Cisco 887VA Konfiguration für SIPGATE-Trunking
Hallo,
ich bin am verzweifeln mit einem Cisco 887 VA, da ich mithilfe vieler Anleitungen seit Tagen versuche einen SIP-Trunk an diesem zum laufen zu bekommen.
Mein Problem ist das ich relativ neu und unerfahren bin in der "CISCO-Welt", ich aber beruflich diesen Router oder einen besser geeigneten für VOIP und PPPoE benötige.
--> Meine Welt ist Mikrotik (Falls das jemand kennen sollte)/Alcatel-DSLAMS/HUAWEI.
Meine Frage daher: Kann mir jemand helfen diesen 887VA bei SIPGATE zu registrieren?/Bzw. mir sagen was ich falsch mache?
Anbei nun noch meine Running Config:
Building configuration...
Current configuration : 5340 bytes
!
! Last configuration change at 08:06:54 UTC Sun Jan 24 2016 by admin
!
version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname MK_887
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$yOHj$Xf9sbQAy60BhU3b3hvTv/.
!
no aaa new-model
memory-size iomem 10
clock timezone UTC 1 0
service-module wlan-ap 0 bootimage autonomous
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.66.1 192.168.66.200
!
ip dhcp pool 1
import all
network 192.168.66.0 255.255.255.0
dns-server 8.8.8.8 4.2.2.2
default-router 192.168.66.1
!
!
!
ip domain name sipconnect.sipgate.de
ip name-server 8.8.8.8
ip name-server 4.2.2.2
ip name-server 217.10.79.9
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"
password encryption aes
!
voice call send-alert
voice rtp send-recv
!
voice service voip
ip address trusted list
ipv4 0.0.0.0 0.0.0.0
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
supplementary-service h450.12
no supplementary-service sip moved-temporarily
no supplementary-service sip refer
sip
registrar server expires max 3600 min 3600
localhost dns:sipconnect.sipgate.de
sip-profiles 1000
!
voice class codec 1
codec preference 1 g711alaw
!
!
voice class sip-profiles 1000
request ANY sip-header From modify "(<.*(.*@)" "\111451103210@"
request REGISTER sip-header To modify "(<.*(.*@)" "\111451103210@"
request ANY sip-header From modify "(<.*(.*@)" "\2373198t0@"
request REGISTER sip-header To modify "(<.*(.*@)" "\2373198t0@"
!
!
!
!
!
!
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
!
!
username admin privilege 15 secret 5 $1$2VLP$pJEUicn7i6t.J2G9lmbfS0
!
!
!
!
!
controller VDSL 0
modem line 1
modem customDEAnnexB
modem DEfeature
!
controller Cellular 0
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0
description $ETH-WAN$
no ip address
no ip route-cache
shutdown
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Ethernet0.7
encapsulation dot1Q 7
no ip route-cache
shutdown
pppoe enable group global
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
switchport access vlan 10
no ip address
!
interface wlan-ap0
no ip address
arp timeout 0
!
interface Wlan-GigabitEthernet0
no ip address
!
interface Cellular0
no ip address
encapsulation ppp
dialer in-band
dialer string gsm
!
interface Vlan1
ip address 192.168.66.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan10
description WAN
no ip address
ip nat outside
ip virtual-reassembly in
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer0
description WAN Interface 1
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname ppp-test-100
ppp chap password 0 XXXXXXX
ppp pap sent-username ppp-test-100 password 0 XXXXXX
ppp ipcp dns request
ppp ipcp route default
ppp ipcp address accept
no cdp enable
!
interface Dialer1
no ip address
ip nat outside
ip virtual-reassembly in
shutdown
!
ip forward-protocol nd
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list 199 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip ssh version 2
!
!
access-list 199 permit ip any any
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
dial-peer voice 1 voip
description CCA*Deutschland*Immer
translation-profile outgoing PSTN_Outgoing
preference 1
service session
destination-pattern 0[0-9]T
session protocol sipv2
session target dns:sipconnect.sipgate.de
incoming called-number T
voice-class codec 1
voice-class sip dtmf-relay force rtp-nte
dtmf-relay rtp-nte
clid network-number 111451103210
no vad
!
