum Fliegen !
Schliesse ein ganz normales serielles Terminal mit PuTTY oder TeraTerm an den seriellen Konsolport des Routers und konfiguriere ihn mit den Kommandos die auch oben für dich hier gepostet wurden !!!
Soviel mal zu den Grundlagen....

Eine Frage noch vorweg:
Du schreibst du betreibst den Router mit einem Kabelmodem ??!!
Ist das wirklich ein reines Modem oder ist das ein Kabelrouter mit integriertem Modem ??
Letzteres wäre dann eine Router Kaskade die eine andere Konfig erfordert.
Da du mit ip address xxx.xxx.xxx.xxx 255.255.255.192 eine /26 Subnetz Adresse verwendest und diese vermutlich öffentlich ist, ist es vermutlich wirklich ein reines Modem, richtig ?
Merkwürdig ist dann hier aber nur das in aller Regel in Kabel TV Netzen die IP Adresse per DHCP vom Kabelprovider an die Kabelrouter vergeben werden.
Infolgedessen hätte man eine Interface Konfiguration dort als DHCP Client ip address dhcp erwartet.
Warum ist diese bei dir statisch bzw. manuell ???

Ansonsten sind es wiedermal die gleichen Fehler oder Ungereimtheiten wie oben von denen du rein gar nichts oder wenn dann vollkommen falsch entgegen der dir geposteten Konfig umgesetzt hast.
Die Kardinalsfrage ist WARUM du nicht mal Zeit gefunden hast mit einem sh run deine Konfig mit der geposteten zu vergleichen.
Auch einen vollkommenen Laien hätten diese gravierenden Fehler das ACLs an falschen Interfaces liegen ja sofort auffallen müssen ?!
Im Einzelnen:
  • Die ACL 111 macht nur Sinn wenn du das Firewall Image bzw. die Firewall aktivierst !
  • Außerdem hast du sie zwar definiert aber am völlig falschen Interface aktiviert ?! Damit ist sie NICHT aktiv
  • Sie ist am lokalen LAN aktiviert was natürlich völliger Blödsinn ist. Hättest du nur einmal auf die IP Adressen in der ACL 11 gesehen dann hättest du gesehen wie blödsinning das ist. Klar das das schiefgeht.
  • Firewall Outgoing ebenfalls am LOKALEN LAN als Outgoing definiert. Sorry, aber auch das ist, gelinde gesagt, völliger Blödsinn und hätte dir auch als Laie sofort auffallen müssen !
  • Firewall und Application Gateway für SIP auch wieder nicht aktiviert !
  • Name Server auf Google definieren ist Unsinn es sei denn du lässt dich freiwillig gerne ausspionieren ?
  • DHCP Excluded Adresse sinnloss doppel und 3fach ausgenommen
  • Regel access-list 111 permit ip any any gefährlicher Irrsinn !! Damit erlaubst du ALLES eingehend. Tödlich für eine Firewall Regel !!
  • usw. usw.
Mit anderen Worten:
Deine Konfig ist die reinste Katastrofe und in weiten Teilen vollkommen fehlerhaft und es ist klar das du damit Schiffbruch erleidest.
Gehe jetzt bitte mal langsam Schritt für Schritt vor und so das du etwas lernst dabei und es nicht wieder schief geht:
1.) Schritt:
Die Grundkonfiguration mit lokalem LAN mit DHCP und Internet Zugang zum Laufen bringen.
2.) Schritt:
VPN zum Fliegen bringen

Wir fangen jetzt mit dem ersten Schritt an indem du folgendes machst:
  • Wie oben bereits gesagt: Terminal mit PuTTY oder TeraTerm (ZTerm wenn du einen Apple hast) an die serielle Schnittstelle anschliessen mit 9600 Baud, N81
  • Dann löschst du mit: write erase oder era startup deine kranke Konfig von oben komplett und machst den Router wieder jungfräulich (Factory Reset) und bootest den Router neu.
  • Wenn er dich dann nach dem Booten fragt ob du das Setup Menü starten willst sagst du "Nein". Du kommst dann ins normale Konfig Menü ( > Prompt und dann enable) und kannst dann dort mit conf t die folgende, für dich fertig zum Aptippen, kommentierte Konfig eingeben.
  • Bitte BEVOR du hier weiterfragst mit sh run nochmal genau verifizieren um die wiederholten Fehler, die du oben gemacht hast, nicht wieder und wieder geschehen zu lassen !
  • Eine gute Kurzeinführung in die wichtigsten Cisco Konfig Kommandos (Basisbefehle) findest du hier: http://www.coufal.info/cisco_ios/index.shtml

