Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco 886VA, Gigaset C610-IP: ausgehende Telefonate nicht möglich

Mitglied: core01

core01 (Level 1) - Jetzt verbinden

22.12.2013, aktualisiert 10.01.2014, 7491 Aufrufe, 15 Kommentare

Hallo Community,

ich habe einige Probleme, ein Siemens Gigaset C610 IP über den Cisco zum Laufen zu bringen, vielleicht kann mir ja jemand von euch weiterhelfen.

Folgender Aufbau ist vorhanden:

[T-Com VDSL 50 (über ISDN) mit VoIP]
|
[Cisco 886VA] -- Fe0, Fe1: [Cisco WAP321] (2x)
|
Fe2: [Siemens Gigaset C610 IP] -(...)- [DECT Mobilteil] (3x)

Der Router hat aktuell folgende Konfiguration [3]. Die ursprüngliche Konfiguration lehnt sich sehr an den hier vorhandenen Tutorial-Beitrag [2] an, die Access-List 102 habe ich momentan für die Fehlersuche derart reduziert.

Zum Problem:
Es ist problemlos möglich, die auf den drei Mobilteilen jeweils konfigurierten VoIP-Nummern von intern und extern anzurufen (eingehend).
Versuche ich jedoch, mit diesen nach extern (ausgehend) zu telefonieren, kommt eine Sprachansage (vermutlich von der Gigaset-Basis), dass ein Verbindungsaufbau derzeit nicht möglich ist.

Ich vermute, dass entweder eine Firewall-Regel, oder eine fehlende Routing-Regel [1] dafür verantwortlich sind, habe aber momentan keine Idee was hier noch fehlt.

Hat jemand eine Idee??

Vielen Dank und beste Grüße
core

[1] http://hilfe.telekom.de/hsp/cms/content/HSP/de/3378/faq-350884716
[2] https://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
[3] Router-Konfiguration:

