02.09.2017

3422

Cisco 896va und cisco Switch 2960x über SFP verbinden

Hallo miteinander,

ich habe folgendes Problem:
Am 896va habe ich dem SFP8 (WAN)Port ein SFP-Modul spendiert und das SFP-Gegenstück meinem 2960x. Die Verbindung steht auch soweit,
ich komme per Terminal vom Switch auf den 896va, aber ich komme vom Swtich über den 896va nicht online.
Sieht einer meinen Fehler in der Konfig oder fehlen einige Zeilen?
Kann ich den SFP8-WAN-Port als "LAN"-Port nutzen?
Desweiteren macht der Switch bei mir DHCP und der Router soll als DNS-Proxy arbeiten, somit kann jeder andere aus dem Internet heraus meinen Cisco-Router als DNS-Proxy nutzen.
Cisco-Router als DNS-Proxy
Wie umgeht ihr das Problem? Kann ich oder soll ich den Switch als DNS-Proxy laufen lassen?
Wäre über hilfreiche Tipps sehr dankbar!

Hier die konfig vom 896va:

no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
no service password-recovery
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 128000
enable secret Passwort
!
no aaa new-model
clock timezone MET 1 0
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
ip icmp rate-limit unreachable DF 501
!
!
no ip bootp server
ip domain name router.local
ip ddns update method noip.me
 HTTP
  add http://username:passwort@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
 interval maximum 0 0 10 0
!
ip cef
login block-for 120 attempts 5 within 180
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
license udi pid C896VA-K9 sn Seriennummer
!
!
username username privilege 15 secret 5 Passwort
!
redundancy
!
!
controller VDSL 0
 firmware filename flash:VA_A_39m_B_38u_24o_rc1_SDK_4.14L.04A-J.bin
 modem disableV43
 description VDSL Controller
!
class-map type inspect match-any Router-Protokolle
 match protocol icmp
 match protocol dns
 match protocol sip
class-map type inspect match-any Lokale-Protokolle
 match protocol sip
 match protocol sip-tls
 match protocol http
 match protocol https
 match protocol pop3s
 match protocol imaps
 match protocol smtp
 match protocol rtsp
 match protocol icmp
 match protocol ntp
 match protocol dns
 match protocol tcp
 match protocol udp
class-map type inspect match-any Gast-Protokolle
 match protocol http
 match protocol https
 match protocol dns
class-map type inspect match-any Gast-Management
 match protocol http
 match protocol https
!
policy-map type inspect Lokal-Gast-Policy
 class type inspect Gast-Management
  inspect
 class class-default
  drop
policy-map type inspect Lokal-Internet-Policy
 class type inspect Lokale-Protokolle
  inspect
 class class-default
  drop
policy-map type inspect Gast-Internet-Policy
 class type inspect Gast-Protokolle
  inspect
 class class-default
  drop
policy-map type inspect Router-Internet-Policy
 class type inspect Router-Protokolle
  inspect
 class class-default
  drop
!
zone security Lokal
zone security Gast
zone security Internet
zone-pair security Lokal-Internet source Lokal destination Internet
 service-policy type inspect Lokal-Internet-Policy
zone-pair security Gast-Internet source Gast destination Internet
 service-policy type inspect Gast-Internet-Policy
zone-pair security Lokal-Gast source Lokal destination Gast
 service-policy type inspect Lokal-Gast-Policy
zone-pair security Router-Internet source self destination Internet
 service-policy type inspect Router-Internet-Policy
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
 load-interval 30
 no keepalive
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 description uplink
 ip address 192.168.1.250 255.255.255.0
 no ip redirects
 no ip proxy-arp
 zone-member security Lokal
 load-interval 30
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
!
interface Dialer0
 description DSL Einwahl Interface
 mtu 1492
 ip ddns update hostname hostname.de
 ip ddns update noip.me
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip dns view-group dvl_secure-dns-proxy
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxx.de password 7 1234567890
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns view-list dvl_secure-dns-proxy
 view default 1
  restrict authenticate
ip dns server
ip ssh authentication-retries 2
ip ssh version 2
ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr
!
!
ipv6 ioam timestamp
!
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit any
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
 vstack
!
line con 0
 exec-timeout 30 0
 password 7 Passwort
 vacant-message ^CCC

