3
Cisco 892FSP UDP port range forward
Hallo miteinander,
ich habe ein Problem beim forwarden einer UDP port range auf meinem Cisco 892FSP. Ich "baue gerade meinen cisco 892fsp auf.
In google habe ich eine Möglichkeit gefunden. Dies funktioniert zwar, aber wenn ich diese Konstellation in meiner Config habe, gehen keine DNS Anfragen mehr nach "draußen", bzw ich kann nach extern keine Webseiten mehr auflösen. Ich habe den wichtigen Teil meiner config beigefügt, vielleicht kann mir jemand weiterhelfen. Ich wäre sehr dankbar. ^^
Danke und viele Grüße
ich habe ein Problem beim forwarden einer UDP port range auf meinem Cisco 892FSP. Ich "baue gerade meinen cisco 892fsp auf.
In google habe ich eine Möglichkeit gefunden. Dies funktioniert zwar, aber wenn ich diese Konstellation in meiner Config habe, gehen keine DNS Anfragen mehr nach "draußen", bzw ich kann nach extern keine Webseiten mehr auflösen. Ich habe den wichtigen Teil meiner config beigefügt, vielleicht kann mir jemand weiterhelfen. Ich wäre sehr dankbar. ^^
access-list 130 permit udp any any range 8000 20000
route-map voip-rtp permit 1
match ip address 130
ip nat inside source static <private ip> <public ip> route-map voip-rtp!
ip host fqdn.domain.com 192.168.10.3
ip name-server [ISP_DNS_SERVER]
ip name-server [ISP_DNS_SERVER]
ip name-server [ISP_DNS_SERVER]
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
match ipv4 source address
match ipv4 destination address
match application name
collect interface output
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
!
flow monitor application-mon
cache timeout active 60
record nbar-appmon
!
parameter-map type inspect global
max-incomplete low 18000
max-incomplete high 20000
nbar-classify
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C892FSP-K9 sn *****************
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network local_cws_net
!
object-group network local_lan_subnets
any
!
object-group network vpn_remote_subnets
any
!
username admin password 7 ******************************************
!
!
!
!
!
!
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
match protocol msnmsgr
match protocol ymsgr
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
!
!
!
interface GigabitEthernet0
description Trunk
switchport mode trunk
no ip address
!
interface GigabitEthernet1
no ip address
shutdown
!
interface GigabitEthernet2
no ip address
shutdown
!
interface GigabitEthernet3
no ip address
shutdown
!
interface GigabitEthernet4
no ip address
shutdown
!
interface GigabitEthernet5
no ip address
shutdown
!
interface GigabitEthernet6
no ip address
shutdown
!
interface GigabitEthernet7
no ip address
shutdown
!
interface GigabitEthernet8
description WAN to ISP
ip address [ISP_PUBLIC_IP] 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet9
no ip address
shutdown
!
interface Vlan1
description Default
no ip address
ip nat inside
ip virtual-reassembly in max-reassemblies 1000
ip tcp adjust-mss 1448
!
interface Vlan10
description bla LAN
ip address 192.168.10.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Vlan23
description blub LAN
ip address 10.10.23.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Vlan30
description bla LAN
ip address 192.168.30.254 255.255.254.0
ip nat inside
ip virtual-reassembly in max-reassemblies 1000
ip tcp adjust-mss 1448
!
interface Vlan69
description blub LAN
ip address 10.10.69.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Vlan72
description bla LAN
ip address 172.12.2.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Vlan99
description blub LAN
ip address 192.168.99.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
ip forward-protocol nd
no ip http server
ip http upload enable path flash:
ip http upload overwrite
no ip http secure-server
!
!
ip dns server
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
ip nat inside source list 10 interface GigabitEthernet8 overload
ip nat inside source static udp 192.168.10.3 5062 interface GigabitEthernet8 5062
ip nat inside source static tcp 192.168.10.3 5062 interface GigabitEthernet8 5062
ip nat inside source static tcp 192.168.10.3 5063 interface GigabitEthernet8 5063
ip nat inside source static udp 192.168.10.3 5090 interface GigabitEthernet8 5090
ip nat inside source static tcp 192.168.10.3 5090 interface GigabitEthernet8 5090
ip nat inside source static udp 192.168.10.3 5060 interface GigabitEthernet8 5060
ip nat inside source static tcp 192.168.10.3 5060 interface GigabitEthernet8 5060
ip nat inside source static tcp 192.168.10.3 5001 interface GigabitEthernet8 5001
ip nat inside source static tcp 192.168.10.3 5061 interface GigabitEthernet8 5061
ip nat inside source static udp 192.168.10.3 5061 interface GigabitEthernet8 5061
ip nat inside source static udp 192.168.10.1 1194 interface GigabitEthernet8 1194
ip nat inside source list NAT interface GigabitEthernet8 overload
ip nat inside source static 192.168.10.3 [ISP_PUBLIC_IP] route-map voip-rtp
ip route 0.0.0.0 0.0.0.0 [ISP_GATEWAY_IP]
ip ssh time-out 60
!