01.
version 15.1
02.
no service pad
03.
service tcp-keepalives-in
04.
service tcp-keepalives-out
05.
service timestamps debug datetime msec localtime show-timezone
06.
service timestamps log datetime msec localtime show-timezone
07.
service password-encryption
08.
!
09.
hostname XXXXXXXXXXXXXXXXXXXX
10.
!
11.
boot-start-marker
12.
boot-end-marker
13.
!
14.
!
15.
security authentication failure rate 3 log
16.
security passwords min-length 6
17.
logging buffered 20480000
18.
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
19.
enable password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
20.
!
21.
no aaa new-model
22.
no process cpu extended history
23.
no process cpu autoprofile hog
24.
memory-size iomem 10
25.
clock timezone CET 1 0
26.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
27.
crypto pki token default removal timeout 0
28.
!
29.
!
30.
no ip source-route
31.
no ip gratuitous-arps
32.
ip auth-proxy max-login-attempts 5
33.
ip admission max-login-attempts 5
34.
!
35.
!
36.
!
37.
ip dhcp excluded-address 192.168.100.1 192.168.100.99
38.
ip dhcp ping packets 3
39.
ip dhcp ping timeout 100
40.
!
41.
ip dhcp pool local
42.
 network 192.168.100.0 255.255.255.0
43.
 default-router 192.168.100.1
44.
 dns-server 192.168.100.1
45.
 domain-name XXXXXXXXXXXXXXXXXXXX.local
46.
!
47.
ip dhcp pool wap1
48.
 host 192.168.100.11 255.255.255.0
49.
 client-identifier 01XX.XXXX.XXXX.XX
50.
 default-router 192.168.100.1
51.
 dns-server 192.168.100.1
52.
 client-name wap1
53.
 domain-name XXXXXXXXXXXXXXXXXXXX.local
54.
!
55.
ip dhcp pool wap2
56.
 host 192.168.100.12 255.255.255.0
57.
 client-identifier 01XX.XXXX.XXXX.XX
58.
 default-router 192.168.100.1
59.
 dns-server 192.168.100.1
60.
 client-name wap2
61.
 domain-name XXXXXXXXXXXXXXXXXXXX.local
62.
!
63.
ip dhcp pool dect1
64.
 host 192.168.100.21 255.255.255.0
65.
 hardware-address XXXX.XXXX.XXXX
66.
 default-router 192.168.100.1
67.
 dns-server 192.168.100.1
68.
 client-name dect1
69.
 domain-name XXXXXXXXXXXXXXXXXXXX.local
70.
!
71.
!
72.
ip cef
73.
no ip bootp server
74.
ip domain name XXXXXXXXXXXXXXXXXXXX.local
75.
ip multicast-routing
76.
ip inspect name Firewall tcp router-traffic
77.
ip inspect name Firewall udp
78.
ip ddns update method dyndns
79.
 HTTP
80.
  add http://XXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXX@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
81.
 interval maximum 1 0 0 0
82.
!
83.
no ipv6 cef
84.
!
85.
!
86.
license udi pid CISCO886VA-K9 sn XXXXXXXXXXXXXXXXXXXX
87.
!
88.
!
89.
username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
90.
!
91.
!
92.
!
93.
!
94.
controller VDSL 0
95.
 description DTAG VDSL 50 Leitung
96.
!
97.
ip ssh version 2
98.
!
99.
!
100.
!
101.
bridge irb
102.
!
103.
!
104.
!
105.
!
106.
interface Ethernet0
107.
 description VDSL Physical Interface
108.
 no ip address
109.
 no ip route-cache
110.
!
111.
interface Ethernet0.7
112.
 description VDSL Daten Verbindung
113.
 encapsulation dot1Q 7
114.
 no ip route-cache
115.
 pppoe-client dial-pool-number 1
116.
!
117.
interface BRI0
118.
 no ip address
119.
 encapsulation hdlc
120.
 shutdown
121.
 isdn termination multidrop
122.
!
123.
interface ATM0
124.
 no ip address
125.
 shutdown
126.
 no atm ilmi-keepalive
127.
!
128.
interface FastEthernet0
129.
 description Uplink wap1
130.
 no ip address
131.
 spanning-tree portfast
132.
!
133.
interface FastEthernet1
134.
 description Uplink wap2
135.
 no ip address
136.
 spanning-tree portfast
137.
!
138.
interface FastEthernet2
139.
 no ip address
140.
 spanning-tree portfast
141.
!
142.
interface FastEthernet3
143.
 no ip address
144.
 spanning-tree portfast
145.
!
146.
interface Vlan1
147.
 description Lokales Netzwerk
148.
 no ip address
149.
 bridge-group 1
150.
 bridge-group 1 spanning-disabled
151.
!
152.
interface Dialer0
153.
 description DSL Einwahl Interface
154.
 ip ddns update hostname XXXXXXXXXXXXXXXXXXXX.dyn.XXXXXXXXXXXXXXXXXXXX.net
155.
 ip ddns update dyndns
156.
 ip address negotiated
157.
 ip access-group 102 in
158.
 no ip redirects
159.
 no ip unreachables
160.
 no ip proxy-arp
161.
 ip mtu 1492
162.
 ip nat outside
163.
 ip inspect Firewall out
164.
 ip virtual-reassembly in
165.
 encapsulation ppp
166.
 dialer pool 1
167.
 dialer-group 1
168.
 no keepalive
169.
 ppp authentication pap callin
170.
 ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@t-online.de password 7 XXXXXXXXXXXXXXXXXXXX
171.
 ppp ipcp dns request
172.
 ppp ipcp mask request
173.
 ppp ipcp route default
174.
!
175.
interface BVI1
176.
 description Lokales Netzwerk
177.
 ip address 192.168.100.1 255.255.255.0
178.
 ip nat inside
179.
 ip virtual-reassembly in
180.
 ip tcp adjust-mss 1452
181.
!
182.
no ip forward-protocol nd
183.
no ip http server
184.
no ip http secure-server
185.
!
186.
ip dns server
187.
ip nat inside source list 101 interface Dialer0 overload
188.
ip route 0.0.0.0 0.0.0.0 Dialer0
189.
!
190.
ip access-list log-update threshold 1
191.
access-list 1 permit any
192.
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
193.
access-list 102 permit ip any any log
194.
access-list 105 permit tcp any any eq 22
195.
dialer-list 1 protocol ip list 101
196.
no cdp run
197.
!
198.
!
199.
!
200.
!
201.
bridge 1 protocol ieee
202.
bridge 1 route ip
203.
!
204.
line con 0
205.
 exec-timeout 5 0
206.
 login local
207.
line aux 0
208.
line vty 0 4
209.
 access-class 105 in
210.
 exec-timeout 30 0
211.
 privilege level 15
212.
 login local
213.
 transport preferred ssh
214.
 transport input ssh
215.
!
216.
end
Mitglied: aqui
23.12.2013, aktualisiert um 11:46 Uhr
Bitte lasse den Unsinn mit externen Sites hier im Forum. In den FaQs steht wie du Konfigs über die (code) Tags hier problemlos in deinen Thread einbetten kannst ohne externe Sites mit Zwangswerbung !
Zurück zum Thema….

Vergleiche deine Konfig mit diesem Tutorial hier:
https://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...