^C
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 10 in
 exec-timeout 60 0
 vacant-message ^CCC

^C
 login local
 transport input telnet ssh
line vty 5 15
 access-class 10 in
 exec-timeout 60 0
 vacant-message ^CCC

login local
 transport input none
!
scheduler allocate 20000 1000
!
end

Und hier die konfig vom 2960x

no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 Passwort
!
username username privilege 15 password 7 Passwort
no aaa new-model
clock timezone MEZ 1 0
clock summer-time MEZ recurring last Sun Mar 2:00 last Sun Oct 2:00
no ip source-route
no ip gratuitous-arps
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.1.1 192.168.1.49
ip dhcp excluded-address 192.168.1.170 192.168.1.254
!
ip dhcp pool HeimNetz
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.250
 dns-server 192.168.1.250
 domain-name switch.intern
!
!
ip dhcp snooping vlan 1-100
ip dhcp snooping
!
no ip domain-lookup
ip domain-name switch.intern
vtp mode transparent
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0
 no ip address
!
interface GigabitEthernet0/1
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/2
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/3
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/4
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/5
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/6
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/7
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/8
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/9
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/10
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/11
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/12
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/13
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/14
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/15
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/16
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/17
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/18
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/19
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/20
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/21
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/22
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/23
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/24
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/25
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/26
 switchport mode access
 switchport nonegotiate
 ip dhcp snooping limit rate 20
!
interface Vlan1
 ip address 192.168.1.253 255.255.255.0
!
ip default-gateway 192.168.1.250
no ip http server
no ip http secure-server
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit any
!
!
line con 0
 exec-timeout 30 0
 password 7 Passwort
 vacant-message ^CC

^C
 stopbits 1
 speed 9600
line vty 0 4
 access-class 10 in
 exec-timeout 60 0
 vacant-message ^CC

^C
 login local
 transport input ssh
line vty 5 15
 access-class 10 in
 exec-timeout 60 0
 vacant-message ^CC

^C
 login local
!
ntp server 10.1.10.250
end

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 348051

Url: https://administrator.de/forum/cisco-896va-und-cisco-switch-2960x-ueber-sfp-verbinden-348051.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

28 Kommentare

Neuester Kommentar

Hallo,

Was meinst Du mit:

ich komme per Terminal vom Switch auf den 896va, > aber ich komme vom Swtich über den 896va nicht
online?

Poste doch bitte mal ein

sh vlan

Des Switches und ein

sh vlan-switch

des Routers

Brammer

An der Switch Router Kopplung liegt es nicht !

Er hat schlicht und einfach das "overload" Kommando fürs NAT vergessen und auch die dialer list. Der Router NATet so nicht ins Internet.
Zusätzlich fehlt auch noch das Kommado ip nat inside auf dem lokalen LAN
Klar das das dann mit NAT ins Internet niemals gehen kann !

Mit einem:
!
interface GigabitEthernet8
description Lokales LAN
ip address 192.168.1.250 255.255.255.0
ip nat inside
...
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 192.168.2.00 0.0.0.255 any
!
dialer-list 1 protocol ip list 101
!
Danach wird es auf Anhieb laufen.
Die Internet Konnektivität IMMER direkt vom Router CLI testen !
sh controller vdsl 0
sh ip int brief
ping 8.8.8.8
usw.
So kannst du dann den Router selber und die Internetverbindung immer sicher als Fehlerquelle ausschliessen !

