Cisco 1921 VOIP und Telefonanlage ISP MNET
Hi,
ich fange hier für das folgende Problem einen neuen Thread an, da es sonst unübersichtlich wird. Nützlich auch für den ein oder anderen der später auch mal mit Cisco Produkten sein Ziel erreichen möchte...
Nachdem nun endlich der Cisco 1921 die Interneteinwahl an MNET geschluckt hat, muss ich den nächsten Step klären. Es geht hierbei um das Thema VOIP und Telefonanlage..Bevor ich das nicht zum laufen gebracht habe, kann der Cisco nicht ans Netz.....
Bisher war es so:
Die Telefonanlage selber ist eine Auerswald Compact 5000R (IP Adresse der Telefonanlage bisher 192.168.50.85) : es sind insgesamt 2 VOIP Telefone und 5 ISDN Telefone vorhanden....zusätzlich sind daran aussen noch zwei POE SIP Sprechanlagen verbunden.
Ich habe noch einen unmanaged kleinen Switch übrig: der hat 4 port mit und ohne POE
Was meint ihr: Telefonkram auf dem Internen Netzwerk 192.168.50.1 belassen? Oder könnte man für den Telefonkram ein eigenes Netz definieren? (Also Bsp. beim Cisco Router auf dem GigabitEthernet0/0/0)????
Dadurch wäre es doch übersichtlicher? Ich hätte so wieder am 48 Port POE Switch (Internes Netzwerk )wieder etwas Platz den ich gut gebrauchen könnte.....
Ich habe vom MNET Provider folgende Daten erhalten:
4 Accounts X SIP Benuztername XXX
4 Accounts X Sip Password XXX
Sip-Registrar phone.mnet-voip.de
VLAN ID VOIP 40
Aus der bisherigen Telefonanlage habe ich folgende Sache ermitteln können
Codec : G711
Ports die bisher an die Fritzbox weitergeleitet wurden:
Port 5060 UDP/TCP (Ich nehme an , es handelt sich hier um den SIP REGISTRAR)
Ports 7078-7109 UDP
Variante A: (Alles auf die GigabitEthernet 0/1 )
Was muss ich in den Cisco Router reinhackerln , damit er mir das weiterleitet? //An die jetzige TK Anlage 192.168.50.90
Variante B(VOIP Netzwerk ein eigenes Netzwerk kreiieren bsp für GigabitEhternet0/0/0)
Was muss ich dann in den Cisco reinhackerln , damit er mir das über das GigabitEthernet0/0/0 an die Telefonanlage weiterleitet
-Frage: Muss hier für ein eigenes Netz kreiiert werden? Bsp 10.0.0.X ?=
-Frage: Brauche ich dann hierfür eine Route vom einen zum anderen Netz? bsp eine Route vom 10er netz in das 192er Netz und umgekehrt?
Jetzige Cisco Konfig sieht so aus:
Ich hoffe, dass ich jetzt nichts vergessen habe.
LG Brooks
ich fange hier für das folgende Problem einen neuen Thread an, da es sonst unübersichtlich wird. Nützlich auch für den ein oder anderen der später auch mal mit Cisco Produkten sein Ziel erreichen möchte...
Nachdem nun endlich der Cisco 1921 die Interneteinwahl an MNET geschluckt hat, muss ich den nächsten Step klären. Es geht hierbei um das Thema VOIP und Telefonanlage..Bevor ich das nicht zum laufen gebracht habe, kann der Cisco nicht ans Netz.....
Bisher war es so:
Telefonndose <----> WAN von Fritzbox <-----> FRITZBOX<------> LAN 1 von Fritzbox (Netzwerk INTERNAL 192.168.50.1)
FRITZBOX<------>ISDN SO EXTERN <--------> SO EXTERN BUCHSE mit der Telefonanlage der Auerswald verbunden.
Jetzt will ich es aber so haben , weil der Cisco 1921 nun die Interneteinwahl aktzeptiert. (Dieser Schritt funktioniert nun Dank Aqui5)
Telefonndose<------> WAN Port (EHWIC VA DSL B) <-----CISCO 1921--------->GigabitEthernet0/1 (Netzwerk INTERNAL 192.168.50.1
----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0
----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0/0
----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0/1
----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0/2
----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0/3
Die Telefonanlage selber ist eine Auerswald Compact 5000R (IP Adresse der Telefonanlage bisher 192.168.50.85) : es sind insgesamt 2 VOIP Telefone und 5 ISDN Telefone vorhanden....zusätzlich sind daran aussen noch zwei POE SIP Sprechanlagen verbunden.
Ich habe noch einen unmanaged kleinen Switch übrig: der hat 4 port mit und ohne POE
Was meint ihr: Telefonkram auf dem Internen Netzwerk 192.168.50.1 belassen? Oder könnte man für den Telefonkram ein eigenes Netz definieren? (Also Bsp. beim Cisco Router auf dem GigabitEthernet0/0/0)????