Damit funktioniert VoIP zu diversen SIP Providern (T-Com, Sipgate) fehlerlos. Eine entsprechende Konfig sollte auch dein Problem im Handumdrehen lösen.
Tip: Die IP Konfig (vlan 1) deines lokalen LANs ist gelinge gesagt ungewähnlich. vlan1 ist das lokale IP Interface und das BVI Interface dient lediglich dazu den internen AP zu bridgen. Das solltest du ggf. umstellen.
Routing Regel ist ebenso Blödsinn, denn mit nur einem Internet Zugang hast du ja nur eine einzige Route zu deinem Provider. Ist wie immer hier die Firewall Regel oder die CBAC Konfig sofern du das überhaupt konfiguriert hast (was du aber solltest !) ACL 102 ist eher eine weihnachtliche Einladung zum Hacken. Damit machst du den Router offen wie ein Scheunentor. OK zum VoIP Testen temporär mag das OK sein für einen Produktivtraffic später aber nicht.
Wenn alle Stricke reissen schmeiss die Debugger Funktion an und checke WAS ggf. die VoIP Pakete blockt in der Konfig.
Bitte warten ..
Mitglied: core01
23.12.2013, aktualisiert um 15:16 Uhr
Hi,

zunächst sorry für das Auslagern der Config, inzwischen hab ich es in den Beitrag hinzu editiert.
(hatte das für übersichtlicher gehalten)

Zu dem BVI hab' ich mich nach dem Tipp noch mal informiert - und da ich das Modell ohne WLAN habe, dann auch entfernt, sowie mein Vlan1 angepasst:
01.
no interface BVI1
02.

03.
no bridge 1 protocol ieee
04.
no bridge 1 route ip 
05.
no bridge irb
06.

07.
interface Vlan1 
08.

09.
 no bridge-group 1
10.
 no bridge-group 1 spanning-disabled 
11.

12.
 ip address 192.168.100.1 255.255.255.0 
13.
 ip nat inside 
14.
 ip tcp adjust-mss 1452
Damit sehen die entsprechenden Abschnitte nun wie folgt aus:
01.
[...]
02.
!
03.
ip cef
04.
no ip bootp server
05.
ip domain name XXXXXXXXXXXXXXXXXXXXXX.local
06.
ip multicast-routing
07.
ip inspect name Firewall tcp router-traffic
08.
ip inspect name Firewall udp
09.
ip ddns update method dyndns
10.
 HTTP
11.
  add http://XXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXX@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
12.
 interval maximum 1 0 0 0
13.
!
14.
[...]
15.
!
16.
interface Vlan1
17.
 description Lokales Netzwerk
18.
 ip address 192.168.100.1 255.255.255.0
19.
 ip nat inside
20.
 ip virtual-reassembly in
21.
 ip tcp adjust-mss 1452
22.
!
23.
[...]
24.
!
25.
ip access-list log-update threshold 1
26.
access-list 1 permit any
27.
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
28.
access-list 102 permit ip any any log
29.
access-list 105 permit tcp any any eq 22
30.
dialer-list 1 protocol ip list 101
31.
no cdp run
32.
!
33.
[...]
Zwischenzeitlich habe ich auch noch einige Stunden mit der Telekom telefoniert, dort weiß man zwar "Es liegen Auffälligkeiten bei der Rufnummernkonfiguration vor." (soll wohl so dort angezeigt werden), Details könne man aber nicht einsehen. Am Problem selbst hat sich nichts geändert. Mit dem Gigaset-Support durfte ich auch telefonieren, laut ihnen ist meine Einstellung (der VoIP-Basis) aber richtig, und ich solle mich an die Telekom wenden ...

Kurzzeitig habe ich auch mal ebenso noch die ACL 101 auf "permit ip any any" gesetzt, das brachte aber ebenso keinen Erfolg.
Bitte warten ..
Mitglied: aqui
24.12.2013, aktualisiert um 12:07 Uhr
Mmmhhh ist schon komisch… Die ACL 101 kann es niemals sein, denn die bestimmt ja nur den outgoing Traffic und du sagst ja selber es sind ausschliesslich eingehende Calls, also wenn die Gigasets angerufen werden von extern.
D.h. eine SIP und RTP Session die von außen eingeht.
In der Beziehung kann es also nur einzig die ACL 102 sein, die eingehende SIP bzw. RTP Calls blockt. Allerdings hast du mit "ip any any" hier ja auch das Scheunentor voll aufgemacht, d.h. alles darf rein bei dir also auch SIP Calls des Provider Gateways. Du solltest also drauf achten das SIP (Port 5060 und 5061) durchkommen kann auf die lokale IP des Gigasets.
CBAC erlaubt allerdings nur eingehende Sessions wenn auch eine ausgehende existiert. Ggf. soltest du testweise mal CBAC deaktivieren oder das ACL Debugging einschalten um zu sehen WAS hängenbleibt.
Du solltest also deshalb testweise vom Dialer Interface mal die ACL 102 ganz weg nehmen und auch die Firewall Funktion (ip inspect) und dann nochmal die VoIP Funktion testen.
Nochwas… Das permit logging der ACL 102 ist unsinnig, denn damit wird dir jeder einzelne eingehende Call ins Log geschrieben. Das bewirkt zusätzliche CPU Last die unsinnig und überflüssig ist. Das "log" Statement bei der ACL 102 solltest du also besser wehlassen.
Du kannst immer diese ACL debuggen mit dem debug xyz Kommando was sinnvoller ist ( u all am Schluss dann aber nicht vergessen !)
Bitte warten ..
Mitglied: aqui
30.12.2013, aktualisiert um 13:09 Uhr
Gibt es einen aktuellen Status zu deinem Problem und hast du es lösen können ??
Wenn ja wäre ein entspr. Feedback hier mal ganz hilfreich für die Forums Community hier !!
Was du noch testen kannst (sofern noch nicht gelöst ?!) ist die CBAC Inspection anders zu konfigurieren:
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp


Ansonsten bitte
https://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: core01
30.12.2013 um 13:22 Uhr
Ich bin leider noch nicht zum ausprobieren gekommen - da ich gerade auf dem 30c3 in Hamburg bin.
Zum ebenfalls probieren hab ich auch noch ein direktes Forwarden der Ports per Config [1] gefunden, so als last-chance...

Viele Grüße,
core

[1] http://www.ifm.net.nz/cookbooks/nat.html
Bitte warten ..
Mitglied: aqui
30.12.2013, aktualisiert um 16:32 Uhr
Ist eigentlich unerheblich für dich denn mit deiner ACL 102 erlaubst du ja eh alles an eingehenden Verbindungen am Internet Port (Dialer) !!
access-list 102 permit ip any any log

Das hat den gleichen Effekt als wenn du mit no access-list 102 permit ip any any log diese ACL vom Dialer Interface vollkommen entfernen würdest, das erlaubt dann auch alles.

Eigentlich müsste das eine "deny"" Liste sein für korrekt konfiguriertes CBAC also müsste sie korrektermassen so lauten:
access-list 102 permit icmp any any administratively-prohibited
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any packet-too-big
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit udp any eq domain any
access-list 102 permit tcp any eq domain any
access-list 102 permit tcp any eq 5060
access-list 102 permit gre any any
access-list 102 deny ip any any log

Das o.a. greift also für dich bzw. deinen ACL 102 so nicht.
OK warten wir mal den Kongress ab und deine weiteren Tests
Bitte warten ..
Mitglied: core01
30.12.2013 um 18:10 Uhr
(ohne bisheriges Ausprobieren oder näheres Recherchieren) als Überlegung aber:

Die ACLs erlauben zwar den In-/Outbound Traffic. Woher weiß nun aber Inbound SIP Traffic, dass er innerhalb des Local LAN an das Device x.x.x.21 gehen soll?

Andererseits:
Die Probleme liegen ja nur bei Outbound Calls, eingehende Anrufe funktionieren ja...
Könnte aber maybe auch einfach nur bedeuten, dass STUN funktioniert?
Bitte warten ..
Mitglied: aqui
LÖSUNG 31.12.2013, aktualisiert 10.01.2014
Deshalb das oben erwähnte "inspect sip und rtsp" in der CBAC Firewall, denn das eröffnet intelligent alle benötigsten Ports. SIP nutzt dynamische Antwort Ports bzw. STUN Ports die dann auch geöffnet werden.
Vermutlich wird das dann dein Problem fixen...?! Wäre sehr interessant, denn das könnte man dann noch als Ergänzung in das o.a. 886va Tutorial aufnehmen für VoIP Anlagen die hinter der NAT Firewall betrieben werden.
Bitte warten ..
Mitglied: core01
07.01.2014, aktualisiert 10.01.2014
Hey,

ich bin nun endlich zum Testen gekommen.
Leider aber ohne das erhoffte Ergebnis, die beiden zusätzlichen Inspect-Anweisungen haben sich nicht ausgewirkt.

Cisco [1] schreibt in seiner Doku was zur SIP Firewall, das "ip inspect ..." kann ich jedoch nicht mehr auf ein einzelnes Interface legen (command unknown).

[1] http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_protocol_cbac_fw/c ...


Den Logging-Level für inzwischen so ziemlich alles angeschaltet, sieht es aktuell so aus:
- Telefon wurde vom Netz getrennt und wieder verbunden (erster Absatz)
- mehrere Versuche für einen Outbound Call

01.
Log Buffer (8192 bytes):
02.
192.168.100.21, src_port:60281, dst_tableid:0, dst_addr:176.9.12.26, dst_port:80
03.
Jan  7 22:55:25.032 CET: FIREWALL: Finding pregen session for src_tableid:0, src_addr:192.168.100.21, src_port:60281, dst_tableid:0, dst_addr:176.9.12.26, dst_port:80
04.
... Edit (10. Jan.): der Übersicht halber entfernt, hat mit Lösung nichts zu tun ...
05.
Jan  7 23:01:50.349 CET: FIREWALL sent a TCP pkt (192.168.100.122:53970) tcp flag:0x4 -> 173.194.35.161:80 seq 2892824903 ack 0 wnd 662, Vlan1
06.
Jan  7 23:01:50.401 CET: FIREWALL: Finding pregen session for src_tableid:0, src_addr:192.168.100.11, src_port:4554, dst_tableid:0, dst_addr:192.168.100.255, dst_port:4554