Los gehts:
!
service timestamps log datetime localtime
--> Log Uhrzeit auf Lokalzeit stellen
!
hostname CiscoRouter
--> Hostnamen im Prompt einstellen
!
enable secret Geheim
--> Login Passwort setzen
!
clock timezone CET 1 0
--> Uhrzeit auf EU Zeitzone stellen
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
--> Uhr auf auto. Sommerzeit stellen
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.10.1 10.10.10.99
<-- DHCP Adress Pool lokales LAN .100 bis .149
ip dhcp excluded-address 10.10.10.150 10.10.10.254
!
ip dhcp pool LAN
<-- DHCP Pool Router, DNS etc.
network 10.10.10.0
default-router 10.10.10.1
dns-server 10.10.10.1
domain-name pharit.intern
!
!
ip inspect name myfw tcp
--> Firewall global aktivieren
ip inspect name myfw udp
ip inspect name myfw sip
<-- Firewall App Gateway f. VoIP
ip inspect name myfw rtsp
<-- Firewall App Gateway f. VoIP
!
interface Vlan1
description Lokales LAN
--> (Switch Gig Ports 0 bis 7)
ip address 10.10.10.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address xxx.xxx.xxx.xxx9 255.255.255.192
ip access-group 111 in
<-- HIER ! Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out
<-- HIER ! Firewall aktiv auf Internet Port
no cdp enable
!
ip dns server
<-- Cisco ist Proxy DNS
!
ip nat inside source list 101 GigabitEthernet8 overload
<-- NAT aktivieren für Pakete nach ACL 101 am Gig 8 Port
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x
<-- Default Route, x.x.x.x = Provider Gateway IP (Entfällt bei Internet Port Gig8 im DHCP Mode)
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
<-- Alles mit Absender IP 10.10.10.x wird geNATet !
!
access-list 111 permit icmp any any administratively-prohibited
<-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
<-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
<-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any
<-- Erlaubt NTP (Zeit) durch die Firewall
!


Bitte erstmal NUR allein diese Konfig zum Fliegen bringen !!!

Das ist die einfache Grundkonfig für ein lokales LAN mit DHCP und Internet Zugriff mit NAT zum Kabelprovider.
Wenn der DHCP macht für die IP dann kannst du den GigE 8 Port auch anders konfigurieren:
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address dhcp
ip access-group 111 in
<-- Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out
<-- Firewall aktiv auf Internet Port
no cdp enable
!

Die ACL 111 muss dann aber auch entsprechend angepasst werden sofern du DHCP Vergabe am Gig8 Provider Port machst !!
!
access-list 111 permit icmp any any administratively-prohibited
<-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
<-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
<-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any
<-- Erlaubt NTP (Zeit) durch die Firewall
access-list 111 permit udp any eq bootps any
<-- Erlaubt DHCP vom Provider
!

Wenn dein Provider die IP per DHCP vergibt bekommst du so auch die DNS Server IP Adresse automatisch und musst NICHTS weiter konfigurieren.
Musst du sie wirklich statisch vergeben, dann musst du mit ip name-server x.y.z.h den Name Server statisch eintragen.
Google solltest du immer vermeiden ! Die erstellen ein Profil von dir mit deinen Surfgewohnheiten !
Wenn, dann immer die DNS Server deines Providers nehmen !

Bitte jetzt diese (und NUR diese !) Konfig so über das Terminal eingeben und KEIN Konfig Programm oder solchen Unsinn benutzen !
Dann querchecken ob deine Konfig der obigen entspricht. Überflüssige Kommandos und Interfaces sind da jetzt weggelassen der Übersicht halber um dich nicht zu verwirren.
Bitte halte dich auch parallel an das hiesige_Cisco_Tutorial was alle diese Konfigs ebenfalls abtippfertig und zur Überprüfung komplett kommentiert vorhält !!!