Dadurch wäre es doch übersichtlicher? Ich hätte so wieder am 48 Port POE Switch (Internes Netzwerk )wieder etwas Platz den ich gut gebrauchen könnte.....
Ich habe vom MNET Provider folgende Daten erhalten:
4 Accounts X SIP Benuztername XXX
4 Accounts X Sip Password XXX
Sip-Registrar phone.mnet-voip.de
VLAN ID VOIP 40
Aus der bisherigen Telefonanlage habe ich folgende Sache ermitteln können
Codec : G711
Ports die bisher an die Fritzbox weitergeleitet wurden:
Port 5060 UDP/TCP (Ich nehme an , es handelt sich hier um den SIP REGISTRAR)
Ports 7078-7109 UDP
Variante A: (Alles auf die GigabitEthernet 0/1 )
Was muss ich in den Cisco Router reinhackerln , damit er mir das weiterleitet? //An die jetzige TK Anlage 192.168.50.90
Variante B(VOIP Netzwerk ein eigenes Netzwerk kreiieren bsp für GigabitEhternet0/0/0)
Was muss ich dann in den Cisco reinhackerln , damit er mir das über das GigabitEthernet0/0/0 an die Telefonanlage weiterleitet
-Frage: Muss hier für ein eigenes Netz kreiiert werden? Bsp 10.0.0.X ?=
-Frage: Brauche ich dann hierfür eine Route vom einen zum anderen Netz? bsp eine Route vom 10er netz in das 192er Netz und umgekehrt?
Jetzige Cisco Konfig sieht so aus:
Cisco1921#show running-config
Building configuration...
Current configuration : 3905 bytes
!
! Last configuration change at 22:06:05 CEST Thu Aug 4 2016 by user4754
! NVRAM config last updated at 22:06:18 CEST Thu Aug 4 2016 by user4754
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool Internal Network
network 192.168.50.0 255.255.255.0
default-router 192.168.50.254
dns-server 192.168.50.254
domain-name soho.intern
!
!
!
ip domain name soho.intern
ip inspect name Firewall tcp router-traffic
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1921/K9 sn FXXXXXX
!
!
username user4754 password 7 XXXXXXXXXX
!
redundancy
!
!
!
!
!
controller VDSL 0/1/0
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/1/0.1 point-to-point
pvc 1/32
bridge-dot1q encap 40
pppoe-client dial-pool-number 1
!
!
interface Ethernet0/1/0
no ip address
no ip route-cache
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/0/0
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
!
interface Dialer0
description VDSL Einwahl Interface to ISP MNET
ip address negotiated
ip mtu 1492
ip nat outside
ip inspect Firewall out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap chap callin
ppp chap hostname XXXXXXXXX@mdsl.mnet-online.de
ppp chap password 7 XXXXXX
ppp pap sent-username XXXXXXX@mdsl.mnet-online.de password 7 XXXXXX
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
dialer-list 1 protocol ip list 101
!
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 deny ip any any log
!
control-plane
!
!
!
line con 0
logging synchronous
login local
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password 7 Xxxx
login local
transport input ssh
!
scheduler allocate 20000 1000
ntp server 0.europe.pool.ntp.org
ntp server ntp.mnet-online.de prefer
!
end
Cisco1921#
Ich hoffe, dass ich jetzt nichts vergessen habe.
LG Brooks
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 311754
Url: https://administrator.de/forum/cisco-1921-voip-und-telefonanlage-isp-mnet-311754.html
Ausgedruckt am: 27.12.2024 um 13:12 Uhr
29 Kommentare
Neuester Kommentar
Du hast ja richtigerweise schon die Firewall mit dem Application Gateway laufen, da muss man dann bis auf eine Kleinigkeit nix mehr machen:
So sollte die CBAC ACL 111 aussehen:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit gre any any
access-list 111 deny ip any any
Wenn du es ganz perfekt machen willst ergänzt du die Konfig noch mit dem Global Kommand:
no ip nat service sip udp port 5060
Das funktioniert hier fehlerlos mit einer Auerswald 3000 VoIP und sollte dann ebenso mit der 5000er rennen !
Tip: Du solltest rausbekommen was dein Provider macht als Authentisiertung (Debugger). Aufgrund des ersten Threads kannst du davon ausgehen das er ja kein PAP macht. Folglich solltest du dann auch die überflüssige Konfigleiche wie:
ppp pap sent-username XXXXXXX@mdsl.mnet...
Aus der Konfig entfernen mit no pap....
Das schützt dich imemr vor irgendwelchen üblen Sideeffects. Nachher dann immer ein u all nicht vergessen
So sollte die CBAC ACL 111 aussehen:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit gre any any
access-list 111 deny ip any any
Wenn du es ganz perfekt machen willst ergänzt du die Konfig noch mit dem Global Kommand:
no ip nat service sip udp port 5060
Das funktioniert hier fehlerlos mit einer Auerswald 3000 VoIP und sollte dann ebenso mit der 5000er rennen !
