serial90
Goto Top

Cisco 896 - ISP mit extra Voice VLAN für Telefonie

Moin Moin!

Ich habe momentan das Problem das ich einen ISP nutzen muss der die VoIP-Telefonie über ein extra VLAN sendet.

Man hat also ein VLAN 180 für das Internet und ein VLAN 182 für Voice.

Soweit alles kein Problem.

Ich habe am 896 nun das VLAN 180 und 182 als ethernet Interface gebaut und über NAT und co. eine volle Funktionalität des Internets.

Nun dachte ich mir ich mache selbiges mit dem Voice VLAN und die Rufnummern registrieren sich am SIP Server des Providers. Tja leider nein!

Man bekommt zwar eine IP an dem ethernet 0.182 interface , dass war es dann allerdings auch schon. Keinerlei DNS oder Ping?!

Die SIP-Daten hat mir der Provider gesendet und nochmals geprüft das diese funktionieren. Von deren Seite aus ist die Hilfe allerdings nur möglich wenn ich eine Fritzbox nutze dafür?!

Nur der Cisco 896 sollte doch auch fähig sein etwas zu managen was eine Fritzbox kann!?

Gibt es hier jemand der einen ähnlichen ISP hat und eine erfolgreiche Konfig. für Cisco besitzt?

Hier ist nochmal mein bisheriger Teilerfolg, denn eine IP zu haben ist ja schon mal was:


ISCO896VA#sh ip interface brief 
Interface                  IP-Address      OK? Method Status                Protocol
ATM0                       unassigned      YES NVRAM  administratively down down    
BRI0                       unassigned      YES NVRAM  administratively down down    
BRI0:1                     unassigned      YES unset  administratively down down    
BRI0:2                     unassigned      YES unset  administratively down down    
Dialer1                    2X7.2X5.2X1.2X0 YES IPCP   up                    up      
Ethernet0                  unassigned      YES NVRAM  up                    up      
Ethernet0.180              5.1X2.1X5.1X   YES DHCP   up                    up      
Ethernet0.182              10.1X3.2X4.60   YES DHCP   up                    up      


Und hier meine Konfig dazu:

interface Ethernet0.180
 encapsulation dot1Q 180
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1496
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
!
interface Ethernet0.182
 encapsulation dot1Q 182
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1496
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
 
 interface Vlan1
  description Internet
  ip address 192.168.77.254 255.255.255.0
  no ip redirects
  ip nat inside
  ip virtual-reassembly in
  zone-member security Trusted
  ip tcp adjust-mss 1452
  ip policy route-map VDSLV-nat
  service-policy input url-block-policy
  
interface Vlan182
 ip address 192.168.44.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 zone-member security Trusted
 ip policy route-map VDSLVVoice-nat
  
  ip nat inside source route-map VDSLV-nat interface Ethernet0.180 overload
  ip nat inside source route-map VDSLVVoice-nat interface Ethernet0.182 overload
  
  ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp
  ip route 0.0.0.0 0.0.0.0 Ethernet0.182 dhcp
  
  
  route-map VDSLV-nat permit 10
   match ip address 101 103
   set interface Ethernet0.180
   
   route-map VDSLVVoice-nat permit 10
    match ip address 103 101
    set interface Ethernet0.182
   
   
   
   access-list 101 permit ip 192.168.77.0 0.0.0.255 any
   access-list 103 permit ip 192.168.44.0 0.0.0.255 any
   
   
   

Vielen Dank schon mal vorweg für eure Hilfe.

Content-ID: 371932

Url: https://administrator.de/forum/cisco-896-isp-mit-extra-voice-vlan-fuer-telefonie-371932.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

aqui
aqui 23.04.2018 aktualisiert um 10:28:58 Uhr
Goto Top
ich mache selbiges mit dem Voice VLAN und die Rufnummern registrieren sich am SIP Server des Providers.
Grundsätzlich ist das aber richtig gedacht....
Keinerlei DNS oder Ping?!
Sprich du kannst dann generell keinen einzigen Hostnamen mehr in eine IP auflösen oder nur im 182er VLAN. Das ist jetzt recht verwirrend und unklar wie du das meinst. Was sagt nslookup oder dig ??
Genau Ping. Kannst du generell dann gar nix mehr pingen oder nur nix im 182er VLAN ? Auch das ist sehr unklar face-sad
Von deren Seite aus ist die Hilfe allerdings nur möglich wenn ich eine Fritzbox nutze dafür?!
Ist natürlich Quatsch und in D auch gar nicht mehr erlaubt solche Zwangsrouter. Außerdem muss das ja auch eine angepasste FB sein auf den Provider, denn sowas ist ja unüblich.
Hier tut sich gleich eine Frage auf:
Was ist mit freien SIP Providern wie z.B. SIPgate ? Kannst du die erreichen und dort eine SIP Connection aufbauen ?
Der Basic Account bei Sipgate ist kostenlos und eignet sich immer gut zum testen. Ein kostenloses Softphone wie z.B. Phoner reicht dafür !
Damit solltest du erstmal die generelle SIP Funktionalität bzw. VoIP Funktionalität über den Router testen.
Leider fehlt hier auch deine FW Policy was SIP angeht aber gehen wir mal davon aus das das korrekt aufgesetzt ist.
Das die Infrastruktur an sich richtig konfiguriert ist siehst du daran das du einen gültige IP am Subinterface 0.182 bekommst.