Falls du noch ein Gastnetz oder weitere lokale Subnetze brauchst musst du das sagen, das kann man zusätzlich noch leicht einrichten in der Grundkonfiguration aber wie gesagt: "Alles der Reihe nach !!!"
Erstmal das obige als Internet Grundkonfig zum Laufen bringen und testen, dann machen wir hier weiter !
Bitte warten ..
Mitglied: PharIT
22.10.2016, aktualisiert um 16:15 Uhr
Hallo aqui,

Tausend Dank Dir, ich mach mich gleich mal an's Werk. Tatsächlich hab ich von vielen Seiten versucht, zu konfigurieren und selbst mit null Wissen und einer gewissen Fahrigkeit das Ganze angepackt! Danke Dir vielmals. Ich habe aber nicht übersehen, dass Du mich nach dem Firewall-Image gefragt hast -nur überhaupt keine Idee, wie ich die folgende Ausgabe interpretieren soll:
Wenn Du es jetzt erkennst, ob ja oder nein, sagst Du mir bitte, wo?


Viele Grüße und Danke nochmals für dieses Mammutstück an Einführung,

PharIT
Bitte warten ..
Mitglied: PharIT
22.10.2016, aktualisiert 23.10.2016
Hi Aqui,

Nochmals vielen Dank, mein VoIP-Softphone läuft jetzt wie eine eins. Anhand Deiner Anleitung und verglichen mit meinem vorherigen Kauderwelsch hab ich viele Fehler verstehen können. Wenn Du noch den Nerv hättest, würde ich folgende Fragen stellen:

  • Um VPN wieder zu aktivieren reicht es schlichtweg, den Teil "VPN (IPsec) Server für iPhone, Android und Mac OS-X User mit onboard Client aktivieren:" aus Deinem Tutorial hinzuzufügen?-->das würde jetzt von intern schon laufen, aber was erwartet die Firewall hierzu von mir? Von außen geht nix...
  • Kann ich nach Schema F Deiner Anleitung jetzt den externen Mikrotik anbinden? Oder erwartet dieser dann auch besondere Firewall-Regeln?
  • * habe ich es richtig verstanden: ip inspect setzt die Firewall für beispielsweise das sip Protokoll auf, und ich weise sie dem WAN-Interface zu? Und lässt sie nur durch, was sie inspected?
*Erübrigen sich jetzt Portfreigaben zu einem Sip-Trunking? Sipgate zum Beispiel benötigt noch Port 5064, hat sich das dann auch erledigt?
  • Dein Angebot von Subnetz und Gastnetz: Wo kann ich hier ansetzen?

Zu Deinen Fragen: Ich habe ein Kabelmodem und eine fixe IP vom Anbieter, daher läuft alles jetzt so.

Vielen Dank nochmals und viele Grüße,

PharIT
Bitte warten ..
Mitglied: aqui
23.10.2016, aktualisiert um 12:38 Uhr
dass Du mich nach dem Firewall-Image gefragt hast -nur überhaupt keine Idee, wie ich die folgende Ausgabe interpretieren soll:
Im Zweifel gibst du einfach mal ein Firewall Kommando am Router ein und checkst ob er das "frisst" !
Tut er das hast du ein Firewall Image drauf. Bei den 880ern und 890ern ist das eigentlich Standard...
So prüfst du das:
conf t
ip inspect name myfw tcp
<ctrl z>
wr

Wenn du nach ip inspect name myfw tcp die Eingabetaste gedrückt hast und er hat keinen Syntax Fehler meldet dann hast du ein Firewall Image !!

Zu deinen Fragen:
1.)
Ja, das reicht wenn du das machst. Richte dich immer nach den Praxiskonfigs in diesem Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Die o.a. Firewall ACL 111 ist oben noch nicht angepasst auf den IPsec VPN Zugriff von außen ! Deshalb lässt sie auch kein IPsec durch und deshalb klappt es nicht.
Die Lösung ist aber kinderleicht:
Dort musst du noch IPsec erlauben.
Die angepasste ACL 111 sieht dann so aus bei dir:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any any eq non500-isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit esp any any
=> IPsec eingehend durch die Firewall erlauben
(access-list 111 permit udp any eq bootps any)


2.)
Nein die o.a. Regel in der ACL 111 erlaubt jeglichen IPsec Zugriff von anderen Geräten außerhalb auf den Cisco Router. Was du machen musst ist lediglich eine zusätzliche Crypto Map einrichten für den Mikrotik.
Richte dich einfach nach dem o.a. Praxistutorial, dort ist das alles einzeln kommentiert beschrieben !
Bei Detailfragen fragst du hier.

