Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Cisco 886VA, Gigaset C610-IP: ausgehende Telefonate nicht möglich

Mitglied: core01
Hallo Community,

ich habe einige Probleme, ein Siemens Gigaset C610 IP über den Cisco zum Laufen zu bringen, vielleicht kann mir ja jemand von euch weiterhelfen.

Folgender Aufbau ist vorhanden:

[T-Com VDSL 50 (über ISDN) mit VoIP]
|
[Cisco 886VA] -- Fe0, Fe1: [Cisco WAP321] (2x)
|
Fe2: [Siemens Gigaset C610 IP] -(...)- [DECT Mobilteil] (3x)

Der Router hat aktuell folgende Konfiguration [3]. Die ursprüngliche Konfiguration lehnt sich sehr an den hier vorhandenen Tutorial-Beitrag [2] an, die Access-List 102 habe ich momentan für die Fehlersuche derart reduziert.

Zum Problem:
Es ist problemlos möglich, die auf den drei Mobilteilen jeweils konfigurierten VoIP-Nummern von intern und extern anzurufen (eingehend).
Versuche ich jedoch, mit diesen nach extern (ausgehend) zu telefonieren, kommt eine Sprachansage (vermutlich von der Gigaset-Basis), dass ein Verbindungsaufbau derzeit nicht möglich ist.

Ich vermute, dass entweder eine Firewall-Regel, oder eine fehlende Routing-Regel [1] dafür verantwortlich sind, habe aber momentan keine Idee was hier noch fehlt.

Hat jemand eine Idee??

Vielen Dank und beste Grüße
core

[1] http://hilfe.telekom.de/hsp/cms/content/HSP/de/3378/faq-350884716
[2] https://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
[3] Router-Konfiguration:


Content-Key: 225187

Url: https://administrator.de/contentid/225187

Ausgedruckt am: 02.08.2021 um 21:08 Uhr

Mitglied: aqui
aqui 23.12.2013 aktualisiert um 11:46:13 Uhr
Goto Top
Bitte lasse den Unsinn mit externen Sites hier im Forum. In den FaQs steht wie du Konfigs über die (code) Tags hier problemlos in deinen Thread einbetten kannst ohne externe Sites mit Zwangswerbung !
Zurück zum Thema….

Vergleiche deine Konfig mit diesem Tutorial hier:
https://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...

Damit funktioniert VoIP zu diversen SIP Providern (T-Com, Sipgate) fehlerlos. Eine entsprechende Konfig sollte auch dein Problem im Handumdrehen lösen.
Tip: Die IP Konfig (vlan 1) deines lokalen LANs ist gelinge gesagt ungewähnlich. vlan1 ist das lokale IP Interface und das BVI Interface dient lediglich dazu den internen AP zu bridgen. Das solltest du ggf. umstellen.
Routing Regel ist ebenso Blödsinn, denn mit nur einem Internet Zugang hast du ja nur eine einzige Route zu deinem Provider. Ist wie immer hier die Firewall Regel oder die CBAC Konfig sofern du das überhaupt konfiguriert hast (was du aber solltest !) ACL 102 ist eher eine weihnachtliche Einladung zum Hacken. Damit machst du den Router offen wie ein Scheunentor. OK zum VoIP Testen temporär mag das OK sein für einen Produktivtraffic später aber nicht.
Wenn alle Stricke reissen schmeiss die Debugger Funktion an und checke WAS ggf. die VoIP Pakete blockt in der Konfig.
Mitglied: core01
core01 23.12.2013 aktualisiert um 15:16:46 Uhr
Goto Top
Hi,

zunächst sorry für das Auslagern der Config, inzwischen hab ich es in den Beitrag hinzu editiert. :) face-smile
(hatte das für übersichtlicher gehalten)

Zu dem BVI hab' ich mich nach dem Tipp noch mal informiert - und da ich das Modell ohne WLAN habe, dann auch entfernt, sowie mein Vlan1 angepasst:

Damit sehen die entsprechenden Abschnitte nun wie folgt aus:

Zwischenzeitlich habe ich auch noch einige Stunden :-( face-sad mit der Telekom telefoniert, dort weiß man zwar "Es liegen Auffälligkeiten bei der Rufnummernkonfiguration vor." (soll wohl so dort angezeigt werden), Details könne man aber nicht einsehen. Am Problem selbst hat sich nichts geändert. Mit dem Gigaset-Support durfte ich auch telefonieren, laut ihnen ist meine Einstellung (der VoIP-Basis) aber richtig, und ich solle mich an die Telekom wenden ...