Tip: Du solltest rausbekommen was dein Provider macht als Authentisiertung (Debugger). Aufgrund des ersten Threads kannst du davon ausgehen das er ja kein PAP macht. Folglich solltest du dann auch die überflüssige Konfigleiche wie:
ppp pap sent-username XXXXXXX@mdsl.mnet...
Aus der Konfig entfernen mit no pap....
Das schützt dich imemr vor irgendwelchen üblen Sideeffects. Nachher dann immer ein u all nicht vergessen
Nun, das ist kinderleicht mit dem 2ten Segment.... (IP Adressen ggf. auf eigene Vorlieben anpassen !)
Erstmal eine IP Adresse dafür einrichten und das Interface für den Internet Zugriff einrichten:
!
interface GigabitEthernet0/0/0
description VoIP Segment
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
NAT Funktion für das neue IP Netz einrichten bzw. erweitern für den Internet Zugang des Netzes:
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 101 permit ip 10.0.0.0.0 0.0.0.255 any
!
DHCP Bereich für das VoIP Segment einrichten:
!
ip dhcp pool VoIP
network 10.0.0..0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name voip.soho.intern
!
ip dhcp excluded-address 10.0.0.1 10.0.0.149
ip dhcp excluded-address 10.0.0.170 10.0.0.254
!
Fertisch !!
Wenn du testweise jetzt an das Interface einmal einen Testrechner anhängst bekommst du da eine 10.0.0.x IP per DHCP und solltest fehlerfrei ins Internet kommen.
Gleiches sollte dann auch mit der Telefonanlage und VoIP Telefonen funktionieren.
Btw. hier ein Tip wie du preiswerte Cisco VoIP Telefone (eBay) an die Anlage und an andere SIP provider hängst:
Cisco Telefone für All IP Anschluss, FritzBox und andere VoIP Anlagen fit machen
ACHTUNG !!
Die Telefonanlage sollte wie auch Server immer eine feste, statische IP Adresse bekommen ! Das kannst du über den DHCP Server bewerkstellingen wenn du dem sagst das er auf Basis der Mac Adresse der Anlage ihr eine feste IP geben soll:
!
ip dhcp pool Auerswald
host 10.0.0.222 255.255.255.0
client-identifier 0ab0.0c6c.01c4.d2
network 10.0.0..0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name voip.soho.intern
!
Wobei hier jetzt 0ab0.0c6c.01c4.d2 ein Mac Adress Beispiel für die Anlage ist. Die Mac Adresse ist auf dem Typenschild aufgedruckt ansonsten hilft ein show arp auf dem Cisco die richtige Mac anzuzeigen.
Natürlich kannst du auch IP, Gateway und DNS in der Anlage statisch einstellen ! Das ist am sichersten
Zur IPv6 Prefix Delegation Konfig findest du diverse Tips im Internet:
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6-ipv6/113141-D ...
https://supportforums.cisco.com/video/11929086/configuration-dhcpv6-cisc ...
Erstmal eine IP Adresse dafür einrichten und das Interface für den Internet Zugriff einrichten:
!
interface GigabitEthernet0/0/0
description VoIP Segment
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
NAT Funktion für das neue IP Netz einrichten bzw. erweitern für den Internet Zugang des Netzes:
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 101 permit ip 10.0.0.0.0 0.0.0.255 any
!
DHCP Bereich für das VoIP Segment einrichten:
!
ip dhcp pool VoIP
network 10.0.0..0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name voip.soho.intern
!
ip dhcp excluded-address 10.0.0.1 10.0.0.149
ip dhcp excluded-address 10.0.0.170 10.0.0.254
!
Fertisch !!
Wenn du testweise jetzt an das Interface einmal einen Testrechner anhängst bekommst du da eine 10.0.0.x IP per DHCP und solltest fehlerfrei ins Internet kommen.
Gleiches sollte dann auch mit der Telefonanlage und VoIP Telefonen funktionieren.
Btw. hier ein Tip wie du preiswerte Cisco VoIP Telefone (eBay) an die Anlage und an andere SIP provider hängst:
Cisco Telefone für All IP Anschluss, FritzBox und andere VoIP Anlagen fit machen
ACHTUNG !!
Die Telefonanlage sollte wie auch Server immer eine feste, statische IP Adresse bekommen ! Das kannst du über den DHCP Server bewerkstellingen wenn du dem sagst das er auf Basis der Mac Adresse der Anlage ihr eine feste IP geben soll:
!
ip dhcp pool Auerswald
host 10.0.0.222 255.255.255.0
client-identifier 0ab0.0c6c.01c4.d2
network 10.0.0..0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name voip.soho.intern
!