3.)
Ja das hast du richtig verstanden !
Du kannst die Firewall speziell für diverse Protokolle dediziert customizen.
Das macht auch Sinn als es nur einzig für TCP und UDP global zu tun. Gerade bei VoIP und auch anderen Applikationen macht dies Sinn, denn die VoIP Protokollkomponenten nutzen dynamische Portokollports die die Firewall dann auch dynamisch öffnet ohne hier weite Bereiche manuell per Default zusätzlich öffnen zu müssen.
Ein ip inspect name myfw ? zeigt dir die verschiedenen Protokolle die möglich sind.
Eine übliche Konfig von Dingen die so in kleinen Netzen vorkommen lautet z.B.:
!
ip inspect name myfw ftp
ip inspect name myfw h323
ip inspect name myfw sip
ip inspect name myfw icmp
ip inspect name myfw rtsp
ip inspect name myfw esmtp
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw http
!

IMAP oder Secure IMAP (Email) könnte man da noch dazunehmen.
Und ja es würde nur durchgehen was du mit der FW ansiehst wenn du sie auf dem Internet Interface aktivierst. Minimal sollte man also immer TCP und UDP aktivieren. Damit werden dann diese Sessions stateful von der Firewall inspiziert. Sonst arbeitet der Router nur mit passiven Accesslisten.
Hier wird das Prinzip der CBAC Listen gut beschrieben auf dem Router:
http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/13814-3 ...
Da die Firewall aber alles dichtmacht brauchst du für Inbound Verbindungen (Zugriff von außen) zwingend die ACL 111 die dir das Interface öffnet für Zugriff von außen.
Der o.a. Cisco Artikel beschreibt das.

4.)
Nein, wenn SIPgate noch von außen UDP 5064 benötigt musst du den natürlich auch öffnen sprich also in der ACL 111 muss noch zusätzlich stehen: access-list 111 permit udp any eq 5064 any

5.)
Erweiterung Gastnetz:
Deine 8 GigE Ports 0 bis 7 arbeiten als ein 8 Port Switch.
Ohne spezielle Konfig sind dort üblicherweise alle Ports im Default VLAN 1. Das korrespondiert dann mit dem Interface vlan 1 in der Router Konfig bzw. der IP Adressierung usw. drauf.
Du kannst nun beliebige Ports dieses Switches in beliebige IP Segmente (VLANs) unterteilen und dort weitere Netzsegmente anschliessen.
Nehmen wir hier als Beispiel mal ein Gastnetz was wir fest auf den Switchport GigabitEthernet7 ins VLAN 99 legen mit der IP 10.99.1.0 /24 und was NICHT mit dem lokalen LAN an VLAN 1 reden darf.
Zuerst legst du dazu das Gastnetz VLAN 99 an:
conf t
vlan 99 <ret>
name Gastnetz <ret>
<ctrl z>
wr


Dann kommen jetzt die zusätzlichen Konfig Kommandos für das Gastnetz:
!
ip dhcp excluded-address 10.99.1.1 10.99.1.99
<-- DHCP Gastnetz Adress Pool von .100 bis .149
ip dhcp excluded-address 10.99.1.150 10.99.1.254
!
ip dhcp pool LAN
<-- DHCP Gastnetz DHCP Server
network 10.99.1.0
default-router 10.99.1.1
dns-server 10.99.1.1
domain-name gaeste.pharit.intern
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99
<-- Port 7 auf Gastnetz umschalten (VLAN 99)
no ip address
no cdp enable
!
interface Vlan99
description Gastnetz (Port=GigabitEthernet7)
ip address 10.99.1.1 255.255.255.0
ip access-group keingast in
<-- ACL "keingast" blockt Zugriff auf lokales LAN !
ip nat inside
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 permit ip 10.99.1.0 0.0.0.255 any
<-- NAT um Gastnetz erweitern
!
ip access-list extended keingast
deny ip 10.99.1.0 0.0.0.255 10.10.10.0 0.0.0.255
permit ip 10.99.1.0 0.0.0.255 any
!