Kurzzeitig habe ich auch mal ebenso noch die ACL 101 auf "permit ip any any" gesetzt, das brachte aber ebenso keinen Erfolg.
Mitglied: aqui
aqui 24.12.2013 aktualisiert um 12:07:10 Uhr
Goto Top
Mmmhhh ist schon komisch… Die ACL 101 kann es niemals sein, denn die bestimmt ja nur den outgoing Traffic und du sagst ja selber es sind ausschliesslich eingehende Calls, also wenn die Gigasets angerufen werden von extern.
D.h. eine SIP und RTP Session die von außen eingeht.
In der Beziehung kann es also nur einzig die ACL 102 sein, die eingehende SIP bzw. RTP Calls blockt. Allerdings hast du mit "ip any any" hier ja auch das Scheunentor voll aufgemacht, d.h. alles darf rein bei dir also auch SIP Calls des Provider Gateways. Du solltest also drauf achten das SIP (Port 5060 und 5061) durchkommen kann auf die lokale IP des Gigasets.
CBAC erlaubt allerdings nur eingehende Sessions wenn auch eine ausgehende existiert. Ggf. soltest du testweise mal CBAC deaktivieren oder das ACL Debugging einschalten um zu sehen WAS hängenbleibt.
Du solltest also deshalb testweise vom Dialer Interface mal die ACL 102 ganz weg nehmen und auch die Firewall Funktion (ip inspect) und dann nochmal die VoIP Funktion testen.
Nochwas… Das permit logging der ACL 102 ist unsinnig, denn damit wird dir jeder einzelne eingehende Call ins Log geschrieben. Das bewirkt zusätzliche CPU Last die unsinnig und überflüssig ist. Das "log" Statement bei der ACL 102 solltest du also besser wehlassen.
Du kannst immer diese ACL debuggen mit dem debug xyz Kommando was sinnvoller ist ( u all am Schluss dann aber nicht vergessen !)
Mitglied: aqui
aqui 30.12.2013 aktualisiert um 13:09:49 Uhr
Goto Top
Gibt es einen aktuellen Status zu deinem Problem und hast du es lösen können ??
Wenn ja wäre ein entspr. Feedback hier mal ganz hilfreich für die Forums Community hier !!
Was du noch testen kannst (sofern noch nicht gelöst ?!) ist die CBAC Inspection anders zu konfigurieren:
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp


Ansonsten bitte
https://www.administrator.de/faq/32
nicht vergessen.
Mitglied: core01
core01 30.12.2013 um 13:22:40 Uhr
Goto Top
Ich bin leider noch nicht zum ausprobieren gekommen - da ich gerade auf dem 30c3 in Hamburg bin. :) face-smile
Zum ebenfalls probieren hab ich auch noch ein direktes Forwarden der Ports per Config [1] gefunden, so als last-chance...

Viele Grüße,
core

[1] http://www.ifm.net.nz/cookbooks/nat.html
Mitglied: aqui
aqui 30.12.2013 aktualisiert um 16:32:02 Uhr
Goto Top
Ist eigentlich unerheblich für dich denn mit deiner ACL 102 erlaubst du ja eh alles an eingehenden Verbindungen am Internet Port (Dialer) !!
access-list 102 permit ip any any log

Das hat den gleichen Effekt als wenn du mit no access-list 102 permit ip any any log diese ACL vom Dialer Interface vollkommen entfernen würdest, das erlaubt dann auch alles.

Eigentlich müsste das eine "deny"" Liste sein für korrekt konfiguriertes CBAC also müsste sie korrektermassen so lauten:
access-list 102 permit icmp any any administratively-prohibited
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any packet-too-big
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit udp any eq domain any
access-list 102 permit tcp any eq domain any
access-list 102 permit tcp any eq 5060
access-list 102 permit gre any any
access-list 102 deny ip any any log

Das o.a. greift also für dich bzw. deinen ACL 102 so nicht.
OK warten wir mal den Kongress ab und deine weiteren Tests ;-) face-wink
Mitglied: core01
core01 30.12.2013 um 18:10:27 Uhr
Goto Top
(ohne bisheriges Ausprobieren oder näheres Recherchieren) als Überlegung aber:

Die ACLs erlauben zwar den In-/Outbound Traffic. Woher weiß nun aber Inbound SIP Traffic, dass er innerhalb des Local LAN an das Device x.x.x.21 gehen soll?