!
sip-ua
credentials username 111451103210 password 7 0307530E031D32495C realm voip1.t-m-net.de
credentials username 2373198t0 password 7 0722285A595C090E2E270F1D12 realm sipconnect.sipgate.de
keepalive target dns:sipconnect.sipgate.de
authentication username 111451103210 password 7 121A0D1217191F0138 realm voip1.t-m-net.de
authentication username 2373198t0 password 7 0961471F0E5007193239003B3D
no remote-party-id
retry invite 5
retry register 10
timers connect 100
timers keepalive active 100
registrar dns:sipconnect.sipgate.de expires 600
sip-server dns:sipconnect.sipgate.de
connection-reuse
host-registrar
g729-annexb override
!
alias exec s show ip int br
alias exec sr show run
!
line con 0
logging synchronous
login local
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line 3
script dialer gsm
no exec
line vty 0 4
logging synchronous
login local
transport input telnet
!
ntp server 185.40.174.21
!
end
Vielen Dank schon mal.
ich bin am verzweifeln mit einem Cisco 887 VA, da ich mithilfe vieler Anleitungen seit Tagen versuche einen SIP-Trunk an diesem zum laufen zu bekommen.
Mein Problem ist das ich relativ neu und unerfahren bin in der "CISCO-Welt", ich aber beruflich diesen Router oder einen besser geeigneten für VOIP und PPPoE benötige.
--> Meine Welt ist Mikrotik (Falls das jemand kennen sollte)/Alcatel-DSLAMS/HUAWEI.
Meine Frage daher: Kann mir jemand helfen diesen 887VA bei SIPGATE zu registrieren?/Bzw. mir sagen was ich falsch mache?
Anbei nun noch meine Running Config:
Building configuration...
Current configuration : 5340 bytes
!
! Last configuration change at 08:06:54 UTC Sun Jan 24 2016 by admin
!
version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname MK_887
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$yOHj$Xf9sbQAy60BhU3b3hvTv/.
!
no aaa new-model
memory-size iomem 10
clock timezone UTC 1 0
service-module wlan-ap 0 bootimage autonomous
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.66.1 192.168.66.200
!
ip dhcp pool 1
import all
network 192.168.66.0 255.255.255.0
dns-server 8.8.8.8 4.2.2.2
default-router 192.168.66.1
!
!
!
ip domain name sipconnect.sipgate.de
ip name-server 8.8.8.8
ip name-server 4.2.2.2
ip name-server 217.10.79.9
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"
password encryption aes
!
voice call send-alert
voice rtp send-recv
!
voice service voip
ip address trusted list
ipv4 0.0.0.0 0.0.0.0
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
supplementary-service h450.12
no supplementary-service sip moved-temporarily
no supplementary-service sip refer
sip
registrar server expires max 3600 min 3600
localhost dns:sipconnect.sipgate.de
sip-profiles 1000
!
voice class codec 1
codec preference 1 g711alaw
!
!
voice class sip-profiles 1000
request ANY sip-header From modify "(<.*(.*@)" "\111451103210@"
request REGISTER sip-header To modify "(<.*(.*@)" "\111451103210@"
request ANY sip-header From modify "(<.*(.*@)" "\2373198t0@"
request REGISTER sip-header To modify "(<.*(.*@)" "\2373198t0@"
!
!
!
!
!
!
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
!
!
username admin privilege 15 secret 5 $1$2VLP$pJEUicn7i6t.J2G9lmbfS0
!
!
!
!
!
controller VDSL 0
modem line 1
modem customDEAnnexB
modem DEfeature
!
controller Cellular 0
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0
description $ETH-WAN$
no ip address
no ip route-cache
shutdown
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Ethernet0.7
encapsulation dot1Q 7
no ip route-cache
shutdown
pppoe enable group global
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
switchport access vlan 10
no ip address
!
interface wlan-ap0
no ip address
arp timeout 0
!
interface Wlan-GigabitEthernet0
no ip address
!
interface Cellular0
no ip address
encapsulation ppp
dialer in-band
dialer string gsm
!
interface Vlan1
ip address 192.168.66.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan10
description WAN
no ip address
ip nat outside
ip virtual-reassembly in
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer0
description WAN Interface 1
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname ppp-test-100
ppp chap password 0 XXXXXXX
ppp pap sent-username ppp-test-100 password 0 XXXXXX
ppp ipcp dns request
ppp ipcp route default
ppp ipcp address accept
no cdp enable
!
interface Dialer1
no ip address
ip nat outside
ip virtual-reassembly in
shutdown
!
ip forward-protocol nd
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list 199 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip ssh version 2
!