Die o.a. ACL "keingast" kannst du dann beliebig erweitern oder anpassen je nachdem was du deinen Gästen erlauben willst.
Die obige erlaubt den Gästen alles außer den Zugriff auf das lokale LAN. Nicht immer gewollt, denn Gäste sollen ja nur rechtssicher das machen was unbedingt nötig ist. Die ACL
!
ip access-list extended keingast
deny ip 10.99.1.0 0.0.0.255 10.10.10.0 0.0.0.255
permit udp 10.99.1.0 0.0.0.255 any eq dns
permit tcp 10.99.1.0 0.0.0.255 any eq dns
permit tcp 10.99.1.0 0.0.0.255 any eq http
permit tcp 10.99.1.0 0.0.0.255 any eq https
!

Erlaubt z.B. nur Surfen im Gastnetz.
Über eine Whitelist kannst du hier nur das zufügen was die Gäste dürfen.

Port 7 am Router ist nun NICHT mehr Mitglied im VLAN 1 sondern im VLAN 99 !
Das siehst du daran wenn du dort einen PC oder Laptop anschliesst er dann eine IP aus dem Gastbereich 10.99.1.x bekommt.
Durch die ACL "keingast"" werden die Geräte hier gehindert vom Vlan 99 (Gäste) auf das lokale LAN (Vlan1) zu kommen.
Diese kannst du z.B. beliebig erweitern wenn du MSSID fähige WLAN Acesspoints hast die mehrere WLANs aufspannen können wie hier beschrieben usw.
Bitte warten ..
Mitglied: PharIT
23.10.2016 um 17:40 Uhr
Hi Aqui,

Tausend Dank Dir, ich habe jetzt alles umgesetzt was Du geschrieben hast und es klappt 1A -vom Lerneffekt endlich ganz abgesehen, anders als mein Gestochere im Dunkeln bisher. Firewall Image habe ich in diesem Fall-> zu dem Test mit den Funktionen hätte ich unten noch eine Frage

Am Mittwoch ist dann meine Freundin fällig, die für den Mikrotik-Test von Außen herhalten muss

Wenn Du erlaubst, hätte ich noch zwei Fragen an dieser Stelle:
  • Ich habe den Router billig wie von Dir in einem der Tipps beschrieben bei eBay besorgt, daher keine Ahnung, ob er jetzt PoE kann. Verhält es sich hier nun wie mit Deinem Firewall Tipp? Denn er kennt wirklich keines der PoE Kommandos, die ich im Internet finde.
  • Für mein Android Phone sagte der Support, ich sollte ein Update des Routers fahren, da immer die Meldung "unsuccessfull" erscheint. Brauche ich da jetzt so einen Wartungsvertrag, oder gibt es die auch anders?
  • AnyConnect wäre ja auch eine Super-Sache, weißt Du zufällig, wie es sich da mit Setup und/oder Servicevertrag verhält?

Viele Grüße und auch Dir mal einen erholsamen Sonntag!

PharIT
Bitte warten ..
Mitglied: aqui
23.10.2016, aktualisiert um 21:35 Uhr
Wenn Du erlaubst, hätte ich noch zwei Fragen an dieser Stelle:
Immer her damit...