Andererseits:
Die Probleme liegen ja nur bei Outbound Calls, eingehende Anrufe funktionieren ja...
Könnte aber maybe auch einfach nur bedeuten, dass STUN funktioniert?
Mitglied: aqui
Lösung aqui 31.12.2013, aktualisiert am 10.01.2014 um 05:06:37 Uhr
Goto Top
Deshalb das oben erwähnte "inspect sip und rtsp" in der CBAC Firewall, denn das eröffnet intelligent alle benötigsten Ports. SIP nutzt dynamische Antwort Ports bzw. STUN Ports die dann auch geöffnet werden.
Vermutlich wird das dann dein Problem fixen...?! Wäre sehr interessant, denn das könnte man dann noch als Ergänzung in das o.a. 886va Tutorial aufnehmen für VoIP Anlagen die hinter der NAT Firewall betrieben werden.
Mitglied: core01
core01 07.01.2014, aktualisiert am 10.01.2014 um 05:06:18 Uhr
Goto Top
Hey,

ich bin nun endlich zum Testen gekommen.
Leider aber ohne das erhoffte Ergebnis, die beiden zusätzlichen Inspect-Anweisungen haben sich nicht ausgewirkt.

Cisco [1] schreibt in seiner Doku was zur SIP Firewall, das "ip inspect ..." kann ich jedoch nicht mehr auf ein einzelnes Interface legen (command unknown).

[1] http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_protocol_cbac_fw/c ...


Den Logging-Level für inzwischen so ziemlich alles angeschaltet, sieht es aktuell so aus:
- Telefon wurde vom Netz getrennt und wieder verbunden (erster Absatz)
- mehrere Versuche für einen Outbound Call



Viele Grüße
core
Mitglied: core01
core01 10.01.2014 aktualisiert um 05:13:36 Uhr
Goto Top
Ich habe es nun endlich lösen können (sogar ohne Telekom...):

Mit der Firmware 15.1 (M4) ist es nicht möglich gewesen, ausgehende VoIP-Calls aufzubauen, zumindest an einem V-DSL 50/10 MBit Anschluss.
(außerdem lag die max. Datenrate bei 8.3/2.7 MBit)

Nach einem Upgrade auf die Version 15.4 (T) läuft alles einwandfrei, die Transferrate liegt bei 44/8.5 MBit, und VoIP-Calls laufen in alle Richtungen so wie es von Anfang an hätte sein sollen...

Lösung also für alle Telekom-Kunden:
Nutzt die Firmware >= 15.4 :) face-smile

PS an dieser Stelle, die zum Download angebotene Modem-Firmware ist in der dort aktuellsten Version ÄLTER als die System-Firmware 15.4 - und funktioniert (zumindest bei der Telekom am o.g. Anschluss) NICHT! Hier also bei der embedded Firmware bleiben.

Auch an dich, aqui, noch mal vielen Dank - ob es auch ohne die ip inspect gehen würde hab ich nun mal nicht mehr getestet, allein da auch die dadurch ausführlicheren Log/Debug Meldungen in meinem Szenario doch ganz praktisch sind. :) face-smile


Viele Grüße
ein total genervter core :) face-smile
Mitglied: aqui
aqui 10.01.2014 aktualisiert um 10:48:23 Uhr
Goto Top
Tip für dich noch:
Wenn du die Firewall mit CBAC aktiv hast kannst du auch SIP Inspection einschalten was die SIP Connections sicherer macht.
Das wird nicht wie du fälschlicherweise annimmst per Interface sondern logischerweise global gemacht, da es ja für die Firewall gilt !

Dazu muss aber eine entprechende Inbound ACL für den SIP Port UDP 5060 offen sein sonst funktioniert die SIP Inspection nicht !
Gemäß der im Cisco_886vaw_Tutorial vorgestellten Konfig musst du diese geingfügig anpassen:
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any (log)


Damit rennt dann auch sichere SIP Inspection ! Getestet hier mit der IOS Version 15.3.3(M) das ist das Stable Release.
Was interessant ist: Kommen Incoming SIP Call generiert der Router eine Log Message:
IPNAT SIP SDP: Trying to parse unsupported attribute at media level
Es funktioniert aber alles fehlerfrei. Siehst du mit deiner 15.4(T) diese Message auch ?? ("show logg" zeigt sie, mit "clear logg" kannst du das Log ggf. löschen)
Kurze Frage noch: Nutzt du einen Telekom VDSL Vollanschluss (Call and Surf) für den SIP bzw. Telefonie Zugang mit dem Cisco ?
Mitglied: core01
core01 10.01.2014 aktualisiert um 13:00:01 Uhr
Goto Top
Hi,

die sip-Regel habe ich bereits drin - deine genannte Log-Meldung kommt bei mir allerdings nicht.