Viele Grüße
core
Bitte warten ..
Mitglied: core01
10.01.2014, aktualisiert um 05:13 Uhr
Ich habe es nun endlich lösen können (sogar ohne Telekom...):

Mit der Firmware 15.1 (M4) ist es nicht möglich gewesen, ausgehende VoIP-Calls aufzubauen, zumindest an einem V-DSL 50/10 MBit Anschluss.
(außerdem lag die max. Datenrate bei 8.3/2.7 MBit)

Nach einem Upgrade auf die Version 15.4 (T) läuft alles einwandfrei, die Transferrate liegt bei 44/8.5 MBit, und VoIP-Calls laufen in alle Richtungen so wie es von Anfang an hätte sein sollen...

Lösung also für alle Telekom-Kunden:
Nutzt die Firmware >= 15.4

PS an dieser Stelle, die zum Download angebotene Modem-Firmware ist in der dort aktuellsten Version ÄLTER als die System-Firmware 15.4 - und funktioniert (zumindest bei der Telekom am o.g. Anschluss) NICHT! Hier also bei der embedded Firmware bleiben.

Auch an dich, aqui, noch mal vielen Dank - ob es auch ohne die ip inspect gehen würde hab ich nun mal nicht mehr getestet, allein da auch die dadurch ausführlicheren Log/Debug Meldungen in meinem Szenario doch ganz praktisch sind.


Viele Grüße
ein total genervter core
Bitte warten ..
Mitglied: aqui
10.01.2014, aktualisiert um 10:48 Uhr
Tip für dich noch:
Wenn du die Firewall mit CBAC aktiv hast kannst du auch SIP Inspection einschalten was die SIP Connections sicherer macht.
Das wird nicht wie du fälschlicherweise annimmst per Interface sondern logischerweise global gemacht, da es ja für die Firewall gilt !

Dazu muss aber eine entprechende Inbound ACL für den SIP Port UDP 5060 offen sein sonst funktioniert die SIP Inspection nicht !
Gemäß der im Cisco_886vaw_Tutorial vorgestellten Konfig musst du diese geingfügig anpassen:
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any (log)


Damit rennt dann auch sichere SIP Inspection ! Getestet hier mit der IOS Version 15.3.3(M) das ist das Stable Release.
Was interessant ist: Kommen Incoming SIP Call generiert der Router eine Log Message:
IPNAT SIP SDP: Trying to parse unsupported attribute at media level
Es funktioniert aber alles fehlerfrei. Siehst du mit deiner 15.4(T) diese Message auch ?? ("show logg" zeigt sie, mit "clear logg" kannst du das Log ggf. löschen)
Kurze Frage noch: Nutzt du einen Telekom VDSL Vollanschluss (Call and Surf) für den SIP bzw. Telefonie Zugang mit dem Cisco ?
Bitte warten ..
Mitglied: core01
10.01.2014, aktualisiert um 13:00 Uhr
Hi,

die sip-Regel habe ich bereits drin - deine genannte Log-Meldung kommt bei mir allerdings nicht.

Der Anschluss ist, soweit ich weiß, ein Telekom VDSL Call & Surf Comfort (OHNE Entertain) 50 MBit und ohne Speed-Option (also 10 MBit Upload), sowie kein Fastlink.
(mit dynamischer IP, und kein Business-Kunden-Zugang)

Anbei (auch für alle, die hier später wie ich über Google landen...) meine aktuelle, funktionierende (!) Konfiguration:
(Hinweis: die ACL 111 aus dem Tutorial ist bei mir die 102)

Wobei die Access-Listen nun, wo man auch endlich ordentlich testen kann, dann noch nähere Pflege erfahren werden.