!
access-list 199 permit ip any any
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
dial-peer voice 1 voip
description CCA*Deutschland*Immer
translation-profile outgoing PSTN_Outgoing
preference 1
service session
destination-pattern 0[0-9]T
session protocol sipv2
session target dns:sipconnect.sipgate.de
incoming called-number T
voice-class codec 1
voice-class sip dtmf-relay force rtp-nte
dtmf-relay rtp-nte
clid network-number 111451103210
no vad
!
!
sip-ua
credentials username 111451103210 password 7 0307530E031D32495C realm voip1.t-m-net.de
credentials username 2373198t0 password 7 0722285A595C090E2E270F1D12 realm sipconnect.sipgate.de
keepalive target dns:sipconnect.sipgate.de
authentication username 111451103210 password 7 121A0D1217191F0138 realm voip1.t-m-net.de
authentication username 2373198t0 password 7 0961471F0E5007193239003B3D
no remote-party-id
retry invite 5
retry register 10
timers connect 100
timers keepalive active 100
registrar dns:sipconnect.sipgate.de expires 600
sip-server dns:sipconnect.sipgate.de
connection-reuse
host-registrar
g729-annexb override
!
alias exec s show ip int br
alias exec sr show run
!
line con 0
logging synchronous
login local
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line 3
script dialer gsm
no exec
line vty 0 4
logging synchronous
login local
transport input telnet
!
ntp server 185.40.174.21
!
end
Vielen Dank schon mal.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294088
Url: https://administrator.de/contentid/294088
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
56 Kommentare
Neuester Kommentar
Zuerst solltest du die Firewall für SIP und RTP aktivieren, dann ist auch das Application Gateway aktiv auf dem Router und steuert den SIP und RTP Zugriff dynamisch.
ip inspect name myfw sip
ip inspect name myfw rtsp
Du hast zudem diverse Fehler in deiner Konfiguration die aber nicht allzu gravierend sind.
Eine Beispielkonfig findest du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Grob ist das:
firmware filename flash:VA_A_39m_B_38h3_24h_o.bin
Damit entfällt dann das Customizen der Modem Kommandos und du kannst alles im Auto Mode belassen. Ist aber für dich erstmal als nur Mobilfunk User egal.
OK.das sind die wichtigstens Punkte !
Eine wichtige Kardinlasfrage ist noch zu klären: WAS bekommst du auf dem Mobilfunk für eine IP ? Ist das eine private RFC 1918 IP oder eine öffentliche IP ?
Das Kommando show ip int brief sagt dir das !
Deine ToDos:
Damit sollte dann erstmal SIP sicher auf das System kommen.
Um jetzt zielgerichtet weiterzukommen brauchen wir ein paar Debug Traces vom Router hier.
Schalte ein SIP Debugging ein und poste die Debug meldungen hier, damit wir sehen können warum die SIP Connection Requests an Sipgate nicht durchkommen.
ip inspect name myfw sip
ip inspect name myfw rtsp
Du hast zudem diverse Fehler in deiner Konfiguration die aber nicht allzu gravierend sind.
Eine Beispielkonfig findest du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Grob ist das:
- Kosmetisch: Sommerzeitumschlatung fürs Log fehlt: clock timezone CET 1 0 und clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
- Du solltest nie Google oder andere externe DNS konfigurieren sondenr immer die des Providers. Außerdem macht es Sinn den Router als DNS Proxy laufen zu lassen was auch fehlt. Dann kannst du lokal die Router IP als DNS verteilen. ip dns server
- Tip: Lad dir die aktuellste Modem Firmware runter und flashe die aufs Router Flash bzw. aktiviere sie mit
firmware filename flash:VA_A_39m_B_38h3_24h_o.bin
Damit entfällt dann das Customizen der Modem Kommandos und du kannst alles im Auto Mode belassen. Ist aber für dich erstmal als nur Mobilfunk User egal.