Weitere Fehler:

Das lokale LAN hat kein MSS Clamping konfiguriert was bei DSL und einigen Webseiten Probleme bereiten wird
Der Uplink Gig 8 ist NICHT für VLAN Tagging konfiguriert. Sollten also mal mehrere VLANs per .1q vom Switch terminiert werden musst du das erweitern
Das Gastnetz ist obwohl konfiguriert in ACLs und ZFW nirgendwo physisch vorhanden !
Wenn du später mal mit VPNs arbeiten willst um dich von Remote per Laptop oder Smartphone aufs lokale Netz einzuwählen solltest du andere IP Netze als die dümmlichen Allerwelts 192.168.1.0 und .2.0 wählen sonst wirst du mit VPNs Probleme bekommen.

Bitte korrigiere das und halte dich immer genau an das hiesige Cisco Tutorial !
Das hat eine getestete, lauffähige Konfig !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

somit kann jeder andere aus dem Internet heraus meinen Cisco-Router als DNS-Proxy nutzen.

Das ist natürlich Unsinn !
Wenn du die ZFW richtig customized (siehe Tutorial) ist der DNS Zugriff von außen geblockt. Nur der Router kann durch die ZFW eine DNS Session aufbauen.
Der ct' Netzwerkcheck zeigt das eindeutig wenn du nach UDP und TCP 53 dort dediziert scannst:
https://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Hallo aqui,

vielen Dank für deine Korrektur.
ich habe meine Konfig entsprechend deinen Vorschlägen ergänzt. Aber leider ohne Erfolg, vom Router-CLI geht kein
Ping. Router ist Synchron und hat eine PPP-Session, DNS-Server-IPs hat er erhalten.

hier die geänderte Konfiguration:

version 15.7
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
no service password-recovery
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 128000
enable secret 5 Passwort
!
no aaa new-model
clock timezone MET 1 0
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
ip icmp rate-limit unreachable DF 501
!
!
!
!
no ip bootp server
ip domain name Router.local
ip ddns update method noip.me
 HTTP
  add http://username:pw@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
 interval maximum 0 0 10 0
!
ip cef
login block-for 120 attempts 5 within 180
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
license udi pid C896VA-K9 sn Seriennummer
!
!
username username privilege 15 secret 5 Passwort
!
redundancy
!
!
!
controller VDSL 0
 firmware filename flash:VA_A_39m_B_38u_24o_rc1_SDK_4.14L.04A-J.bin
 modem disableV43
 description *** VDSL  ***
!
!
class-map type inspect match-any Router-Protokolle
 match protocol icmp
 match protocol dns
 match protocol sip
class-map type inspect match-any Lokale-Protokolle
 match protocol sip
 match protocol sip-tls
 match protocol http
 match protocol https
 match protocol pop3s
 match protocol imaps
 match protocol smtp
 match protocol rtsp
 match protocol icmp
 match protocol ntp
 match protocol dns
 match protocol tcp
 match protocol udp
!
policy-map type inspect Lokal-Internet-Policy
 class type inspect Lokale-Protokolle
  inspect
 class class-default
  drop
policy-map type inspect Router-Internet-Policy
 class type inspect Router-Protokolle
  inspect
 class class-default
  drop
!
zone security Lokal
zone security Internet
zone-pair security Lokal-Internet source Lokal destination Internet
 service-policy type inspect Lokal-Internet-Policy
zone-pair security Router-Internet source self destination Internet
 service-policy type inspect Router-Internet-Policy
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
 load-interval 30
 no keepalive
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 description uplink
 ip address 10.1.10.250 255.255.255.0
 no ip redirects
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 zone-member security Lokal
 ip tcp adjust-mss 1452
 load-interval 30
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
!
interface Dialer0
 description DSL Einwahl Interface
 mtu 1492
 ip ddns update hostname hostname.de
 ip ddns update noip.me
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username Benutzername@anbieter.de password 7 1234567890
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip ssh authentication-retries 2
ip ssh version 2
ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr
!
!
dialer-list 1 protocol ip list 101
ipv6 ioam timestamp
!
access-list 10 permit 10.1.10.0 0.0.0.255
access-list 10 permit 10.2.10.0 0.0.0.255
access-list 10 permit any
access-list 101 permit ip 10.1.10.0 0.0.0.255 any
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
 vstack
!
line con 0
 exec-timeout 30 0
 password 7 Passwort
 vacant-message ^CCC