01.
version 15.4
02.
no service pad
03.
service tcp-keepalives-in
04.
service tcp-keepalives-out
05.
service timestamps debug datetime msec localtime show-timezone
06.
service timestamps log datetime msec localtime show-timezone
07.
service password-encryption
08.
!
09.
hostname XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
10.
!
11.
boot-start-marker
12.
boot system flash:c880data-universalk9-mz.154-1.T.bin
13.
boot-end-marker
14.
!
15.
!
16.
security authentication failure rate 3 log
17.
security passwords min-length 6
18.
logging userinfo
19.
logging buffered 8192
20.
no logging console
21.
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
22.
enable password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
23.
!
24.
no aaa new-model
25.
no process cpu extended history
26.
no process cpu autoprofile hog
27.
memory-size iomem 10
28.
clock timezone CET 1 0
29.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
30.
!
31.
!
32.
no ip source-route
33.
no ip gratuitous-arps
34.
!
35.
!
36.
!
37.
ip dhcp excluded-address 192.168.100.1 192.168.100.99
38.
ip dhcp ping packets 3
39.
ip dhcp ping timeout 100
40.
!
41.
ip dhcp pool local
42.
 network 192.168.100.0 255.255.255.0
43.
 default-router 192.168.100.1
44.
 dns-server 192.168.100.1
45.
 domain-name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local
46.
!
47.
ip dhcp pool wap1
48.
 host 192.168.100.11 255.255.255.0
49.
 client-identifier 014c.4e35.5774.70
50.
 default-router 192.168.100.1
51.
 dns-server 192.168.100.1
52.
 client-name wap1
53.
 domain-name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local
54.
!
55.
ip dhcp pool wap2
56.
 host 192.168.100.12 255.255.255.0
57.
 client-identifier 014c.4e35.5774.b8
58.
 default-router 192.168.100.1
59.
 dns-server 192.168.100.1
60.
 client-name wap2
61.
 domain-name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local
62.
!
63.
ip dhcp pool dect1
64.
 host 192.168.100.21 255.255.255.0
65.
 hardware-address 7c2f.806b.845e
66.
 default-router 192.168.100.1
67.
 dns-server 192.168.100.1
68.
 client-name dect1
69.
 domain-name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local
70.
!
71.
!
72.
!
73.
no ip bootp server
74.
ip domain name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local
75.
ip multicast-routing
76.
ip inspect name Firewall tcp router-traffic
77.
ip inspect name Firewall udp
78.
ip inspect name Firewall sip
79.
ip inspect name Firewall rtsp
80.
ip inspect name Firewall ftp
81.
ip inspect name Firewall icmp
82.
ip inspect name Firewall pptp
83.
ip ddns update method dyndns
84.
 HTTP
85.
  add http://XXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXX@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
86.
 interval maximum 1 0 0 0
87.
!
88.
ip cef
89.
login block-for 120 attempts 3 within 60
90.
login delay 1
91.
login on-failure log
92.
login on-success log
93.
no ipv6 cef
94.
!
95.
!
96.
vpdn enable
97.
!
98.
vpdn-group 1
99.
 ! Default PPTP VPDN group
100.
 description Default PPTP VPDN group
101.
 accept-dialin
102.
  protocol pptp
103.
  virtual-template 1
104.
!
105.
license udi pid CISCO886VA-K9 sn XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
106.
!
107.
!
108.
username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
109.
username remote password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
110.
!
111.
!
112.
!
113.
!
114.
!
115.
controller VDSL 0
116.
 description DTAG VDSL 50 Leitung
117.
no cdp run
118.
!
119.
ip ssh version 2
120.
!
121.
!
122.
!
123.
!
124.
!
125.
!
126.
!
127.
!
128.
!
129.
!
130.
interface Ethernet0
131.
 description VDSL Physical Interface
132.
 no ip address
133.
 no ip route-cache
134.
!
135.
interface Ethernet0.7
136.
 description VDSL Daten Verbindung
137.
 encapsulation dot1Q 7
138.
 no ip route-cache
139.
 pppoe enable group global
140.
 pppoe-client dial-pool-number 1
141.
!
142.
interface BRI0
143.
 no ip address
144.
 encapsulation hdlc
145.
 shutdown
146.
 isdn termination multidrop
147.
!
148.
interface ATM0
149.
 no ip address
150.
 shutdown
151.
 no atm ilmi-keepalive
152.
!
153.
interface FastEthernet0
154.
 description Uplink wap1
155.
 no ip address
156.
 spanning-tree portfast
157.
!
158.
interface FastEthernet1
159.
 description Uplink wap2
160.
 no ip address
161.
 spanning-tree portfast
162.
!
163.
interface FastEthernet2
164.
 description Uplink dect1
165.
 no ip address
166.
 spanning-tree portfast
167.
!
168.
interface FastEthernet3
169.
 no ip address
170.
 shutdown
171.
 spanning-tree portfast
172.
!
173.
interface Virtual-Template1
174.
 description PPTP Einwahl Interface fuer VPN Zugang
175.
 ip unnumbered Vlan1
176.
 peer default ip address pool pptp_dialin
177.
 no keepalive
178.
 ppp encrypt mppe 128 required
179.
 ppp authentication ms-chap-v2
180.
!
181.
interface Vlan1
182.
 description Lokales Netzwerk
183.
 ip address 192.168.100.1 255.255.255.0
184.
 ip nat inside
185.
 ip virtual-reassembly in
186.
 ip tcp adjust-mss 1452
187.
!
188.
interface Dialer0
189.
 description DSL Einwahl Interface
190.
 ip ddns update hostname XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.dyn.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.net
191.
 ip ddns update dyndns
192.
 ip address negotiated
193.
 ip access-group 102 in
194.
 no ip redirects
195.
 no ip unreachables
196.
 no ip proxy-arp
197.
 ip mtu 1492
198.
 ip nat outside
199.
 ip inspect Firewall out
200.
 ip virtual-reassembly in
201.
 encapsulation ppp
202.
 dialer pool 1
203.
 dialer-group 1
204.
 no keepalive
205.
 ppp authentication pap callin
206.
 ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@t-online.de password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
207.
 ppp ipcp dns request
208.
 ppp ipcp mask request
209.
 ppp ipcp route default
210.
!
211.
ip local pool pptp_dialin 192.168.100.80 192.168.100.99
212.
no ip forward-protocol nd
213.
no ip http server
214.
no ip http secure-server
215.
!
216.
ip dns server
217.
ip nat log translations syslog
218.
ip nat inside source list 101 interface Dialer0 overload
219.
ip route 0.0.0.0 0.0.0.0 Dialer0
220.
!
221.
!
222.
ip access-list log-update threshold 1
223.
dialer-list 1 protocol ip list 101
224.
!
225.
access-list 1 permit any
226.
access-list 101 remark Traffic allowed to access the Internet from inside the network
227.
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
228.
access-list 102 remark Traffic allowed to enter the router from the Internet
229.
access-list 102 permit gre any any
230.
access-list 102 permit ip any any
231.
access-list 105 remark Traffic allowed to access the router management CLI
232.
access-list 105 permit tcp any any eq 22
233.
!
234.
!
235.
line con 0
236.
 exec-timeout 5 0
237.
 login local
238.
 no modem enable
239.
line aux 0
240.
line vty 0 4
241.
 access-class 105 in
242.
 exec-timeout 30 0
243.
 privilege level 15
244.
 login local
245.
 transport preferred ssh
246.
 transport input ssh
247.
!
248.
ntp server ptbtime1.ptb.de
249.
ntp server ptbtime2.ptb.de
250.
ntp server ptbtime3.ptb.de
251.
!
252.
end
Viele Grüße
core
Bitte warten ..
Mitglied: aqui
10.01.2014, aktualisiert um 13:27 Uhr
Danke fürs Feedback ! Kleine Anmerkung zu deiner ACL 102 die, mit Verlaub gesagt, eigentlich totaler Blödsinn ist, sorry !! Warum....?
  • Eine Accessliste wird der Reihe nach abgearbeitet vom Router dabei gilt immer "First Match wins" ! Reihenfolge in der ACL ist also sehr wichtig !
Was deine ACL 102 macht ist folgendes:
  • Eingehende externe Verbindungen ohne interne NAT Session ID fürs IP Protokoll 47 GRE (Teil von PPTP) erlauben
  • Alle irgendwie gearteten eingehenden externen Verbindungen ohne interne NAT Session ID generell erlauben.