- ip domain name sipconnect.sipgate.de ist gefährlicher Unsinn, denn damit setzt du die Domain des Routers auf sipgate.de. Das bist du ja nicht ! Setz das also auf serial90.intern o.ä. (Lein .local denn das ist mDNS !)
- Gravierend: ip tcp adjust-mss 1452 gehört nicht auf das WAN bzw. Dialer Interface ! Dort steht nur die MTU ! Das MSS Adjustment gehört auf die lokalen Ethernet Interfaces !!! So oder so ist das Unsinn in deiner Konfig, denn so wie es aussieht machst du ja lediglich einen GSM Zugriff über Mobilfunk ins Internet !!! Die MTU und MSS Anpassung brauchst du nur ausschliesslich bei xDSL Encapsulation !!
OK.das sind die wichtigstens Punkte !
Eine wichtige Kardinlasfrage ist noch zu klären: WAS bekommst du auf dem Mobilfunk für eine IP ? Ist das eine private RFC 1918 IP oder eine öffentliche IP ?
Das Kommando show ip int brief sagt dir das !
Deine ToDos:
- Aktiviere die Firewall und das CBAC System (Content based access control) für SIP und RTP Protokoll. Wichtig access-list 100 permit udp any eq 5060 any Eintrag für SIP Zugang vom Provider. Außerdem
Damit sollte dann erstmal SIP sicher auf das System kommen.
Um jetzt zielgerichtet weiterzukommen brauchen wir ein paar Debug Traces vom Router hier.
Schalte ein SIP Debugging ein und poste die Debug meldungen hier, damit wir sehen können warum die SIP Connection Requests an Sipgate nicht durchkommen.
Nööö, gibt nichts zu beachten.
Allerdings 2 Dinge solltest du beherzigen:
Allerdings 2 Dinge solltest du beherzigen:
- Debug Messages kommen nur auf die Konsole. Wenn du statt 9k6 Seriell Konsolle per Telnet oder SSH drauf bist (z.B. PuTTY oder TeraTerm) dann musst du zwingend ein term mon eingeben damit du die Debug Messages siehst.
- Wenn du fertig bist vergiss ein u all nicht ! (undebug all) Sonst rennt dein Router immer im dritten Gang, denn Debug kostet Performance.
Allerdings kann ich mit den Geräten im lan nicht raus pingen ins WAN oder dns auflösen?
Was habe ich da falsch gemacht?
Das würdest du auch sofort sehen wenn du mal die Brille ausetzen würdest und genau hinsehen würdest. Dein Avatar hat ja auch die Brille auf !!! Was habe ich da falsch gemacht?
Du hast zwar die CBAC Accessliste 111 konfiguriert wendest sie auf deinem Dialer Interface bzw. outgoimng Interface nicht an !!
Also Glotzn uff und ip access-group 111 in da konfiguriert, dann klappt das auch !
Außerdem fehlt auch die Firewall Regel ip inspect myfw out. Hast du was geraucht nebenbei beim Abtippen ??
Wenn man dir schon alles abtippfertig auf dem Silbertablett serviert solltest du wenigstens genau hinsehen !
aber ich denke mal das der Cisco erstmal so sauber laufen sollte
Absolut richtig !Nun bräuchte ich noch eine SSH-Zugang über das WAN-interface
Nichts leichter als das....! access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 permit ssh any any <-- Hinzufügen
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input ssh <-- Ändern
!
Hinzufügen username admin password Geheim123
Domainnamen hinzufügen domain-name serial90.intern (Brauscht du im den SSL Schlüssel zu generieren.)
dann ein SSH Schlüssel erzeugen mit:
crypto key generate rsa
Fertisch...
Nein alles ist nicht gelöst.
Warum setzt du denn dann selber den Thread auf gelöst ? So also ich habe nun die o.g. Sachen eingefügt, habe aber immer noch keinen WAN-SSH Zugriff auf den Cisco?!
Hast du denn SSH Zugriff aus dem LAN ?? Nur mal um zu checken das SSH Zugriff generell klappt ?!Denk mal ein bischen nach und sehe doch mal auf deine Konfig !!
Das springt einem doch gleich ins Auge warum es nicht geht !!!
line vty 0 4
access-class 23 in
Das heisst für den remoten Zugriff greift die Access Liste 23 und was steht da drin ??
access-list 23 permit 192.168.66.0 0.0.0.255 !!
