4
Cisco 896 - ISP mit extra Voice VLAN für Telefonie
Moin Moin!
Ich habe momentan das Problem das ich einen ISP nutzen muss der die VoIP-Telefonie über ein extra VLAN sendet.
Man hat also ein VLAN 180 für das Internet und ein VLAN 182 für Voice.
Soweit alles kein Problem.
Ich habe am 896 nun das VLAN 180 und 182 als ethernet Interface gebaut und über NAT und co. eine volle Funktionalität des Internets.
Nun dachte ich mir ich mache selbiges mit dem Voice VLAN und die Rufnummern registrieren sich am SIP Server des Providers. Tja leider nein!
Man bekommt zwar eine IP an dem ethernet 0.182 interface , dass war es dann allerdings auch schon. Keinerlei DNS oder Ping?!
Die SIP-Daten hat mir der Provider gesendet und nochmals geprüft das diese funktionieren. Von deren Seite aus ist die Hilfe allerdings nur möglich wenn ich eine Fritzbox nutze dafür?!
Nur der Cisco 896 sollte doch auch fähig sein etwas zu managen was eine Fritzbox kann!?
Gibt es hier jemand der einen ähnlichen ISP hat und eine erfolgreiche Konfig. für Cisco besitzt?
Hier ist nochmal mein bisheriger Teilerfolg, denn eine IP zu haben ist ja schon mal was:
Und hier meine Konfig dazu:
Vielen Dank schon mal vorweg für eure Hilfe.
Ich habe momentan das Problem das ich einen ISP nutzen muss der die VoIP-Telefonie über ein extra VLAN sendet.
Man hat also ein VLAN 180 für das Internet und ein VLAN 182 für Voice.
Soweit alles kein Problem.
Ich habe am 896 nun das VLAN 180 und 182 als ethernet Interface gebaut und über NAT und co. eine volle Funktionalität des Internets.
Nun dachte ich mir ich mache selbiges mit dem Voice VLAN und die Rufnummern registrieren sich am SIP Server des Providers. Tja leider nein!
Man bekommt zwar eine IP an dem ethernet 0.182 interface , dass war es dann allerdings auch schon. Keinerlei DNS oder Ping?!
Die SIP-Daten hat mir der Provider gesendet und nochmals geprüft das diese funktionieren. Von deren Seite aus ist die Hilfe allerdings nur möglich wenn ich eine Fritzbox nutze dafür?!
Nur der Cisco 896 sollte doch auch fähig sein etwas zu managen was eine Fritzbox kann!?
Gibt es hier jemand der einen ähnlichen ISP hat und eine erfolgreiche Konfig. für Cisco besitzt?
Hier ist nochmal mein bisheriger Teilerfolg, denn eine IP zu haben ist ja schon mal was:
ISCO896VA#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
ATM0 unassigned YES NVRAM administratively down down
BRI0 unassigned YES NVRAM administratively down down
BRI0:1 unassigned YES unset administratively down down
BRI0:2 unassigned YES unset administratively down down
Dialer1 2X7.2X5.2X1.2X0 YES IPCP up up
Ethernet0 unassigned YES NVRAM up up
Ethernet0.180 5.1X2.1X5.1X YES DHCP up up
Ethernet0.182 10.1X3.2X4.60 YES DHCP up up Und hier meine Konfig dazu:
interface Ethernet0.180
encapsulation dot1Q 180
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1496
ip nat outside
ip virtual-reassembly in
zone-member security Internet
!