ip access-list extended NAT
deny ip 192.168.30.0 0.0.0.255 10.10.77.0 0.0.0.255
permit ip 192.168.30.0 0.0.0.255 any
deny ip 192.168.31.0 0.0.0.255 10.10.77.0 0.0.0.255
deny ip 192.168.99.0 0.0.0.255 10.10.77.0 0.0.0.255
deny ip 10.10.69.0 0.0.0.255 10.10.77.0 0.0.0.255
deny ip 172.76.6.0 0.0.0.255 10.10.77.0 0.0.0.255
deny ip 10.10.23.0 0.0.0.255 10.10.77.0 0.0.0.255
ip access-list extended VPN-TRAFFIC
permit ip 192.168.30.0 0.0.0.255 10.10.77.0 0.0.0.255
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
!
!
route-map voip-rtp permit 1
match ip address 130
!
access-list 10 permit 172.12.2.0 0.0.0.255
access-list 10 permit 10.10.69.0 0.0.0.255
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 permit 192.168.30.0 0.0.0.255
access-list 10 permit 192.168.31.0 0.0.0.255
access-list 10 permit 192.168.99.0 0.0.0.255
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 130 permit udp any any range 9000 10999
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
login authentication local_access
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 23 in
privilege level 15
password 7 ************************
login authentication local_access
transport input telnet ssh
line vty 5 15
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 source GigabitEthernet8
!
endDanke und viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2045447669
Url: https://administrator.de/contentid/2045447669
Printed on: April 20, 2024 at 07:04 o'clock
3 Comments
Latest comment
a) Bei dem großen Portrange, den du forwardest, hast du gute Chancen, DNS-Anfragen (resp. die Antworten darauf) fehlzuleiten. Das könnte deine auftretenden Probleme erklären.
Diesen riesengroßen Portrange brauchst du normalerweise nicht, es sei denn, du erwartest wirklich derartig viele parallele Anrufe.
b) Ich würde das Portforwarding an sich schon grundsätzlich infrage stellen - denn mit symmetrischem RTP (und das ist mittlerweile Standard) benötigst du kein Portforwarding. Details habe ich seinerzeit hier geschrieben, das dürfte so aber auch für Cisco gültig sein.
Du benötigst also höchstwahrscheinlich kein Port-Forwarding sondern musst lediglich sicherstellen, dass deine Telefonanlage symmetrisches RTP beherrscht bzw. es dort einschalten und du musst den ausgehenden RTP-Traffic erlauben. So wie ich das sehe, hast du keine Regeln, die ausgehend die Kommunikation der Telefonanlage beschränken, daher müsstest du dort auch nicht zwingend tätig werden.
Diesen riesengroßen Portrange brauchst du normalerweise nicht, es sei denn, du erwartest wirklich derartig viele parallele Anrufe.
b) Ich würde das Portforwarding an sich schon grundsätzlich infrage stellen - denn mit symmetrischem RTP (und das ist mittlerweile Standard) benötigst du kein Portforwarding. Details habe ich seinerzeit hier geschrieben, das dürfte so aber auch für Cisco gültig sein.
Du benötigst also höchstwahrscheinlich kein Port-Forwarding sondern musst lediglich sicherstellen, dass deine Telefonanlage symmetrisches RTP beherrscht bzw. es dort einschalten und du musst den ausgehenden RTP-Traffic erlauben. So wie ich das sehe, hast du keine Regeln, die ausgehend die Kommunikation der Telefonanlage beschränken, daher müsstest du dort auch nicht zwingend tätig werden.
2
Kollege @LordGurke hat ja oben schon alles Wesentliche gesagt. Zumal wenn man eine ZBF Konfig nutzt, ist so ein Forwarding völlig unnötig ist weil der Cisco mit der ZBF ein Voice ALG an Bord hat.
Ein weiterer Fehler ist das die statisch gemappten NAT Adressen nicht mit einem "deny" aus der PAT ACL 10 ausgenommen wurden. Durch diese fehlerhafte Konfig kommt es zu unsymetrischen Translations.
Nur nebenbei:
Die Konfig ist auch voll von Resten aus CBAC Firewall und ZBF Konfig Kommandos die ohne Funktion sind. Solche "Konfig Leichen" sind immer höchst kontraproduktiv und sollte man tunlichst entfernen wenn sie ungenutzt sind.
Ein weiterer Fehler ist das die statisch gemappten NAT Adressen nicht mit einem "deny" aus der PAT ACL 10 ausgenommen wurden. Durch diese fehlerhafte Konfig kommt es zu unsymetrischen Translations.
Nur nebenbei:
Die Konfig ist auch voll von Resten aus CBAC Firewall und ZBF Konfig Kommandos die ohne Funktion sind. Solche "Konfig Leichen" sind immer höchst kontraproduktiv und sollte man tunlichst entfernen wenn sie ungenutzt sind.
1