Der Anschluss ist, soweit ich weiß, ein Telekom VDSL Call & Surf Comfort (OHNE Entertain) 50 MBit und ohne Speed-Option (also 10 MBit Upload), sowie kein Fastlink.
(mit dynamischer IP, und kein Business-Kunden-Zugang)

Anbei (auch für alle, die hier später wie ich über Google landen...) meine aktuelle, funktionierende (!) Konfiguration:
(Hinweis: die ACL 111 aus dem Tutorial ist bei mir die 102)

Wobei die Access-Listen nun, wo man auch endlich ordentlich testen kann, dann noch nähere Pflege erfahren werden. :) face-smile


Viele Grüße
core
Mitglied: aqui
aqui 10.01.2014 aktualisiert um 13:27:03 Uhr
Goto Top
Danke fürs Feedback ! Kleine Anmerkung zu deiner ACL 102 die, mit Verlaub gesagt, eigentlich totaler Blödsinn ist, sorry !! Warum....?
  • Eine Accessliste wird der Reihe nach abgearbeitet vom Router dabei gilt immer "First Match wins" ! Reihenfolge in der ACL ist also sehr wichtig !
Was deine ACL 102 macht ist folgendes:
  • Eingehende externe Verbindungen ohne interne NAT Session ID fürs IP Protokoll 47 GRE (Teil von PPTP) erlauben
  • Alle irgendwie gearteten eingehenden externen Verbindungen ohne interne NAT Session ID generell erlauben.

Du merkst sicher selber wie unsinnig diese Regel ist, denn warum erlaubst du speziell GRE wenn du so oder so generell danach alles IP artige erlaubst ?! Das ist unsinnig.
Die Firewall ist eine CBAC Firewall wenn du Inspection nutzt. D.h. eine inbound ACL sollte ALLES verbieten um den Router nicht angreifbar zu machen.
Die Cisco Firewall sorgt dann dafür das alles was in der Inspection definiert wird dynamsich die ACL öffnet wenn interne Sessions nach extern gehen.
D.h. die Firewall macht also nur das temporär auf was intern auch gebraucht wird. Genau deshalb auch am Ende der WAN Port ACL immer ein deny any any.
Deine derzeitige ACL 102 öffnet den Router generell weit wie ein Scheunentor !!!
Mach den ct' Angriffstest und der sollte dir die Augen öffnen:
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Deine ACL ist also vollkommen überflüssig am Dialer Port denn sie erlaubt eh alles. Das gleiche erreichst du auch wenn du die ACL gleich ganz weglässt !
Die korrekte ACL hat folgende Statements:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
Das erlaubt eingehende ICMP Steuerpakete die für den IP Paketflow wichtig sind. Ansonsten würden diese ICMPs geblockt werden da sie einen anderen Type entsprechen als die Types echo und echo request (Ping)
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
Erlaubt vom Router initierte DNS Requests (denk dran der Router ist DNS Proxy hier !), denn alles was vom Router bzw. dessen IP "direkt" kommt, unterliegt nicht dem Inspection Prozess und der dynamischen Firewall !
Würdest du dann DNS Requests vom Router senden (was er tut da er Proxy ist), würde die Firewall die Antworten vom DNS Server blocken, da die dynamische ACL Öffnung (CBAC) nur von inbound gerouteten Sessions aus dem lokalen LAN getriggert wird ! DNS nutzt TCP und UDP
access-list 111 permit udp any eq 5060 any
Erlaubt eingehende SIP Calls wenn dein hinter dem NAT gelegenes VoIP Gerät angerufen wird ohne bestehende SIP outbound Session.
access-list 111 permit gre any any
Erlaubt von außen eingehende PPTP VPN Sessions
access-list 111 deny ip any any (log)
DAS ist hier das wichtigste Stament, denn es BLOCKT ALLES was sonst noch von außen rein will auf dein Router oder lokales LAN ! Das ist ja der tiefere Sinn einer Firewall. Das optional "log" Stament würde noch alle Angreifer mitloggen die versuchen im Router einzubrechen oder versuchen aufs lokale LAN zuzugreifen.
Solltest du spaßeshalber mal für einen Tag aktivieren damit du mal siehst was so einprasselt auf den Router...und nicht nur deinen !!
Fazit: Dein Router ist vollkommen offen so mit deiner ACL 102 zum Internet ! Das solltest du besser ganz schnell fixen !!