interface Ethernet0.182
encapsulation dot1Q 182
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1496
ip nat outside
ip virtual-reassembly in
zone-member security Internet
interface Vlan1
description Internet
ip address 192.168.77.254 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly in
zone-member security Trusted
ip tcp adjust-mss 1452
ip policy route-map VDSLV-nat
service-policy input url-block-policy
interface Vlan182
ip address 192.168.44.254 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly in
zone-member security Trusted
ip policy route-map VDSLVVoice-nat
ip nat inside source route-map VDSLV-nat interface Ethernet0.180 overload
ip nat inside source route-map VDSLVVoice-nat interface Ethernet0.182 overload
ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp
ip route 0.0.0.0 0.0.0.0 Ethernet0.182 dhcp
route-map VDSLV-nat permit 10
match ip address 101 103
set interface Ethernet0.180
route-map VDSLVVoice-nat permit 10
match ip address 103 101
set interface Ethernet0.182
access-list 101 permit ip 192.168.77.0 0.0.0.255 any
access-list 103 permit ip 192.168.44.0 0.0.0.255 any
Vielen Dank schon mal vorweg für eure Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371932
Url: https://administrator.de/contentid/371932
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
4 Kommentare
Neuester Kommentar
ich mache selbiges mit dem Voice VLAN und die Rufnummern registrieren sich am SIP Server des Providers.
Grundsätzlich ist das aber richtig gedacht....Keinerlei DNS oder Ping?!
Sprich du kannst dann generell keinen einzigen Hostnamen mehr in eine IP auflösen oder nur im 182er VLAN. Das ist jetzt recht verwirrend und unklar wie du das meinst. Was sagt nslookup oder dig ??Genau Ping. Kannst du generell dann gar nix mehr pingen oder nur nix im 182er VLAN ? Auch das ist sehr unklar
Von deren Seite aus ist die Hilfe allerdings nur möglich wenn ich eine Fritzbox nutze dafür?!
Ist natürlich Quatsch und in D auch gar nicht mehr erlaubt solche Zwangsrouter. Außerdem muss das ja auch eine angepasste FB sein auf den Provider, denn sowas ist ja unüblich.Hier tut sich gleich eine Frage auf:
Was ist mit freien SIP Providern wie z.B. SIPgate ? Kannst du die erreichen und dort eine SIP Connection aufbauen ?
Der Basic Account bei Sipgate ist kostenlos und eignet sich immer gut zum testen. Ein kostenloses Softphone wie z.B. Phoner reicht dafür !
Damit solltest du erstmal die generelle SIP Funktionalität bzw. VoIP Funktionalität über den Router testen.
Leider fehlt hier auch deine FW Policy was SIP angeht aber gehen wir mal davon aus das das korrekt aufgesetzt ist.
Das die Infrastruktur an sich richtig konfiguriert ist siehst du daran das du einen gültige IP am Subinterface 0.182 bekommst.
2 Dinge die in deiner Konfig falsch oder zumindestens kontraproduktiv ist.
1.) Das Routing
Du richtest eine Default Route auch in das Voice Netz des Providers ein. M.E ist das grundfalsch, denn der Provider wird niemals globalen Internet Traffic über sein Voice Segment bedienen sondern hier ausschliesslich seinen lokalen Voice Traffic bedienen. In sofern ist die Default Route dahin fatal !
Wenn überhaupt, dann muss diese Route entfernt werden und eine Default Route nur auf das Internet Interface 0.180 gesetzt werden.
Der Voice Traffic nutzt wie es aussieht ausschliesslich nur das 10er Netz beim Provider. Es reicht dann eine dedizierte Route dahin zu setzen als ip route 10.0.0.0 255.0.0.0 Ethernet0.182 dhcp
Damit hätte man das sauber getrennt.
Auch deine Route Policy ist damit dann überflüssig.
NAT müsstest du etwas präziser machen
access-list 103 permit ip 192.168.44.0 0.0.0.255 10.0.0.0 0.255.255.255 für Voice.
access-list 101 permit ip 192.168.77.0 0.0.0.255 any für Internet Traffic
Das Overload Statement könnte man dann auch umbauen:
ip nat inside source list 101 interface Ethernet0.180 overload Internet
ip nat inside source list 103 interface Ethernet0.182 overload Voice
2.) VLAN
Es ist taktisch unklug den Tag 182 der der Provider verwendet auch auf seinem lokalen Voice Segment zu verwenden. Böse Sideeffekte könnten da lauern. Hier solltest du mehr eindeutig sein und das lokale VLAN 182 entfernen und das besser ins z.B. VLAN 44 umbenennen. Also dann
interface Vlan44
description Lokales Voice VLAN
ip address 192.168.44.254 255.255.255.0
So gibt es da eine klare und saubere Trennung !