Wobei hier jetzt 0ab0.0c6c.01c4.d2 ein Mac Adress Beispiel für die Anlage ist. Die Mac Adresse ist auf dem Typenschild aufgedruckt ansonsten hilft ein show arp auf dem Cisco die richtige Mac anzuzeigen.
Natürlich kannst du auch IP, Gateway und DNS in der Anlage statisch einstellen ! Das ist am sichersten
Zur IPv6 Prefix Delegation Konfig findest du diverse Tips im Internet:
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6-ipv6/113141-D ...
https://supportforums.cisco.com/video/11929086/configuration-dhcpv6-cisc ...
Bei deaktivieren von IPv6 im Internetzugang der Fritzbox ist das VOIP Thema in der Fritzbox tot.......
OK bedeutet dann das die SIP Verbindungen bei M-Net rein über v6 laufen ! Macht auch Sinn denn das bleibt ja lokal im M-Net Netz.Dann musst du logischerweise die v4 SIP Freigaben in der Firewall nicht konfigurieren, sie wären dann eh überflüssig.
Appropos: Kann die Auerswald IPv6 ?? Das muss sie wenn das der Fall ist das Voice rein mit v6 rennt bei M-Net.
Tip: Bei der "log" Option an der ACL access-list 111 deny ip any any log musst du etwas aufpassen. Es ist für erste Spannend um mal zu sehen wer da Angriffe auf deinen Router startet. Da wirst du vermutlich geschockt sein wie viel das ist.
Das wird aber nachher so viel das du aufgeben wirst es immer alles zu lesen und mit utrace.de nachzusehen woher das kommt. Der größere Haken ist aber das das logging CPU switched ist, es macht also deinen Router langsam.
Lass es nur an wenn die Log einträge moderat sind also nicht mehr als 20-50 pro Tag. Sonst lass den Logging Parameter lieber weg.
access-list 111 permit gre any any so allein ist sinnfei. GRE brauchst du nur wenn du auf dem Router ein VPN Dialin mit PPTP einrichten willst. Dann fehlt aber noch TCP 1723. PPTP gilt heute nicht mehr als hinreichend sicher. IPsec ist da besser. Besser also solche unbenutzen Konfigleichen im löschen wenn sie keinen Funktion haben.
Zur Prefix Delegation hat das 880er Tutorial ganz am Ende der Kommentarthreads noch ein paar Hinweise (Capt. Haddock)
Darfst mir gern ein ipv6 vorgeben und welche ipv6 soll ich der Auerswald geben??
Das geht so nicht ! Du kannst dir keine IPv6 Adresse oder Netz "ausdenken". Sowas wie das NAT Konzept mit privaten RFC 1918 IP Adressen bei IPv4 gäbe es zwar noch theoretisch bei IPv6 aber nirgendwo in der Praxis.Mit IPv6 hat man ja nun soviele IP Adressen das du fast jedes Sandkorn auf der Erde mit einer IPv6 Adresse adressieren kannst.
In der Regel läuft das so das der Provider einen /32 Prefix zugewiesen bekommen und dann per Prefix Delegation einen /64 Prefix an ihre Kunden geben.
Sprich also beim PPPoE Dialin bekommst du dein eigenes /64 IPv6 Netzwerk vom Provider zugewiesen. Das kannst du dann natürlich wieder selber mit kleineren Masken bei dir am Router subnetten.
Es gibt bei IPv6 kein NAT mehr. D.h. dein eigenes IPv6 Netzwerk was du per prefix Delegation vom Provider bekommst ist ein festes, öffentliches IP Netz im Internet. Umso wichtiger ist hier eine funktionierende Firewall natürlich !!
Wobei "fest" nicht sicher ist. Oft wird mit jeder Prefix Delegation ein wechselndes v6 Netz an Endkunden gegeben zur Anonymisierung. Ob das bei M-Net so ist oder ob du immer das gleiche Subnetz bekommst musst du mit denen klären.
Letztlich bedeutet das für dich das du vom Provider immer dein v6 Subnetz aufgedrückt bekommst. Du darfst bzw. solltest deshalb niemals was eigene konfigurieren.
Suche bei Cisco nach "Prefix Delegation" da findest du genug Infos und fertige Konfigs zum Abtippen. Siehe auch dein M-Net Tutorial und die Threads hier zum 880 Cisco Tutorial.
On top solltest du dir etwas Literatur zu dem Thema anschaffen wenn du ein IPv6 Newbie bist.
Sehr zu empfehlen ist das hier:
https://www.amazon.de/IPv6-Workshop-Zweite-Auflage-Dan-Lüdtke-ebook ...
Viele Tips und Übungen und mit einem kleinen RasPi als Testhost bist du dann sehr schnell der IPv6 Profi
Zurück zu deinem Gig 0/0/0 Interface....
Sorry, ich hatte hier einen Denkfehler gemacht und war davon ausgegangen das das ein dediziertes Interface am Router ist.