Du meinst dann sowas hier, richtig ?? (Der verschickt bei 80 Euro)
http://www.ebay.de/itm/262385170703?ul_noapp=true
ob er jetzt PoE kann.
Du meinst auf seinen GiG Ports am Switch ?
Gib einfach testweise mal ein PoE Kommando ein am Port, dann siehst du das ! Ist wie bei der Firewall: Frisst er das Komanndo kann er das. Sonst gibts ne Fehlermeldung
Denn er kennt wirklich keines der PoE Kommandos, die ich im Internet finde.
Dann kann er das auch nicht. Wäre auch unüblich für einen SoHo Router.
PoE Injektor verwenden !
Brauche ich da jetzt so einen Wartungsvertrag, oder gibt es die auch anders?
Wenn du pfiffig suchst findest du es auch ohne Einfach mal den IOS Firmwarenamen bei Dr. Google eingeben.
Das mit dem Update ist aber zu 98% Blödsinn. I Ein 10 Jahre alter 831er Router hier der macht das problemlos ! Wichtig ist das du native IPsec machst und kein L2TP mit IPsec.
Hast du mal den Debugger laufen lassen auf dem Router bei der Einwahl um mal zu checken WARUM ein "unsuccessful" kommt ??
(debug crypto ipsec und debug crypto isakmp. Zum Schluss immer "u all" eingeben um den Debugger abzuschalten !)
AnyConnect wäre ja auch eine Super-Sache,
Brauchst du nicht. Nimm den kostenlosen Shrew Client: https://www.shrew.net/download
Oder verwende einfach PPTP mit einem einigermaßen sicheren Passwort:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...
Spart dir ne Menge Nerven...
Bitte warten ..
Mitglied: PharIT
23.10.2016, aktualisiert um 23:22 Uhr
Danke Dir schon wieder!!! Sagst Du mir vielleicht dennoch, wie ich für den AnyConnect anfangen kann? Würde es aus Interesse wirklich gern machen. Muss ich da erst was kaufen?

Dein Tipp bei ebay lag schon verdammt richtig, wie machst Du das nur? :D

Also das Samsung S6 meiner Freundin macht keine Probleme, bei meinem stechen folgende Meldungen raus:


*Oct 23 19:52:49.694: ISAKMP-PAK: (2053):received packet from 82.113.121.125 dport 4500 sport 9309 Global (R) AG_INIT_EXCH


*Oct 23 19:52:49.694: ISAKMP: (2053):Info Notify message requeue retry counter exceeded sa request from xxx to xxx (IP-Adressen)

*Oct 23 19:52:48.998: ISAKMP: (2053):phase 1 packet is a duplicate of a previous packet.


Muss ja fast am Telefon liegen in diesem Fall, oder?
Bitte warten ..
Mitglied: aqui
24.10.2016, aktualisiert um 16:15 Uhr
Für Anyconnect ist das die gleiche Konfig für einen Client Dialin wie du im o.a. IPsec Praxis Tutorial siehst.
Da gibt es keinen Unterschied.
Zu deinen Messages:
received packet from 82.113.121.125 dport 4500 sport 9309 Global R AG_INIT_EXCH

Empfangen wurde ein IKE Initialisierunds Paket mit dem Destination Port 4500 (was NAT Traversal ist) und Source Port 9303
Auf das folgenden Paket wurde nicht geantwortet. Der Retry Counter also der Wiederholungszähler ist abgelaufen und es kam keinen Antwort.
3tes ist komisch. Paket Duplication kann eigentlich nicht sein.
Muss ja fast am Telefon liegen in diesem Fall, oder?
Das kann man versucht sein zu glauben. Wenn es fehlerfrei mit dem Telefon der Freundin geht ist fast davon auszugehen. Aaaaber...
Bei deinem sendet er ja scheinbar Pakete und der Router antwortet nicht.
Da wäre es sehr wichtig zu wissen ob diese Pakete ankommen ???
Schalte also mal den IPsec Debugger an mit debug crypto ipsec und debug crypto isakmp !
Wenn du mit Telnet oder SSH auf dem Router drauf bist gib zusätzlich ein term mon ein um die Debug Meldungen auf dem Schirm zu bringen.
Dann startest du den IPsec Verbindungsaufbau von deinem Androiden (und nur deinem !)
Anhand der dann auftauchenden Debug Meldungen am Router kannst du sofort sehen was schief geht oder ob diese Pakete oben irgendwo hängenbleiben.
Am Ende des Debugg Prozesses immer u all eingeben um den Debugger wieder abzuschalten.
Bitte warten ..
Mitglied: PharIT
25.10.2016 um 09:01 Uhr
Hi Aqui,

vielen Dank, ich habs jetzt mal ganz durchlaufen lassen, bis mein Handy "Unsuccessfull" meldet. Leider werde ich aus dem Folgenden aber nicht schlau... Du vielleicht?

Viele Grüße!