Du merkst sicher selber wie unsinnig diese Regel ist, denn warum erlaubst du speziell GRE wenn du so oder so generell danach alles IP artige erlaubst ?! Das ist unsinnig.
Die Firewall ist eine CBAC Firewall wenn du Inspection nutzt. D.h. eine inbound ACL sollte ALLES verbieten um den Router nicht angreifbar zu machen.
Die Cisco Firewall sorgt dann dafür das alles was in der Inspection definiert wird dynamsich die ACL öffnet wenn interne Sessions nach extern gehen.
D.h. die Firewall macht also nur das temporär auf was intern auch gebraucht wird. Genau deshalb auch am Ende der WAN Port ACL immer ein deny any any.
Deine derzeitige ACL 102 öffnet den Router generell weit wie ein Scheunentor !!!
Mach den ct' Angriffstest und der sollte dir die Augen öffnen:
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Deine ACL ist also vollkommen überflüssig am Dialer Port denn sie erlaubt eh alles. Das gleiche erreichst du auch wenn du die ACL gleich ganz weglässt !
Die korrekte ACL hat folgende Statements:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
Das erlaubt eingehende ICMP Steuerpakete die für den IP Paketflow wichtig sind. Ansonsten würden diese ICMPs geblockt werden da sie einen anderen Type entsprechen als die Types echo und echo request (Ping)
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
Erlaubt vom Router initierte DNS Requests (denk dran der Router ist DNS Proxy hier !), denn alles was vom Router bzw. dessen IP "direkt" kommt, unterliegt nicht dem Inspection Prozess und der dynamischen Firewall !
Würdest du dann DNS Requests vom Router senden (was er tut da er Proxy ist), würde die Firewall die Antworten vom DNS Server blocken, da die dynamische ACL Öffnung (CBAC) nur von inbound gerouteten Sessions aus dem lokalen LAN getriggert wird ! DNS nutzt TCP und UDP
access-list 111 permit udp any eq 5060 any
Erlaubt eingehende SIP Calls wenn dein hinter dem NAT gelegenes VoIP Gerät angerufen wird ohne bestehende SIP outbound Session.
access-list 111 permit gre any any
Erlaubt von außen eingehende PPTP VPN Sessions
access-list 111 deny ip any any (log)
DAS ist hier das wichtigste Stament, denn es BLOCKT ALLES was sonst noch von außen rein will auf dein Router oder lokales LAN ! Das ist ja der tiefere Sinn einer Firewall. Das optional "log" Stament würde noch alle Angreifer mitloggen die versuchen im Router einzubrechen oder versuchen aufs lokale LAN zuzugreifen.
Solltest du spaßeshalber mal für einen Tag aktivieren damit du mal siehst was so einprasselt auf den Router...und nicht nur deinen !!
Fazit: Dein Router ist vollkommen offen so mit deiner ACL 102 zum Internet ! Das solltest du besser ganz schnell fixen !!