2 Dinge die in deiner Konfig falsch oder zumindestens kontraproduktiv ist.

1.) Das Routing
Du richtest eine Default Route auch in das Voice Netz des Providers ein. M.E ist das grundfalsch, denn der Provider wird niemals globalen Internet Traffic über sein Voice Segment bedienen sondern hier ausschliesslich seinen lokalen Voice Traffic bedienen. In sofern ist die Default Route dahin fatal !
Wenn überhaupt, dann muss diese Route entfernt werden und eine Default Route nur auf das Internet Interface 0.180 gesetzt werden.
Der Voice Traffic nutzt wie es aussieht ausschliesslich nur das 10er Netz beim Provider. Es reicht dann eine dedizierte Route dahin zu setzen als ip route 10.0.0.0 255.0.0.0 Ethernet0.182 dhcp
Damit hätte man das sauber getrennt.
Auch deine Route Policy ist damit dann überflüssig.
NAT müsstest du etwas präziser machen
access-list 103 permit ip 192.168.44.0 0.0.0.255 10.0.0.0 0.255.255.255 für Voice.
access-list 101 permit ip 192.168.77.0 0.0.0.255 any für Internet Traffic
Das Overload Statement könnte man dann auch umbauen:
ip nat inside source list 101 interface Ethernet0.180 overload Internet
ip nat inside source list 103 interface Ethernet0.182 overload Voice

2.) VLAN
Es ist taktisch unklug den Tag 182 der der Provider verwendet auch auf seinem lokalen Voice Segment zu verwenden. Böse Sideeffekte könnten da lauern. Hier solltest du mehr eindeutig sein und das lokale VLAN 182 entfernen und das besser ins z.B. VLAN 44 umbenennen. Also dann
interface Vlan44
description Lokales Voice VLAN
ip address 192.168.44.254 255.255.255.0

So gibt es da eine klare und saubere Trennung !

Ein paar kosmetische Sachen noch:
  • Warum machst du eine MSS Anpassung im lokalen Internet VLAN aber NICHT im Voice VLAN ?
  • Wenn du gar keinen Dialer mit PPPoE hast und nur reines Ethernet warum machst du dann überhaupt eine MTU und eine MSS Anpassung ?? Die ist bei reiner Ethernet Infrastruktur unnötig denn die MTU ist dort immer 1500.

Wenn das so angepasst ist mal ein traceroute von BEIDEN lokalen VLANs vom Router auf eine Provider Voice IP Adresse machen und eine auf eine Internet IP Adresse um zu sehen das das Routing sauber klappt.
Dann auch mal die Tests mit nslookup um zu sehen wie die DNS Auflösung funktioniert.
Dir sollte klar sein das du hier zwingend nur DNS Server vom Provider selber verwenden kannst, denn nur der wird dir seine Voice Zieladressen in einem privaten RFC 1918 Netzwerk wie dessen Voice Netz auflösen können. Das kann logischerweise kein offener DNS Server. Den man so oder so nicht verwenden sollte.
Serial90
Serial90 23.04.2018 um 10:55:24 Uhr
Goto Top
Ich habe gerade einmal deinen Hinweis mit dem NAT und der default Route probiert, allerdings erfolglos ->keine Anmeldung der Rufnummer beim Provider.

Dann habe ich sehr viel probiert und bin zu diesem Ergebnis gekommen (Welches keinerlei Sinn für mich macht):

1. Ich habe die default route, route-map und den ip nat inside source route-map VDSLVVoice-nat interface Ethernet0.182 overload entfernt.
2. Ich habe das ethernet Interface 0.182 entfernt.

In diesem Moment meldeten sich alle Rufnummern des ISP via Bria oder Xlite oder Gigaset einwandfrei an und bleiben auch angemeldet?!