Ein paar kosmetische Sachen noch:
- Warum machst du eine MSS Anpassung im lokalen Internet VLAN aber NICHT im Voice VLAN ?
- Wenn du gar keinen Dialer mit PPPoE hast und nur reines Ethernet warum machst du dann überhaupt eine MTU und eine MSS Anpassung ?? Die ist bei reiner Ethernet Infrastruktur unnötig denn die MTU ist dort immer 1500.
Wenn das so angepasst ist mal ein traceroute von BEIDEN lokalen VLANs vom Router auf eine Provider Voice IP Adresse machen und eine auf eine Internet IP Adresse um zu sehen das das Routing sauber klappt.
Dann auch mal die Tests mit nslookup um zu sehen wie die DNS Auflösung funktioniert.
Dir sollte klar sein das du hier zwingend nur DNS Server vom Provider selber verwenden kannst, denn nur der wird dir seine Voice Zieladressen in einem privaten RFC 1918 Netzwerk wie dessen Voice Netz auflösen können. Das kann logischerweise kein offener DNS Server. Den man so oder so nicht verwenden sollte.
Ich habe gerade einmal deinen Hinweis mit dem NAT und der default Route probiert, allerdings erfolglos ->keine Anmeldung der Rufnummer beim Provider.
Dann habe ich sehr viel probiert und bin zu diesem Ergebnis gekommen (Welches keinerlei Sinn für mich macht):
1. Ich habe die default route, route-map und den ip nat inside source route-map VDSLVVoice-nat interface Ethernet0.182 overload entfernt.
2. Ich habe das ethernet Interface 0.182 entfernt.
In diesem Moment meldeten sich alle Rufnummern des ISP via Bria oder Xlite oder Gigaset einwandfrei an und bleiben auch angemeldet?!
Ich habe einen Dialer mit PPPoE für eine alte Leitung der Telekom. Darüber lief bis vor kurzen auch meine Telefonie wunderbar .....
Ändere ich allerdings wie du oben sagtest das interface VLAN 182 um sind die Nummern sofort abgemeldet!?
Nun kommt das beste: Die Rufnummern sind laut Provider registriert und mein xlite sagt auch an das alles gut sei --> ABER wenn ich rausrufe klingelt es beim Gesprächspartner -> er geht ran und hört nichts und bei mir klingelt es weiterhin?!
Versucht man meine Rufnummer von extern zu erreichen kommt die nicht erreichbar Meldung des Providers!?
p.s. Andere SIP-Provider wie Sipgate oder die Telekom laufen wunderbar mit dem Cisco.
Dann habe ich sehr viel probiert und bin zu diesem Ergebnis gekommen (Welches keinerlei Sinn für mich macht):
1. Ich habe die default route, route-map und den ip nat inside source route-map VDSLVVoice-nat interface Ethernet0.182 overload entfernt.
2. Ich habe das ethernet Interface 0.182 entfernt.
In diesem Moment meldeten sich alle Rufnummern des ISP via Bria oder Xlite oder Gigaset einwandfrei an und bleiben auch angemeldet?!
Ich habe einen Dialer mit PPPoE für eine alte Leitung der Telekom. Darüber lief bis vor kurzen auch meine Telefonie wunderbar .....
Ändere ich allerdings wie du oben sagtest das interface VLAN 182 um sind die Nummern sofort abgemeldet!?
Nun kommt das beste: Die Rufnummern sind laut Provider registriert und mein xlite sagt auch an das alles gut sei --> ABER wenn ich rausrufe klingelt es beim Gesprächspartner -> er geht ran und hört nichts und bei mir klingelt es weiterhin?!