Zugriff auf den Router ist nur vom IP Netz 192.168.66.0 /24 möglich mit der Absender IP !!! Hat das dein remoter Client im Internet...siehste, nee !!
Die neue Brille war wohl nix...
Entferne die ACL vom vty Interface mit no... !! Dzzzz
Nochwas...
Das hier in deiner Konfig transport input telnet ssh ist für den remoten Zugriff über das Internet absolut tödlich !!
Warum ?? Damit lässt du Telnet zu, den unverschlüsselten Zugriff.
Wenn du das machst hast du sekündlich massive Port Spoofing Attacken, die du auch mit SSH hast. Überlege dir das also gut ob du unbedingt den remoten Zugriff über das Internet auf den Router öffnen willst.
Wenn du es nicht lassen kannst, dann änder das obige dringenst in:
transport input ssh
Damit ist dann nur noch SSH Zugriff möglich !
Besser und sicherer ist ein VPN Zugriff !!
Sieh dir das obige Cisco 880 Tutorial an, da findest du ein PPTP VPN Zugriff, der mit 5 Konfig Zeilen eingerichtet ist. PPTP Clients hat jedes OS und Smartphones an Bord.
Allemal besser als der direkte Zugriff. Zugleich hast du damit einen sicheren Zugriff auf dein lokales LAN und kannst von remote so arbeiten wie lokal...der tiefere Sinn von VPNs
ACL 111 permit udp any any setzen oder geht das auch noch besser?
Das wäre tödlich und damit der größte anzunehmende Blödsinn, denn damit hebelst du die Firewall aus indem du alles erlaubst. Vergiss das ganz schnell.Du musst hier nur die IPsec Komponenten zulassen.
UDP 500, UDP 4500 und ESP mehr NICHT !!
access-list 111 permit udp any any eq 500
access-list 111 permit udp any any eq 4500
access-list 111 permit esp any any
GRE kannst du entfernen, denn das war für PPTP was du ja jetzt nicht mehr machst.
Dann denke ich auch das der Cisco erst einmal sicher läuft und ich dann beginnen kann mit der SIP - Config?!
Ist richtig ! ..und danke für die Blumen P.S.: Neuer Avatar ?
Ich habe nun nach einer Anleitung aus dem Netz den VOICE Service aktiviert, aber es tut sich rein gar nichts:
Hast du den Debugger auf dem Router mal aktiviert und gecheckt ob du irgendwie gearteten Voice Traffic zum oder vom Router hast ?!Macht der Router eine SIP Connection auf auf deinen SIP Provider ?
behoben da fehlte ein ip domain lookup auf dem dialer 0.
Kann nicht sein, denn ein ip-domain lookup Kommando kann man nicht Interface spezifisch machen...wenn dann nur global aber egal. Wenns nun geht (jedenfalls mit dem Lookup) ist OK.Hast du mal gegoogelt was die Cisco Error Meldung: /SIP/Error/httpish_msg_free: genau bedeutet ?
Das ist ja der Knackpunkt wie es aussieht...
Gut möglich das der WAN Provider den du nutzt keine SIP Pakete forwardet oder den TTL Header entsprechend manipuliert mit seinen Routern das aus dem Funknetz was du ja als WAN nutzt kein SIP möglich ist.
Provider machen das häufig bei einfachen Accounts da sie sowa snur teuren Business Accounts vorbehalten oder wenn sie generell unterbinden wollen das VoIP Telefonie zu fremden (billigeren) Providern über deren Mobilfunk Datenports gemacht wird.
Das solltest du nochmal sicher abklären !
Provider machen das häufig bei einfachen Accounts da sie sowa snur teuren Business Accounts vorbehalten oder wenn sie generell unterbinden wollen das VoIP Telefonie zu fremden (billigeren) Providern über deren Mobilfunk Datenports gemacht wird.
Das solltest du nochmal sicher abklären !
Server einen INVITE bekommen von meinem Cisco diesen dann beantworten via 5060 und auch 1x eine Antwort meines Ciscos bekommen darauf.
Das kannst du mit dem SIP Debugger auch selber sehen auf deinem Cisco Das Log was du gepostet hast ist das das Log vom Provider oder von deinem Cisco direkt ??