^C
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 10 in
 exec-timeout 60 0
 vacant-message ^CCC
 
^C
 login local
 transport input telnet ssh
line vty 5 15
 access-class 10 in
 exec-timeout 60 0
 vacant-message ^CCC

^C
 login local
 transport input none
!
scheduler allocate 20000 1000
!
end

Router ist Synchron und hat eine PPP-Session, DNS-Server-IPs hat er erhalten.

Was genau meinst du mit dem Wort "synchron" ???
Wenn du ein show contr vdsl 0 eingibst kannst du da sowas wie:

Modem Status:		 TC Sync (Showtime!) 

DSL Config Mode:	 AUTO 
Trained Mode:	G.993.2 (VDSL2) Profile 17a
TC Mode:		 PTM 
Selftest Result:	 0x00 
DELT configuration:	 disabled 
DELT state:		 not running 

sehen ?? Wichtig ist das TC Sync (Showtime!) und Trained Mode: G.993.2 (VDSL2) Profile 17a
Was sagt ein show ip int brief ?
Bekommst du eine gültige IP der PPPoE ? show int dialer 0
Stimmt die Routing Tabelle show ip route ?
Was sagt ein ping 8.8.8.8 vom Router CLI ?
Zeigt ein sh ip nat trans aktive NAT sessions ?
Soweit ist die Konfig OK.
Im Zweifel um die Firewall auszuschliessen zu können einmal testweise die zone security von beiden Interfaces entfernen und dann nochmal ping testen.

Hallo aqui,

nachdem ich all deine Befehle getestet habe und die FW auf den Interfaces deaktiviert hatte und es immernoch nicht funktionierte,
habe ich den Router neu gestartet und siehe da......es funktioniert

Nun werde ich noch VPN´s und VLAN´s einrichten, dazu hast du einige Einleitungen.
Für die VLAN´s am Router interface GigabitEthernet8 würde ich Subinterfaces erstellen
wie z.B.
Subinterface für VLAN 10 erstellen:
Router(config)#int gig8/0.1
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 10.10.10.1 255.255.255.0
Router(config-subif)#ex

Subinterface für VLAN 20 erstellen:
Router(config)#int gig8/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 10.10.20.1 255.255.255.0
Router(config-subif)#ex

Bin ich da richtig?

Werde mich bei Problemen nochmal melden

VIELEN DANK soweit!!!

Für die VLAN´s am Router interface GigabitEthernet8 würde ich Subinterfaces erstellen

Das ist der richtige Weg. Ggf. kannst du auch einen Trunk bzw. Etherchannel (Cisco Sprech für Link Aggregation) machen auf den Switch und Router mit 2 GiG Interfaces (genug hast du ja

) um die Last bei mehreren VLANs etwas zu verteilen.

Subinterface für VLAN 10 erstellen:

Ja, das ist genau richtig.
Vielleicht solltest du die VLAN ID ins Subinterface "reinkodieren" dann ist es kosmetisch etwas übersichtlicher

Router(config)#int gig8/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 10.10.10.1 255.255.255.0
Router(config-subif)#exit

Danke für deinen Hinweis!
Bevor ich weiter mit VPNs und VLANs mache, ist mir aufgefallen das VOIP nicht funktioniert.
Die Rufnummern sind beim Provider angemeldet, aber es geht kein Ruf rein oder raus.
Ich vermute es hat mit NAT zu tun.
Werde es morgen nochmal angehen, mal sehen ob der "Befehl" no ip nat service sip udp port 5060 ausreicht.
Oder IP-Anlage an einem GiG-Port von Router hängen und auf diesen kein NAT einrichten?