Bitte warten ..
Mitglied: aqui
25.10.2016 um 10:46 Uhr
Ja, dein Smartphone macht einen Protokollfehler. Kurz vor der Phase 2 retransmitted es ein Packet was das IPsec als Fehler oder Attacke ansieht und dann den Sessionaufbau abbricht.
Da ist ein Fehler im IPsec Protokollstack bei dem telefon. Gibt es da ggf. ein Firmware Update.
Siehst du ja auch schon daran das andere Telefone wie das der Trautholdesten sauber funktionieren.
Was du nochmal machen kannst ist die Schlüssellänge auf 256 Bit zu erhöhen, was heute eigentlich üblicher Standard ist. 128 Bit ist schon etwas alt.
Es ist nur in der Praxiskonfig mit drin, da häufig noch alte Router verwendet werden und billige Consumer Systeme mit schwachbrüstigen SoC CPUs oft nicht mehr können.
Du fügst also einfach eine weitere Policy mit crypto isakmp policy xy dazu mit aes 256.
Bitte warten ..
Mitglied: PharIT
25.10.2016 um 11:18 Uhr
Danke Aqui!

Hast Du 128 daran gesehen, dass nichts mehr nach "aes" kommt, oder?

Hab's jetzt mal gemacht, aber immer noch dasselbe. Es ist das neue Android Nougat 7.1 --vielleicht ein Fehler dort. Ich würde mal abwarten, ob ein Update kommt

Viele Grüße,

PharIT
Bitte warten ..
Mitglied: aqui
25.10.2016 um 11:21 Uhr
Nein er lehnt ja alle vorgeschlagenen Credentials ab erst mit 128 acceptet er. Daraus kann man schliessen das du nur 128 anbietest bei AES, richtig ?
Du kannst im Debugger ja sehen ob er die 256 annimmt.
Machst du auch 3DES ?
Bitte warten ..
Mitglied: PharIT
25.10.2016, aktualisiert um 11:26 Uhr
Nein, stimmt genau! 3DES bisher nicht, wusste garnicht, ob das Anklang bei Android findet...

Edit: Ich habe es einfach in meine policy mal aufgenommen, aber leider lehnt er das auch ab. Oder sind die beiden parallel in derselben Policy ein Unding?

Meinst Du der Anyconnect für Android würde da was ändern? Du hast nicht auch dort so einen genialen Guide geschrieben?! :D -- nur Spaß

Viele Grüße,

PharIT
Bitte warten ..
Mitglied: aqui
25.10.2016 um 11:28 Uhr
Nein, das ist normal das man mehrere Policies zum Negotiaten anbietet. 3DES/SHA und AES 128 und 256 sollten dabei sein.
Du siehst ja auch am Debugger wie er das alles einzeln durchgeht und einen Match sucht.
Für Anyconnect brauchst du keinen Guide. Die Konfig ist wie die oben.
Such einfach auf den Cisco Seiten nach "IOS Anyconnect Config" dann siehst du das auch.
Bitte warten ..
Mitglied: PharIT
27.10.2016 um 12:49 Uhr
Sorry für die späte Rückmeldung, ich lag flach die letzten Tage...

Meinst Du, ein anderer VPN würde vielleicht was bringen? Der Support sagt, mein Cisco sei nicht "neu genung" da mein Handy bereits das neueste Android 7.1 nutzt...

Viele Grüße,

PharIT
Bitte warten ..
Mitglied: aqui
27.10.2016 um 15:25 Uhr
mein Cisco sei nicht "neu genung" da mein Handy bereits das neueste Android 7.1 nutzt...
Ha ha ha...was für Schwachmaten sitzen da denn in der Hotline !!! Der Schenkelklopfer...
Du kannst das mit dem Debug Output ja sogar beweisen.
Was hast du denn auf dem Cisco für eine Firmware drauf ?? Nur darauf kommt es ja an.
Die sollte natürlich nicht äkter als 2 oder 3 Jahre sein.
Sag ihnen doch mal das das Smartphones deiner Freundin und auch alle allerneuesten iPhones und iPads damit fehlerlos rennen.
Auf die Antwort darauf wäre ich gespannt...?!
Bitte warten ..
Mitglied: PharIT
28.10.2016 um 00:17 Uhr
Der Hammer, oder? :D

Ich hab den Bug bei Android gemeldet und da reiht sich eine ganze Schar hinter mir ein... Cisco ist von 2015, da sollte alles ok sein.
Bitte warten ..
Mitglied: aqui
28.10.2016 um 10:10 Uhr
und da reiht sich eine ganze Schar hinter mir ein...
Das sagt ja eigentlich alles..
Bitte warten ..
Mitglied: PharIT
29.10.2016 um 19:53 Uhr
Du Aqui, mal eine Frage noch. Ich würde gerne von extern eine Datensicherung auf einen extra-NAS (Raspberry) schicken.