Irgendwas antwortet aber nicht, das ist ja genau zu sehen:
Mar 9 17:03:52.149: 22/000000000000/SIP/Error/act_sent_register_wait_100:
act_sent_register_wait_100: Out of retries
und dann ganz klar:
Mar 9 17:03:52.149: 22/000000000000/SIP/Error/ccsip_api_register_result_ind: SIP Registration Retries Exhausted
Also die Registration timed aus weil sie nicht richtig abgeschlossen wird.
Grund: TransportFlag: Return the Global configuration, Switch Transport is FALSE
Nun müsste man mal googeln was da falsch ist.
Irgendwas was SIPgate auf den Invite zurücksendet mag der Cisco nicht !
Sipgate möchte da unbedingt ein retry invite stehen haben mit 2 als wert sonst kann man verzweifeln!
Wär mal spannend wie du das in der Konfig gefixt hast ? Gibts dafür ein Kommando ?Ich möchte nun meinen CUCM der in einem völlig anderen Netz (192.168.83.0) läuft mit dem CISCO887 verbinden via VPN.
Mmmmhhh das solltest du mit dem Cisco in 10 Minuten zum Fliegen bekommen via IPsec.Funktioniert das und wenn ja gibt es irgendwo ne Anleitung?!
Na klar.... Guckst du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Ach ja und nochmals ein riesiges DANKE an dich bis hier her.
Danke für die Blumen... Also der Bintec Router RS123w ist nun mit dem Cisco 887 per VPN verbunden, aber ich kann nicht durch den Tunnel pingen?!
Hast du das Bintec Subnetz in den beiden ACLs also Tunnel und NAT Ausnahme eingetragen ??Hier findest du eine Anleitung was genau zu tun ist:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Mmmmmhhh irgendwas fehlt da und ist komplett falsch. Die Nonat Route Map stimmt niemals so, denn die zeigt auf die ACL 111 die mit NAT nix zu tun hat...?!
Die 2 gleichen Transform Sets und die ACLs 107 und vpnpeer sind auch völliger Blödsinn ! Bereinige doch bitte deine Konfig erstmal und sieh dir die Beispiele im o.a. Tutorial doch genau an !
Mit solch einer gruseligen Konfig wo alles doppelt und dreifach ist steigst du selber doch nicht mehr durch.
Übrigens mit no <kommando> nimmt man überflüssige Doppelkonfigs weg !
Wie lautet das IP Netz deines lokalen LANs ?? Ist das 192.168.66.0 /24 und das lokale LAN am Bintec 192.168.83.0 /24 ??
Richtig müsste das so aussehen (Alles Unwichtige weggelassen !):
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp key Geheim address 178.25.27.36
!
crypto isakmp client configuration group vpngroup
key Geheim
dns 192.168.66.1
pool vpnpool
save-password
max-users 5
banner ^C Willkommen im VPN von MEDIA-KONTOR ^C
!
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
mode tunnel
!
crypto map vpnpeer 10 ipsec-isakmp
description VPN Verbindung zu Standort A Bintec
set peer 178.25.27.36
set transform-set vpn
match address 107
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Dialer2
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
crypto map vpnpeer
ip nat inside source route-map nonat interface Dialer2 overload
ip access-list extended vpnpeer
permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
!
route-map nonat permit 10
match ip address 101
!
access-list 101 deny ip 192.168.66.0.0.0.255 192.168.83.0 0.0.0.255 => Kein NAT für das VPN mit Bintec
access-list 101 permit ip 192.168.66.0 0.0.0.255 any => der Rest wird geNATet...
access-list 107 permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 8.23.224.120 any log-input DynDNS_perm
Beachte die bereinigte ACL 111 !
Die 2 gleichen Transform Sets und die ACLs 107 und vpnpeer sind auch völliger Blödsinn ! Bereinige doch bitte deine Konfig erstmal und sieh dir die Beispiele im o.a. Tutorial doch genau an !
Mit solch einer gruseligen Konfig wo alles doppelt und dreifach ist steigst du selber doch nicht mehr durch.
Übrigens mit no <kommando> nimmt man überflüssige Doppelkonfigs weg !