Hast du SIP und RTSP in die ZFW Konfig aufgenommen ?? Damit klappt es eigentlich dann fehlerfrei ohne irgendwelche weitere Konfig. STUN solltest du immer aktivieren an den VoIP Geräten.
Hier werkelt ein Cisco VoIP Adapterm, eine VoIP Anlage und diverse Cisco Telefone sowie die üblichen Softclients wie Phoner etc. vollkommen problemlos hinter der ZFW.

Hmmm,

hab die Konfiguration aus Cisco 880 bzw. 890 Router Konfiguration am ADSL oder VDSL Anschluss inkl. VPN und IP-TV entnommen.

Hab eine FritzBox dahinter, die ein- und ausgehende Gespräche funktionieren nicht.
Testweise habe ich eine N510ip eingestöpselt, da geht der Ruf raus aber ich höre nichts, Anrufe kommen keine rein.

Hast du jeweils STUN konfiguriert ?? Damit geht das dann fehlerfrei, weil die ZFW als Voice aware Application arbeitet und die entsprechenden Ports dynamisch öffnet.

Ansonsten kannst du die ZFW Konfig auch anpassen wenn du kein STUN machen kannst um die FW für Port 5060 zu öffnen.
Hier mal ein Beispiel wie du die ZFW für VPN und für Voice erweiterst bzw. öffnest für den Zugriff von außen.
Das lässt Voicecalls (SIP Port 5060) und die IPsec Ports zu von außen wenn du später mal VPN Dialin machst.
Die ZFW braucht dann eine Policy die den Traffic den der Router selber (nicht Endgeräte über die FW) ins Internet schickt. (self Zone)

!
class-map type inspect match-all VoiceVPNToRouter
match access-group name VoiceVPN
!
class-map type inspect match-any RouterProtocols
match class-map VoiceVPNToRouter
match protocol isakmp
match protocol dns
match protocol ntp
match protocol sip
match protocol icmp
!
policy-map type inspect RouterToInternet
description Traffic Router zum Internet
class type inspect RouterProtocols
inspect
class class-default
drop
!
policy-map type inspect InternetToRouter
description Traffic Internet zum Router
class type inspect VoiceVPNToRouter
inspect
class class-default
drop
!
zone-pair security RouterToInternet source self destination Internet
service-policy type inspect RouterToInternet
!
zone-pair security InternetToRouter source Internet destination self
service-policy type inspect InternetToRouter
!
ip access-list extended VoiceVPN
permit udp any eq 5060 any
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any

bei der Eingabe von:

zone-pair security RouterToInternet source self destination Internet
service-policy type inspect RouterToInternet

bring er mir die Fehlermeldung:
Protocol configured in class-map RouterProtocols cannot be configured for the self zone with inspect action. Please remove the protocol and retry

Ja das ist irgendwie ein Bug zwischen IOS Release 15.4.3 und 15.6.3. Ich vermute du hast auch eine 15.6er, richtig ?!Dort musst du das ändern in:
!
class-map type inspect match-any RouterProtocols
match class-map VoiceVPNToRouter
match protocol udp
match protocol icmp
!
Man kann dort komischerweise keine dedizierten Protokolle mehr angeben.
Ich vermute einen Bug ?!

sorry, bin noch nicht zum testen gekommen.
Ich hatte die 15.7.3, die 15.4.3 und die 15.3.3 getestet, bei allen die gleiche Ausgabe....
Habe mir jetzt noch ein SPA112 besorgt, werde dies die Tage testen.