Bei NTP (Time Protokoll) müsstes du auf deinem Router auch noch "access-list 111 permit udp any eq ntp any" konfigurieren sonst bleiben auch NTP Updates des Routers selber (clock) hängen.

Was noch offen ist an Fragen:
  • Nutzt du einen Telekom VDSL Vollanschluss (Call and Surf) für den SIP bzw. Telefonie Zugang mit dem Cisco ?
  • Siehst du wenn du die Firewall "richtig" konfigurierst ggf. auch die o.a. Log Message ?
Bitte warten ..
Mitglied: starbuck33
26.04.2014 um 19:12 Uhr
Hatte genau das gleiche Problem (IPNAT SIP SDP: Trying to parse unsupported attribute at media level) - außerdem wurde kein voice übertragen.

Das ganze hat sich mit einem einfachen 'no ip nat service sip udp port 5060' gelöst. Meldungen traten nicht mehr auf, voice wird übertragen, alles schön
Bitte warten ..
Mitglied: aqui
26.04.2014 um 22:34 Uhr
Super ! Danke für das Feedback.
Hier ist es so das die Log Meldung mit jedem Call auftritt. Voice funktioniert aber fehlerlos nur diese Messages die einem das Syslog vollmüllen nerven schon gewaltig...
Mal sehen...gleich mal testen ob ein no ip nat service sip udp port 5060 dem Spuk endlich ein Ende bereitet !
Bitte warten ..
Ähnliche Inhalte
TK-Netze & Geräte
Vectoring mit Cisco 886va
Frage von Windows10GegnerTK-Netze & Geräte15 Kommentare

Hallo, da mein Provider VDSL mit Vectoring anbietet, muss ich doch mal nachfragen, ob das mit dem Cisco 886va ...

Router & Routing
Cisco 886va Uhrzeit spinnt
gelöst Frage von Windows10GegnerRouter & Routing5 Kommentare

Hallo, irgendwie stimmt was mit der Zeit an meinem Router nicht. cisco886va#sh clock detail 17:35:31.068 CEST Sun Mar 25 ...

Router & Routing
Cisco Softwarevertrag Router 886VA
Frage von LinutroxRouter & Routing4 Kommentare

Hallo zusammen, ich bin Sicherheitstechniker, aber habe bei unserem letzten Videoprojekt die Möglichkeit bzw. die Aufgabe bekommen mich in ...

Router & Routing
Cisco 886VA - Route schlägt fehl
gelöst Frage von Bernhard-BRouter & Routing5 Kommentare

Hallo, ich möchte an einem VDSL Anschluss einen Cisco 886VA Router betreiben, anstatt wie bisher eine Fritzbox. Bei der ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 16 StundenViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 1 TagWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 2 TagenHumor (lol)4 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 2 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Leiser stromsparender Debian EXT4 NAS-Heimserver: ECC-RAM wie betreiben?
Frage von Laser12SAN, NAS, DAS26 Kommentare

Moin, aktuell stelle ich einen Rechner zusammen, den mein Computerhändler bauen wird. Nach Jahrzehnten mit Desktops und zwei Notebooks ...

Windows Server
Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet?
Frage von LochkartenstanzerWindows Server13 Kommentare

Moin Kollegen, Kurze Frage: Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet? Da ich i.d.R. nicht für die ...

Netzwerkgrundlagen
Proxmox auf dedicated Root Server mit nur einer IP nutzen
gelöst Frage von ndreier933Netzwerkgrundlagen12 Kommentare

Hallo Community, ich bin neu hier im Forum und weiß nicht ob ich das Thema richtg zugeordnet habe?Zusätzlich habe ...

Windows Server
Name einer neuen AD Gesamtstruktur ? immer .local?
gelöst Frage von Motte990Windows Server11 Kommentare

Hallo ihr Lieben Ich bin gerade dabei auf einem Windows Server 2019 Core oder Desktop eine neu Active Directory ...