Bei NTP (Time Protokoll) müsstes du auf deinem Router auch noch "access-list 111 permit udp any eq ntp any" konfigurieren sonst bleiben auch NTP Updates des Routers selber (clock) hängen.

Was noch offen ist an Fragen:
  • Nutzt du einen Telekom VDSL Vollanschluss (Call and Surf) für den SIP bzw. Telefonie Zugang mit dem Cisco ?
  • Siehst du wenn du die Firewall "richtig" konfigurierst ggf. auch die o.a. Log Message ?
Mitglied: starbuck33
starbuck33 26.04.2014 um 19:12:14 Uhr
Goto Top
Hatte genau das gleiche Problem (IPNAT SIP SDP: Trying to parse unsupported attribute at media level) - außerdem wurde kein voice übertragen.

Das ganze hat sich mit einem einfachen 'no ip nat service sip udp port 5060' gelöst. Meldungen traten nicht mehr auf, voice wird übertragen, alles schön :) face-smile
Mitglied: aqui
aqui 26.04.2014 um 22:34:24 Uhr
Goto Top
Super ! Danke für das Feedback.
Hier ist es so das die Log Meldung mit jedem Call auftritt. Voice funktioniert aber fehlerlos nur diese Messages die einem das Syslog vollmüllen nerven schon gewaltig...
Mal sehen...gleich mal testen ob ein no ip nat service sip udp port 5060 dem Spuk endlich ein Ende bereitet !
Heiß diskutierte Beiträge
question
USB Adapter wie PoE? gelöst HournenharmaVor 1 TagFrageHardware5 Kommentare

Ich habe einen Kunden, der will in seinem Ford mit SYNC2 sein RazerPhone 2 nutzen. Das Problem ist, dass die USB-A Anschlüsse max. 5W geben, ...

question
Hyper-V - verwaiste Snapshots löschenbasdschoVor 1 TagFrageHyper-V26 Kommentare

Hallo, mein Veeam machte bei einer installation Probleme und konnte plötzlich die Snapshots nicht mehr löschen. Kein Problem, Disks konsolidiert, alte Snapshot Dateien gelöscht. Nun ...

question
USB 3 beißt sich mit 2,4Ghz Funkperipherie gelöst O-Two06Vor 1 TagFragePeripheriegeräte3 Kommentare

Hiho, ich habe nun schon einige Artikel über das leidige Thema gelesen, komme aber zu keiner Lösung. Ich habe Mini-PCs, bei denen nun leider mal ...

question
Fritzbox 7590 ersetzten gegen Modem + Router oder Router mit Modemindignus-estVor 1 TagFrageNetzwerke10 Kommentare

Hallo zusammen, nach langer Krankheit und Genesungszeit fasse ich jetzt mal wieder den Mut eine frage zustellen die mir schon seit längeren im Kopf herum ...

question
Ipv6 RouterliodiceVor 15 StundenFrageDSL, VDSL10 Kommentare

Hallo zusammen, ich hoffe ihr könnt mir weiterhelfen, ich benötigen einen ADSL Router (Kabelgebundenen) der IPv4 und IPv6 kann, also Dual Stack (DHCP Extern und ...

question
SSH Login nur möglich bei eingelogtem USERhell.wienVor 19 StundenFrageLinux Netzwerk17 Kommentare

habe einen Server (Debian) mit SSH (nur mit Public Key und auf einem Custom Port) und ufw aktiv. Ich kann mich nicht einlogen. Wenn ich ...

question
Günstiges Open-Source NAS für HeimgebrauchpanguuVor 8 StundenFrageSAN, NAS, DAS8 Kommentare

Hallo, mit NAS-Systemen hatte ich bisher gearbeitet: Synology, QNAP, Buffalo, etc. Dabei kommen proprietäre Betriebssysteme zum Einsatz, die sich natürlich von Hersteller zu Hersteller unterscheiden ...

question
ProLiant DL380p G8 findet HP SAS-Festplatten MB3000FBUCN nicht ?IT-DAUVor 1 TagFrageServer-Hardware5 Kommentare

Hallo liebe Community! Kurz vorweg: ich bin Quereinsteiger in der IT-Branche und möchte nun als Vorbereitung zu meinem Ausbildungskurs bzw. für zu Hause ein bisschen ...