Kann ich ein Gastnetzwerk erstellen, worin der Raspberry liegt, und diese eine spezielle VPN Anfrage irgendwie genau da rein senden?
Bitte warten ..
Mitglied: aqui
30.10.2016 um 00:54 Uhr
Ja, natürlich das ist schnell erledigt.
Weiteres Subnetz oder VLAN einrichten:
!
interface GigabitEthernet6
description Raspberry NAS
switchport access vlan 20 <-- Port 6 auf Raspberry Netz umschalten (VLAN 20)
no ip address
no cdp enable
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99
no ip address
no cdp enable
!
interface Vlan20
description Raspberry NAS (Port=GigabitEthernet6)
ip address 10.20.1.1 255.255.255.0
(ip access-group nas in)
<-- evtl. NAS Netz absichern
ip nat inside
!
access-list 101 deny ip 10.22.1.0 0.0.0.255 x.y.z.0 0.0.0.255
=> Kein NAT für das VPN mit RasPi
access-list 101 permit ip 10.20.1.0 0.0.0.255 any
<-- NAT um NAS Netz erweitern
!
ip access-list extended vpnraspi
=> Bestimmt zu verschlüsselnden Traffic für VPN mit RasPi
permit ip 10.20.1.0 0.0.0.255 x.y.z.0 0.0.0.255
!

Mit den entsprechenden VPN Crypto Configs dann noch wie im o.a. Tutorial beschrieben..
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco NAT (VoiP)
gelöst Frage von Bernhard-BRouter & Routing10 Kommentare

Hallo, ich habe ein kleines Problem mit dem Betrieb eines Asterisk VoiP Servers hinter meiner Cisco Hardware. Zum Aufbau: ...

Voice over IP
Cisco Firewall für Voip einrichten
Frage von M.MarzVoice over IP4 Kommentare

Hallo zusammen, wir würden so langsam gerne auf VoIP umrüsten und die alten Telefone austauschen. Leider funktioniert aber der ...

Voice over IP
QoS für VoIP (Cisco + MikroTik)
gelöst Frage von Alex29Voice over IP11 Kommentare

Hallo in die Runde, ich als Hobby-Admin würde mich mal wieder über Eure Hilfe freuen! Da ich zum Teil ...

Netzwerke
Cisco 2901 CME VoIP Telekom
gelöst Frage von murphsterNetzwerke5 Kommentare

Lieber Admins, Vorerst bitte meine Schreibfehler überschauen, ich bin Englander und gebe mich die mühe diese ohne Googlehilfe zum ...

Neue Wissensbeiträge
Exchange Server

ACHTUNG: Ungepatchte Exchange Server aktuell im Visier von Angreifern!

Tipp von vibrations vor 2 StundenExchange Server

Wer es noch nicht mitbekommen haben sollte: Exchange-Server Systeme werden gerade vermehrt auf eine Sicherheitslücke mit der sich das ...

Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 3 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 5 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 5 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Reichweite bei Netzwerkdruckern mit Kupfer
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOONetzwerkgrundlagen41 Kommentare

Guten Tag, aus gegebenem Anlass, möchte ich euch fragen, was aus eurer Sicht, eine akzeptable Reichweite bei einem Netzwerkdrucker ...

DSL, VDSL
Gigabit Leitung - niedrige Geschwindigkeit
Frage von Ghost108DSL, VDSL25 Kommentare

Hallo zusammen, ich bin vor kurzem auf den Tarif Vodafone Cable Max 1000 umgestiegen. Techniker war vor Ort und ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
gelöst Frage von TallerBiskusVisual Studio23 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

Hardware
Stromausfalllogger
Frage von certifiedit.netHardware21 Kommentare

Guten Nachmittag, welche Geräte könnt Ihr empfehlen um Stromausfälle, optimalerweise auch Frequenzstörungen zu loggen? Geht hier um keinen konkreten ...