Versucht man meine Rufnummer von extern zu erreichen kommt die nicht erreichbar Meldung des Providers!?
p.s. Andere SIP-Provider wie Sipgate oder die Telekom laufen wunderbar mit dem Cisco.
allerdings erfolglos ->keine Anmeldung der Rufnummer beim Provider.
Hast du den SIP Verbindungsaufbau mal mit dem Wireshark mitgesniffert ??Wenn rein gar nichts zurück kommt und das Routing ins 10er Netz fehlerlos ist, dann ist es vermutlich die Firewall die dir da Probleme macht bzw. fehlerhaft ist.
Lass die testweise erstmal komplett ausgeschaltet und probiere es nochmal !
Ich habe das ethernet Interface 0.182 entfernt.
Das ist natürlich komplett tödlich und auch FALSCH !! So stand es oben auch nicht !!Das ist ja das Subinterface des Providers ins Voicenetz was du zwingend benötigst !!
Gemeint war hier ausschliesslich nur das VLAN 182 was du auch lokal für dein 44er Netz benutzt. Das (und nur das !) solltest du löschen und umbenennen. Nie,mals das Provider Subinterface !
meldeten sich alle Rufnummern des ISP via Bria oder Xlite oder Gigaset einwandfrei an und bleiben auch angemeldet?!
Mmmhhh... völlig unverständlich ! Damit hättest du keinerlei Verbindung mehr ins Provider Voicenetz ?!Ändere ich allerdings wie du oben sagtest das interface VLAN 182 um sind die Nummern sofort abgemeldet!?
Wie gesagt: Nur das lokale VLAN niemals das 0.182er Subinterface !er geht ran und hört nichts und bei mir klingelt es weiterhin?!
Das ist typisch Firewall ! Hier wird SIP einseitig geblockt und vermutlich auch RTP. Hast du beides in der ZFW aktiviert ?? Nur dann wird das Voice ALG auf dem Router aktiv !Wie gesagt im Zeifel immer erstmal ganz ohne FW testen um sicher zu gehen das die Grundfunktionen alle da sind.
Andere SIP-Provider wie Sipgate oder die Telekom laufen wunderbar mit dem Cisco.
OK würde dann zeigen das grundsätzlich alles richtig ist. Da stimmt dann nur was mit dem Voice VLAN des Providers nicht.Sieh dir einen funktionierenden SIP Aufbau mal an mit dem Kabelhai und checke mal die verwendeten IPs.
Sooo ich habe nun die o.g. Operationen durchgeführt und habe nur noch ein VLAN interface 182 und das normale ethernet 0.180 interface.
Eine default route über das Interface 0.180 und entsprechende Firewalleinträge für mein Gigaset.
Siehe da raus rufen/rein rufen geht inkl. Ton und Klingelzeichen!
Hier die Finale Konfiguration:
Ich verstehe nur nicht warum die es so machen?! Bei der Telekom am BNG macht mir das irgendwie alles mehr Sinn aber ok.
Eine default route über das Interface 0.180 und entsprechende Firewalleinträge für mein Gigaset.
Siehe da raus rufen/rein rufen geht inkl. Ton und Klingelzeichen!
Hier die Finale Konfiguration:
interface Ethernet0.180
encapsulation dot1Q 180
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security Internet
interface Vlan182
ip address 192.168.44.254 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly in
zone-member security Trusted
ip policy route-map VDSLV-nat
no ip nat service sip udp port 5060
ip nat inside source route-map VDSLV-nat interface Ethernet0.180 overload
ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp
ip access-list extended PF
deny tcp any any eq 1720
permit udp any host 192.168.44.5 range 5060 5070
route-map VDSLV-nat permit 10
match ip address 101 103
set interface Ethernet0.180
access-list 101 permit ip 192.168.77.0 0.0.0.255 any
access-list 103 permit ip 192.168.44.0 0.0.0.255 any
access-list 107 deny tcp any any eq 1720Ich verstehe nur nicht warum die es so machen?! Bei der Telekom am BNG macht mir das irgendwie alles mehr Sinn aber ok.