Dem ist aber natürlich nicht so auf diesem Routermodell. Es verhält sich da genau so wie auf dem 880er nur das das eben Gig Interfaces sind. (Siehe 880er Tutorial)
Die Interfaces x/0 bis x/3 sind Ports eines embeddeten Switches mit IOS Verhalten auf dem Router.
Im Default sind alle Ports untagged im VLAN 1 und das korrespondierende Layer 3 (Router) Interface dazu ist bezeichnenderweise das interface vlan 1
Du musst hier also etwas switchmäßig denken bei der Port Konfig...
Richtig sähe dann deine Konfig so aus:
!
interface GigabitEthernet0/0/0
description NETWORK VOIP
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
description VoIP Netzwerk
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
Rest dann wie oben.
Jetzt ist es aber so das dann durch die Switchfunktion alle 4 GigE Ports im VLAN 1, also dem Voice Netz, sind was ein bischen Verschwendung ist. (Alle Ports sind Member vom VLAN 1)
Du kannst z.B. dein lokales LAN auch auf einen der 4 Switchports legen. Das sieht dann so aus:
(config)# vlan 10
(config)# name VoIP Netzwerk
(config)# exit
!
interface GigabitEthernet0/1
no ip address
shutdown
!
interface GigabitEthernet0/0/0
description Internes Netzwerk Port
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
description Voice Netzwerk Port
switchport mode access
switchport access vlan 10
no ip address
!
interface vlan1
description Internes Netzwerk
ip address 192.168.50.1 255.255.255.0
ip nat inside
!
interface vlan10
description VoIP Netzwerk
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
Du siehst vermutlich das Prinzip, oder ?
Auch z.B. ein zusätzliches Gast- oder Testnetz kannst du so etablieren:
(config)# vlan 20
(config)# name Gaeste Netzwerk
!
interface GigabitEthernet0/0/0
description Internes Netzwerk Port
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
description Gaeste Netzwerk Port
switchport mode access
switchport access vlan 20
no ip address
!
interface GigabitEthernet0/0/3
description Voice Netzwerk Port
switchport mode access
switchport access vlan 10
no ip address
!
interface vlan1
description Internes Netzwerk
ip address 192.168.50.1 255.255.255.0
ip nat inside
!
interface vlan10
description VoIP Netzwerk
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
interface vlan20
description Gäste Netzwerk
ip address 10.20.0.254 255.255.255.0
ip nat inside
!
Nun kannst du auch diese VLAN Struktur auf einen VLAN Switch übertragen mit einem Tagged Uplink um so diese 3 VLANs Lokal, Telefonie und Gaeste auf einen VLAN Switch zu bringen und dort wieder Portweise zuweisen:
!
interface GigabitEthernet0/0/0
description Internes Netzwerk Port
no ip address
!
interface GigabitEthernet0/0/1
description Tagged Uplink auf VLAN Switch
switchport mode trunk
switchport trunk allow vlan all
no ip address
!
interface GigabitEthernet0/0/2
description Gaeste Netzwerk Port
switchport mode access
switchport access vlan 20
no ip address
!
interface GigabitEthernet0/0/3
description Voice Netzwerk Port
switchport mode access
switchport access vlan 10
no ip address
!
interface vlan1
description Internes Netzwerk
ip address 192.168.50.1 255.255.255.0
ip nat inside
!
interface vlan10
description VoIP Netzwerk
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
interface vlan20
description Gäste Netzwerk
ip address 10.20.0.254 255.255.255.0
ip nat inside
!
Hier musst du nun genauer hinsehen WAS du dann auf deinen 4 Ports steckst !!
Welchen Port du für welches Netz oder Uplink nutzt spielt dabei keinerlei Rolle. Sogar ein Link Aggregation Trunk aus 2 oder mehr Ports vom Router auf einen Switch kannst du so konfigurieren.
Den Rest so eines Designs erklärt das hiesige VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit sollte dann auch dein Voice / Telefonie Netzwerk auf Anhieb spielen
Sorry nochmal für die Verwirrung.
einen nicht management-fähigen Switch...wie handhabe ich es dann hier mit VLAN?
Keinerlei Chjance !! Vergessen, der kann kein VLAN und wird es nie können.Du musst ja auch erstmal keinen Uplink machen. Es reicht ja fürs erste wenn du den Ports deine verwendeten IP Segmente zuweisen kannst. Es können dann eben nicht mehr als 4 werden. OK 5 wenn man das dedizierte Gig Interface am Router dazuzählt.
IPv6....
2001:a61:209f:2800::/56
OK, das sieht so aus als ob du sogar einen /56 Prefix bekommst...damit kannst du dann fast jede Fussel im Haus adressierenDu kannst deinem 0/0/3 Interface z.B. ein /64er Netz geben:
2001:a61:209f:2814:0:0:0:0 mit der Host IP 2001:a61:209f:2814:0:0:0:1 (VLAN 20 = hex 14 in die Netzadresse eincodiert )
Man kann auch "Wortspiele" mit den Adressen machen z.B. 2001:a61:209f:2814:0:0:bade:affe /64 oder 2001:a61:209f:2814:0:0:cafe:affe /64 oder sowas ums besser zu erkennen.