Wie lautet das IP Netz deines lokalen LANs ?? Ist das 192.168.66.0 /24 und das lokale LAN am Bintec 192.168.83.0 /24 ??
Richtig müsste das so aussehen (Alles Unwichtige weggelassen !):
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp key Geheim address 178.25.27.36
!
crypto isakmp client configuration group vpngroup
key Geheim
dns 192.168.66.1
pool vpnpool
save-password
max-users 5
banner ^C Willkommen im VPN von MEDIA-KONTOR ^C
!
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
mode tunnel
!
crypto map vpnpeer 10 ipsec-isakmp
description VPN Verbindung zu Standort A Bintec
set peer 178.25.27.36
set transform-set vpn
match address 107
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Dialer2
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
crypto map vpnpeer
ip nat inside source route-map nonat interface Dialer2 overload
ip access-list extended vpnpeer
permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
!
route-map nonat permit 10
match ip address 101
!
access-list 101 deny ip 192.168.66.0.0.0.255 192.168.83.0 0.0.0.255 => Kein NAT für das VPN mit Bintec
access-list 101 permit ip 192.168.66.0 0.0.0.255 any => der Rest wird geNATet...
access-list 107 permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 8.23.224.120 any log-input DynDNS_perm
Beachte die bereinigte ACL 111 !
Werde mich heute über den Tag auch nochmal mit den ACLs beschäftigen da meine ja nur Schrott war.
Ein guter Vorsatz und dringenst erforderlich !! Zeigt aber auch das du dir die kommentierte Beispielkonfig im o.a. Tutorial gar nicht oder nicht richtig angesehen hast...
Ansonsten hättest du das auch selber gesehen.
Eine letzte VPN-technische Frage hätte ich dann aber doch noch. . .
Na dann her damit....Ja, du musst ja dann zwangsweise mit DynDNS Hostnamen arbeiten, wie willst du das sonst lösen bei wechselnden IPs.
Es ist richtig du musst dann einfach nur die Peer IP mit dem Hostnamen ersetzen.
Es reicht übrigens wenn du das auf einer Seite machst, die andere kann dann 0.0.0.0 als Peer IP haben (Dynamischer Peer) dann nimmt sie alles was reinkommt !
Auch da bitte wieder in das o.a. Tutorial sehen, dort ist das haarklein mit kommentierter Konfig erklärt
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Hast du mal versucht den Bintec über einen dynamic Peer anzubinden ??
crypto keyring Bintec
pre-shared-key address 0.0.0.0 0.0.0.0 key bintec123
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp policy 15
encr 3des
authentication pre-share
group 2
!
crypto isakmp profile DynPeer
description VPNs mit dyn. IP
keyring Bintec
match identity address 0.0.0.0
!
crypto ipsec transform-set bintec1 esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set bintec2 esp-3des esp-sha-hmac
mode tunnel
!
crypto dynamic-map dynmap 10
description Tunnel dyn.IP Bintec
set transform-set bintec2
set isakmp-profile DynPeer
match address 107
!
crypto map vpnpeer 10 ipsec-isakmp dynamic dynmap
!
Klappt das damit ??
Sollte der Bintec AES 128 machen musst du ggf. das Profil auf den anderen Transform Set umstellen:
crypto dynamic-map dynmap 10
description Tunnel dyn.IP Bintec
set transform-set bintec1
set isakmp-profile DynPeer
match address 107
Oben geht die Konfig davon aus das er Standard 3DES mit SHA macht wie fast alles.
Teste das damit mal und denk dran das du die alten Bintec Konfigs entfernst dazu !
crypto keyring Bintec
pre-shared-key address 0.0.0.0 0.0.0.0 key bintec123
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp policy 15
encr 3des
authentication pre-share
group 2
!
crypto isakmp profile DynPeer
description VPNs mit dyn. IP
keyring Bintec
match identity address 0.0.0.0
!
crypto ipsec transform-set bintec1 esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set bintec2 esp-3des esp-sha-hmac
mode tunnel
!
crypto dynamic-map dynmap 10
description Tunnel dyn.IP Bintec
set transform-set bintec2
set isakmp-profile DynPeer
match address 107
!
crypto map vpnpeer 10 ipsec-isakmp dynamic dynmap
!
Klappt das damit ??