Ich habe einen Dialer mit PPPoE für eine alte Leitung der Telekom. Darüber lief bis vor kurzen auch meine Telefonie wunderbar .....

Ändere ich allerdings wie du oben sagtest das interface VLAN 182 um sind die Nummern sofort abgemeldet!?

Nun kommt das beste: Die Rufnummern sind laut Provider registriert und mein xlite sagt auch an das alles gut sei --> ABER wenn ich rausrufe klingelt es beim Gesprächspartner -> er geht ran und hört nichts und bei mir klingelt es weiterhin?!

Versucht man meine Rufnummer von extern zu erreichen kommt die nicht erreichbar Meldung des Providers!?


p.s. Andere SIP-Provider wie Sipgate oder die Telekom laufen wunderbar mit dem Cisco.
aqui
aqui 23.04.2018 aktualisiert um 11:05:32 Uhr
Goto Top
allerdings erfolglos ->keine Anmeldung der Rufnummer beim Provider.
Hast du den SIP Verbindungsaufbau mal mit dem Wireshark mitgesniffert ??
Wenn rein gar nichts zurück kommt und das Routing ins 10er Netz fehlerlos ist, dann ist es vermutlich die Firewall die dir da Probleme macht bzw. fehlerhaft ist.
Lass die testweise erstmal komplett ausgeschaltet und probiere es nochmal !
Ich habe das ethernet Interface 0.182 entfernt.
Das ist natürlich komplett tödlich und auch FALSCH !! So stand es oben auch nicht !!
Das ist ja das Subinterface des Providers ins Voicenetz was du zwingend benötigst !!
Gemeint war hier ausschliesslich nur das VLAN 182 was du auch lokal für dein 44er Netz benutzt. Das (und nur das !) solltest du löschen und umbenennen. Nie,mals das Provider Subinterface !
meldeten sich alle Rufnummern des ISP via Bria oder Xlite oder Gigaset einwandfrei an und bleiben auch angemeldet?!
Mmmhhh... völlig unverständlich ! Damit hättest du keinerlei Verbindung mehr ins Provider Voicenetz ?!
Ändere ich allerdings wie du oben sagtest das interface VLAN 182 um sind die Nummern sofort abgemeldet!?
Wie gesagt: Nur das lokale VLAN niemals das 0.182er Subinterface !
er geht ran und hört nichts und bei mir klingelt es weiterhin?!
Das ist typisch Firewall ! Hier wird SIP einseitig geblockt und vermutlich auch RTP. Hast du beides in der ZFW aktiviert ?? Nur dann wird das Voice ALG auf dem Router aktiv !
Wie gesagt im Zeifel immer erstmal ganz ohne FW testen um sicher zu gehen das die Grundfunktionen alle da sind.
Andere SIP-Provider wie Sipgate oder die Telekom laufen wunderbar mit dem Cisco.
OK würde dann zeigen das grundsätzlich alles richtig ist. Da stimmt dann nur was mit dem Voice VLAN des Providers nicht.
Sieh dir einen funktionierenden SIP Aufbau mal an mit dem Kabelhai und checke mal die verwendeten IPs.
Serial90
Serial90 23.04.2018 aktualisiert um 11:23:04 Uhr
Goto Top
Sooo ich habe nun die o.g. Operationen durchgeführt und habe nur noch ein VLAN interface 182 und das normale ethernet 0.180 interface.
Eine default route über das Interface 0.180 und entsprechende Firewalleinträge für mein Gigaset.

Siehe da raus rufen/rein rufen geht inkl. Ton und Klingelzeichen!

Hier die Finale Konfiguration:

interface Ethernet0.180
 encapsulation dot1Q 180
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet


interface Vlan182
 ip address 192.168.44.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 zone-member security Trusted
 ip policy route-map VDSLV-nat

no ip nat service sip udp port 5060

ip nat inside source route-map VDSLV-nat interface Ethernet0.180 overload
ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp

ip access-list extended PF
 deny   tcp any any eq 1720
 permit udp any host 192.168.44.5 range 5060 5070

route-map VDSLV-nat permit 10
 match ip address 101 103
 set interface Ethernet0.180

access-list 101 permit ip 192.168.77.0 0.0.0.255 any
access-list 103 permit ip 192.168.44.0 0.0.0.255 any
access-list 107 deny   tcp any any eq 1720

Ich verstehe nur nicht warum die es so machen?! Bei der Telekom am BNG macht mir das irgendwie alles mehr Sinn aber ok.