Hier kannst du dann mit DHCPv6 dynamisch IPs vergeben oder über die Zeroconf Funktion von IPv6 selber ohne DHCP. Allerdings musst du dann hier mit der DNSv6 IP aufpassen.
Das Gültigkeit: 6789/3189s, lässt aber leider vermuten das da eine begrenzte Gültigkeit der Vergabe besteht.
Vermutlich aus Anonymisierungsgründen. Ohne das könnte jeder im v6 Internet schon anhand deiner v6 Absender Adresse genau sehen wer du bist.
6787 Sec sind nicht ganz 2 Stunden. Danach findet vermutlich eine neue Delegation statt mit einem neuen IPv6 Netz.
Das musst du unbedingt mal kontrollieren.
Solltest du danach ein anderes Netzwerk als das 2001:a61:209f:2800::/56 bekommen wechseln die das bei dir, was dann auch bedeutet das das lokale LAN dann wechselt bzw. wechseln muss.
Hat die Anlage dann eine statische IP wäre das fatal und bedeutet das danach deinen Telefonie nicht mehr rennt.
Dann musst du die lokale v6 IP Adressierung unbedingt dynamisch belassen oder beim Provider auf ein festes v6 Subnetz gehen ! Das kann man kostenfrei anfordern.
http://bfy.tw/75tW
Setz einfach mal eine statische IPv6 Adresse auf das Interface und schliess einen PC an.
fc00::/7 ist für private v6 Netze reserviert.
Ein fd88:bade:affe:cafe::1 /64 z.B. als Interface Adresse. Mit einem ipconfig -all oder ifconfig bei unixoiden Endgeräten (Linux, Raspberry usw.) kannst du dann sehen das diese automatisch ohne das du was machen musst eine gültige IP aus diesem Netzwerk beziehen.
https://thenetworkway.wordpress.com/2014/07/02/ipv6-address-assignment-s ...
Stichwort SLAAC
Tut mir leid wenn ich jetzt mal Linke.....
Genau der ist oben schon erwähnt Ich kapier nur nicht wie ich das DHCP für ipv6 bei einem interface aktivieren? Muss man das überhaupt?
Nein, das musst du nicht und geht bei dynamsicher und wechselnder Prefix Delegation auch nicht. DHCP wäre ja dann immer statisch. Das Stichwort heisst SLAAC.Setz einfach mal eine statische IPv6 Adresse auf das Interface und schliess einen PC an.
fc00::/7 ist für private v6 Netze reserviert.
Ein fd88:bade:affe:cafe::1 /64 z.B. als Interface Adresse. Mit einem ipconfig -all oder ifconfig bei unixoiden Endgeräten (Linux, Raspberry usw.) kannst du dann sehen das diese automatisch ohne das du was machen musst eine gültige IP aus diesem Netzwerk beziehen.
dass die Telefonanlage bsp die Adresse automatisch beziehen kann?
Guckst du hier:https://thenetworkway.wordpress.com/2014/07/02/ipv6-address-assignment-s ...
Stichwort SLAAC
bade affe cafe ... was willst du mir nur damit sagen
Nein nein...bitte keine falschen Assoziationen Für die Prefix Delegation bei IPv6 benötigst du einen v6 DHCP Client auf dem Port, denn das Netzwerk bzw. die IP wird vom Provider per DHCP zugeteilt.
Den Server bräuchte man nur wenn man eigene Netze hat und dort Adressen verteilen will. Auch nicht wirklich denn v6 kann das mit SLAAC auch selber.
Im interface Dialer0 steht bereits:
Richtig ! Hier kommt es jetzt darauf an zu sehen ob du dort die richtige v6 IP bekommst ??Was sagt ein show ipv6 interface brief ??
Du musst mal mehr mit den Show show ipv6 * Kommandos jonglieren um zu sehen was am Provider Port passiert.
Debuggen hilft hier auch um zu sehen wie die v6 Vergabe vonstatten geht dort.
auch hier gilt wieder meine Annahme , dass der Präfix hier aus dem "Pool" genommen wird und mit dem ::1:0:0:0:1/64 ergänzt wird.
Das ist auch richtig ! Wie gesagt sh ipv6 int brie !! Siehst du dort v6 Netze ?d.h für mein anderes Gigabit Lan einfach dann im VLAN folgenden Kommando reinschreiben
Bingo...richtig !
Dein Router bekommt kein IPv6 Netzwerk vom Provider
Oben schreibst du aber: "S.S ipv6 Dual Stack Zugang läuft! Danke!" Was gilt denn nun ???