Grüße

Sorry, mein Fehler. In die Self Zone geht kein Inspect hier musst du "Pass" verwenden, dann klappt es:

class-map type inspect match-any AllowedOut
match protocol http
match protocol https
match protocol pop3s
match protocol imaps
match protocol smtp extended
match protocol sip
match protocol rtsp
match protocol ssh
match protocol icmp
match protocol dns
match protocol ntp
match protocol tcp
match protocol udp
class-map type inspect match-all VPNAccess
match access-group name IPSEC_VPN
class-map type inspect match-any RouterProtocols
match class-map VPNAccess
match protocol icmp
match protocol isakmp
match protocol sip
match protocol dns
match protocol ntp
!
policy-map type inspect OutsideToRouter
description Router to Outside
class type inspect VPNAccess
pass
class type inspect RouterProtocols
class class-default
drop
policy-map type inspect RouterToOutside
description Router to Outside
class type inspect RouterProtocols
pass
class class-default
drop
policy-map type inspect InternetToRouter
description Permitted traffic internet to router
policy-map type inspect InsideToOutside
description Local LAN to Internet
class type inspect AllowedOut
inspect
class class-default
drop
!
ip access-list extended IPSEC_VPN
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
!

Blick langsam nicht mehr durch, sorry :/

Habe ich deine Vorschläge so richtig umgesetzt?

version 15.7
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
no service password-recovery
!
hostname ROUTER
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 128000
enable secret 5 PASSWORT.
!
no aaa new-model
clock timezone MET 1 0
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
clock calendar-valid
!
!
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
ip icmp rate-limit unreachable DF 501
!
!
no ip bootp server
ip domain name Router.router
ip ddns update method noip.me
 HTTP
  add http://BENUTZERNAME:PASSWORT@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
 interval maximum 0 0 10 0
!
ip cef
login block-for 120 attempts 5 within 180
no ipv6 cef
!
multilink bundle-name authenticated
!
!
cts logging verbose
license udi pid C896VA-K9 sn SERIENNUMMER
!
!
username BN privilege 15 secret 5 PW
!    
!
controller VDSL 0
 firmware filename flash:VA_A_39m_B_38u_24o_rc1_SDK_4.14L.04A-J.bin
 modem disableV43
 description *** VDSL ***
!
!
class-map type inspect match-all VoiceVPNToRouter
 match access-group name VoiceVPN
class-map type inspect match-any Lokale-Protokolle
 match protocol sip
 match protocol sip-tls
 match protocol http
 match protocol https
 match protocol pop3s
 match protocol imaps
 match protocol smtp
 match protocol rtsp
 match protocol icmp
 match protocol ntp
 match protocol dns
 match protocol tcp
 match protocol udp
 match protocol ssh
class-map type inspect match-any Router-Protokolle
 match protocol icmp
 match protocol isakmp
 match protocol sip
 match protocol dns
 match protocol ntp
 match class-map VoiceVPNToRouter
!
policy-map type inspect Lokal-Internet-Policy
 description Local LAN zum Internet
 class type inspect Lokale-Protokolle
  inspect 
 class class-default
  drop
policy-map type inspect Internet-Router-Policy
 description Internet zum Router
 class type inspect VoiceVPNToRouter
  pass
 class type inspect Router-Protokolle
 class class-default
  drop
policy-map type inspect Router-Internet-Policy
 description Router zum Internet
 class type inspect Router-Protokolle
  pass
 class class-default
  drop
!
zone security Lokal
zone security Internet
zone-pair security Lokal-Internet source Lokal destination Internet
 service-policy type inspect Lokal-Internet-Policy
zone-pair security Router-Internet source self destination Internet
 service-policy type inspect Router-Internet-Policy
!
!         
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
 load-interval 30
 no keepalive
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 switchport mode trunk
 no ip address
!
interface GigabitEthernet7
 switchport mode trunk
 no ip address
!
interface GigabitEthernet8
 description uplink
 ip address 10.1.10.250 255.255.255.0
 no ip redirects
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 zone-member security Lokal
 ip tcp adjust-mss 1452
 load-interval 30
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
!
interface Dialer0
 description DSL Einwahl Interface
 mtu 1492
 ip ddns update hostname hostname.noip.me
 ip ddns update noip.me
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication chap callin
 ppp chap hostname Zugangsdaten@anbieter.de
 ppp chap password 7 passwort
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!         
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip ssh authentication-retries 2
ip ssh version 2
ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr
!
ip access-list extended VoiceVPN
 permit udp any eq 5060 any
 permit udp any any eq isakmp
 permit udp any any eq non500-isakmp
 permit esp any any
!
dialer-list 1 protocol ip list 101
ipv6 ioam timestamp
!
access-list 10 permit 10.1.10.0 0.0.0.255
access-list 10 permit 10.2.10.0 0.0.0.255
access-list 10 permit any
access-list 101 permit ip 10.1.10.0 0.0.0.255 any
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
 vstack
!
line con 0
 exec-timeout 5 0
 password 7 Passwort
 vacant-message ^CCCC