Sollte der Bintec AES 128 machen musst du ggf. das Profil auf den anderen Transform Set umstellen:
crypto dynamic-map dynmap 10
description Tunnel dyn.IP Bintec
set transform-set bintec1
set isakmp-profile DynPeer
match address 107
Oben geht die Konfig davon aus das er Standard 3DES mit SHA macht wie fast alles.
Teste das damit mal und denk dran das du die alten Bintec Konfigs entfernst dazu !
Hier ist ein identisches Verhalten aus dem Cisco Forum:
https://supportforums.cisco.com/discussion/11191621/sip-trunk-stopped-wo ...
Am Ende wars der ISP !!
Kannst du das sicher ausschliessen ?
https://supportforums.cisco.com/discussion/11191621/sip-trunk-stopped-wo ...
Am Ende wars der ISP !!
Kannst du das sicher ausschliessen ?
Ja, das ist problemlos möglich und wäre auch peinlich wenn ein Cisco das nicht könnte
Hier findest du ein Beispiel für die Grundlagen dazu:
Cisco Router 2 Gateways für verschiedene Clients
Wie bewerkstellige ich es das der CISCO mit 2 WANs zurecht kommt?
Das ist eigentlich recht einfach und mit ein paar Konfig Zeilen erledigt und macht man über PBR.Hier findest du ein Beispiel für die Grundlagen dazu:
Cisco Router 2 Gateways für verschiedene Clients
UND: Wie schaffe ich es an dem fastethernet 3 einen Kabel-Deutschland Kabelanschluss via Modem zum laufen zu bringen?
Das ist eigentlich recht einfach und in 2 Minuten erledigt.- VLAN anlegen und FastEthernet 3 als untagged Memeber in dieses VLAN legen
- Auf dem korrespondierenden VLAN Interface dann ip address dhcp konfigurieren.
- Kabel Modem an FE3 anschliessen
- Fertisch
So sähe sowas aus:
interface FastEthernet3
description KabelTV Internet Port
switchport access vlan 10
no ip address
no cdp enable
!
interface Vlan10
description Routing Port KabelTV
ip address dhcp
ip nat outside
!
ip nat inside source xyz interface vlan10 overload
Das schaltet den Port FE3 dann in den DHCP Client Mode und macht NAT auf dem Port. PPP ist hier natürlich Schwachsinn, denn Kabelprovider machen keinerlei PPP in ihrem Netz sondern immer DHCP zu den Clients.
Ferner ist noch der DHCP Client Mode zu aktivieren andernfalls bekommt der Port im Kabelnetz natürlich keine IP !!
Mit einem sh ip int brief hättest du das auch sofort gesehen
Nun meine 1. Frage: Ist es normal das der Cisco887V nur 6,5 Mb/s durchlässt,
Das ist schwer zu beantworten... 100 ist ja nur ein dümmliche Marketing Aussage der Kabelprovider. Jedermann weiss ja das die letzte Meile ein shared Medium ist das sich mehrere 1000 oder mehr User teilen.Sind also alle online ist es eng mit der bandbreite denn die Provider überbuchen logischerweise diese letzte Meile mehrfach.
6,5 Mbit ist allerdings sehr niedrig. Normal schafft der 886 oder 887 an einem 100 Mbit/s Anschluss fast Wirespeed im L3 Forwarding.
Mit NAT und Firewalling etwas weniger aber so um die 60 Mbit/s sind allemal möglich !
Das liegt dann entweder am Provider oder ggf. am Kabelmodem.
Arbeitet letzteres wirklich als transparentes Modem oder vielleicht doch als NAT Router ? Das kannst du sehen wenn du mit show ip int brief dir mal die IP Adressen am FE3 bzw. vlan10 Interface ansiehst !!
Ist dort eine öffentliche IP ist das ein Modem ist dort eine RFC 1918 private IP ist es ein NAT Router.
Zu der 192.168.36.0 geht nichts? Woran liegt das, bzw was habe ich wieder übersehen oder vergessen?
Vermutlich hast du vergessen die .36.0 in der NAT ACL zu excluden (dafür darfst du kein NAT machen!) und/oder auch die Crypto Map ACL dafür vergessen ?Guckst du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Unten die ACLs die zu den Crypto Map Profilen passen müssen !