Irgendwas ist da noch faul wenn das aktuelle show ip8v6) int brie stimmt ! FE80::669E:F3FF:FE57:B40 auf dem Dialer0 bzw. VA2 Interface ist ein Link Local Netzwerk (FE80)
Debugge das mal was da im v6 Handshaking mit dem Provider vor sich geht !
Hier ist übrigens mal eine gute Beschreibung des ganzen:
https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...
Frage 2:
Gar nicht, das macht die Application Firewall des Ciscos für dich
access-list 111 permit udp any eq 5060 any
Appropos... Diese könnte auch ein Problem für das nicht funktionierende IPv6 Handshaking sein ! (Zitat Tutorial):
Wer das WAN Interface statt mit PPPoE wie bei xDSL hier als DHCP Client definiert z.B an Kabel TV Modems oder direkter Provider Zugang, usw. muss hier auch DHCP erlauben in der WAN Accessliste, ansonsten bezieht der Port keine IP Adresse:
access-list 111 permit udp any eq bootps any
Der DHCP Request des Ciscos mit UDP 67 geht zwar raus aber der Reply vom Provider mit UDP 68 bleibt in der Cisco Firewall hängen !
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP-N ...
Das solltest du also noch zwingend in die CBAC ACL integrieren (ebenso wie SIP) oder diese ggf. zum v6 Testen erstmal ganz weglassen um sicherzugehen.
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6/113126-ipv6-a ...
Der Debugger ist dein Freund
Oben schreibst du aber: "S.S ipv6 Dual Stack Zugang läuft! Danke!" Was gilt denn nun ???
Irgendwas ist da noch faul wenn das aktuelle show ip8v6) int brie stimmt ! FE80::669E:F3FF:FE57:B40 auf dem Dialer0 bzw. VA2 Interface ist ein Link Local Netzwerk (FE80)
Debugge das mal was da im v6 Handshaking mit dem Provider vor sich geht !
Hier ist übrigens mal eine gute Beschreibung des ganzen:
https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...
Frage 2:
Gar nicht, das macht die Application Firewall des Ciscos für dich
access-list 111 permit udp any eq 5060 any
Appropos... Diese könnte auch ein Problem für das nicht funktionierende IPv6 Handshaking sein ! (Zitat Tutorial):
Wer das WAN Interface statt mit PPPoE wie bei xDSL hier als DHCP Client definiert z.B an Kabel TV Modems oder direkter Provider Zugang, usw. muss hier auch DHCP erlauben in der WAN Accessliste, ansonsten bezieht der Port keine IP Adresse:
access-list 111 permit udp any eq bootps any
Der DHCP Request des Ciscos mit UDP 67 geht zwar raus aber der Reply vom Provider mit UDP 68 bleibt in der Cisco Firewall hängen !
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP-N ...
Das solltest du also noch zwingend in die CBAC ACL integrieren (ebenso wie SIP) oder diese ggf. zum v6 Testen erstmal ganz weglassen um sicherzugehen.
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6/113126-ipv6-a ...
Der Debugger ist dein Freund
Der Cisco Selber sagt hier im LOG FOLGENDES
Ignoriere bitte alles was FE80: ist !! Das sind Link Local Adressen die uns hier nicht helfen und nur zusätzlich verwirren. Alle diese Debugger und Log Mledungen zu den Adressen sind nicht hilfreich.show ipv6 int brief sagt:
GigabitEthernet0/1 [up/up]FE80::669E:F3FF:FE57:B41
2001:A61:12A3:A301::1
Bingo ! Das zeigt doch das die Delegation funktioniert !! Der 2001:A61:12A3:A3 ist der 56 Bit Prefix vom Provider und du hast ein /64er Netz dort 2001:A61:12A3:A301 jetzt an deinem lokalen LAN.
Also alles genau wie es sein soll !
Wenn du dort jetzt v6 Endgeräte anschliesst sollten die schon über SLAAC einen IP Adresse aus dem lokalen 2001:A61:12A3:A301 Subnetz bekommen. Ist das der Fall ?
So gesehen ist alles wie es sein soll.
Knackpunkt ist deine native-v6-firewall ACL. FE80: Netze sind tödlich. Das sind reine Lokalnetze die nicht geroutet werden. Warum permittest du die ?
Punkt 3 Wartezeit....
Was sagt ein show hosts ? Funktioniert der DNS Proxy ?
Ansonsten können das nur MTU Probleme sein. Bei dir fehlt auch ein:
ip tcp adjust-mss 1452
am Interface des lokalen LANs !! Mit dem Kommando sollte das dann behoben sein.
Punkt 4:
http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-softwa ...
Das kann mit der MSS Segment Size zu tun haben.
Wie prüfe ich den DNS Proxy?
show hosts sagt folgendes:
Bitte bitte nicht immer den ganzen ellenlangen Output... 3 Zeilen hätten gereicht. Proxy funktioniert wie du am Output sehen kannst.show hosts sagt folgendes:
Wenn du einen Client hast der die Cisco IP als DNS konfiguriert hat dann kannst du da auch mit nslookup und / oder dig testen.
Sieht aber aus das das rennt...Haken dran.
entferne ich die dritte Seite mit dem FE80.....
3te Seite ?? Welche Seite ??? Bahnhof ??.wenn ich das jetzt so drinnen lasse sieht es wie u.g. aus:
Sorry, mein Fehler. Die Makse inkludiert natürlich auch v6 ICMP Multicasts: http://www.elektronik-kompendium.de/sites/net/2009221.htmDiese sind nötig zum Prefix Handshaking.
OK, damit ist ja dann alles wieder Bella ! IPv6 Adresse an Dialer 0 und auch die Delegation an dein lokales LAN...so sollte es sein !
Gibt es hier bereits ein Problem?
Nein, sieht gut aus.Weißt du wieso ich an GigabitEthernet0/1 mit der Auenwald, Fritzbox und den Clients keine ipv6 Adressen bekommen kann?
Das passiert nicht automatisch oder dann erst nach längerem Timeout. Du musst die einmal abziehen und anstecken damit es eine neue SLAAC Vergabe gibt. Dann sollte es klappen.und die Fritzbox über LAN in diesen Port stecke, dann funktioniert dass doch auch ohne Switch?
Ja logo. Der Router Port ist wie ein FritzBox LAN Port, ist wie ein Switchport, ist wie ein PC LAN Port ist wie ein...Es ist halt Ethernet immer das geiche
Was soll der tiefere Sinn sein die FB da anzuschliessen ??
Willst du das VLAN 30 als WLAN benutzen und die jetzt überflüssige FB als simplen WLAN Accesspoint benutzen wie hier beschrieben:
Kopplung von 2 Routern am DSL Port
Ach so...nur als 4 Switchports benutzen..?! Ja klar, logo...das klappt natürlich !
Aaaaber !!! Dran denken: DHCP abschalten auf der FB wenn der Cisco auch DHCP Server spielen sollte dort im VLAN 30 sonst hast du ein IP Adress Tohuwabohu...weisst du aber auch selber.
wie ich die Konfiguration der VOIP Teilnehmer in der Auerswald Anlage parametieren muss....
Das ist recht einfach. Auerswald hat ein Video Tutorial dazu was auf Anhieb klappt.https://www.youtube.com/watch?v=TbIhRCLEMPk
Sollte auch für deine identisch sein...
meine interface LAN IP von 192.168.50.1 auf die 192.168.50.2 gesetzt,
Infrastruktur IP insbesondere Router sollte man kosmetisch immer besser ans Ende setzen .1 oder .254 was gängig Praxis ist. Technisch geht natürlich jede IP aber die Enden sorgen dafür das es so gut wie nie zu Überschneidungen kommt. Ist aber Kosmetik...klar.meine Auerswald TK und auch die Clients haben alle eine korrekte IPv6 bekommen und erhalten diese auch ....
Und du kannst auch IPv6 Endgeräte IPs wie z.B. heisev6 usw im Internet pingen mit IPv6 (ping6) von Geräten im lokalen LAN ?Ich muss die Auerswald mal konfigurieren, und es testen....
Das wäre sinnig Die Fritzbox will jedoch nicht als eigener Router vom Cisco eine IPV6...
Nein, das ist auch logisch, denn beide senden v6 RAs. Normal bei "richtigen" Routern kann man das konfigurieren, das auch ein Router Interface mit SLAAC konfiguriert werden kann (ipv6 autoconfig bei Cisco) aber ist fraglich ob ein billiger Consummer Router das auch kann. In 98% aller Haushalte muss man das nicht.wie muss ich die ACL Liste noch anpassen, damit ich auch Videos und Streams von den Websites anschauen kann?
Für IPv4 oder IPv6 ??Für IPv4 musst du nichts machen wenn du Streams im Internet ansehen willst. Es sei denn das Internet soll auf Stremaing Server bei dir im netz zugreifen ?!
es gab da bei t-online diverse Videos und Streams, ich konnte diese nicht öffnen.....Da blockiert irgendetwas in der Firewall.....ich denke wir sind hier mit ipv4 unterwegs....
Kann eigentlich nicht sein, denn die CBAC Firewall lässt alles durch was outbound geht.Vermutlich sind das Flash Filmchen und die werden von aktuellen Browsern (zu Recht) blockiert
Ausserdem habe ich immer noch den Eindruck dass einige Websiten sich nicht öffnen lassen....
Das sind dann MTU Probleme. Sollten aber mit der MSS Konfig pro Netzwerk weg sein !Mach dazu einem Ping Test indem du mit -l die MTU zyklisch erhöst:
http://www.tippscout.de/windows-7-mtu-optimieren-download-abgebrochen_t ...
Vielleicht hat Mnet auch nur schlechte Peering Anbindungen in diese Zielnetze. Traceroute ist hier dein Freund oder pingplotter: http://www.pingplotter.com