^C
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 10 in
 exec-timeout 5 0
 vacant-message ^CCCC

^C
 login local
 transport input telnet ssh
line vty 5 15
 access-class 10 in
 exec-timeout 5 0
 vacant-message ^CCCC

^C
 login local
 transport input none
!
scheduler allocate 20000 1000
!
end

Sieht soweit gut aus. Die CM Lokale-Protokolle hat allerdings einen fehler denn die Globalprotokolle UDP und TCP sollten immer zum Schluss stehen.
Siehe ZFW Design Guide !

unverändert....
bei der Fritzbox geht kein Ruf raus und keiner rein, das gleiche beim N510 IP und beim SPA112 ebenfalls.....
sobald ich die Zonen von den Interfaces runterschmeiße funktioniert alles. :?

Mit dieser Konfig rennt SIP und RTP fehlerlos (getestet) mit der ZFW, allerdings kein VPN:
!
class-map type inspect match-any GuestAllowed
match protocol http
match protocol https
match protocol dns
match protocol ntp
class-map type inspect match-all IPsecVPN
match access-group name ISAKMP_IPSEC
class-map type inspect match-any HomeAllowed
match protocol http
match protocol https
match protocol pop3s
match protocol imaps
match protocol smtp
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ssh
match protocol icmp
match protocol ntp
match protocol dns
match protocol tcp
match protocol udp
class-map type inspect match-any RouterProtocols
match class-map IPsecVPN
match protocol icmp
match protocol udp
!
policy-map type inspect GuestToInternet
description Traffic Guest to Internet
class type inspect GuestAllowed
inspect
class class-default
drop
policy-map type inspect RouterToInternet
description Traffic Router to Internet
class type inspect RouterProtocols
inspect
class class-default
drop
policy-map type inspect HomeToInternet
description Traffic LAN to Internet
class type inspect HomeAllowed
inspect
class class-default
drop
policy-map type inspect InternetToRouter
description Permitted traffic internet to router
class type inspect IPsecVPN
inspect
class class-default
drop
!
zone security Home
zone security Guest
zone security Internet
zone-pair security HomeToInternet source Home destination Internet
service-policy type inspect HomeToInternet
zone-pair security GuestToInternet source Guest destination Internet
service-policy type inspect GuestToInternet
zone-pair security InternetToRouter source Internet destination self
service-policy type inspect InternetToRouter
zone-pair security RouterToInternet source self destination Internet
service-policy type inspect RouterToInternet
!
ip access-list extended ISAKMP_IPSEC
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
!
VPN wird zwar aufgebaut aber kein Forwarding ins lokale LAN.
Da gibts irgendwie Unterschiede bei 15.4 und 15.6 IOS.
Telefonie rennt aber fehlerfrei. Teste das mal.

Also.....
mit der Konfiguration funktionierte es ebenfalls nicht.
Nun habe ich in deiner Anleitung gesehn, dass du sip an erster Stelle stehen hast, also die Protokolle
runter und neu gemäß deiner Anleitung eingegeben, dabei bekomme ich bei SIP an erster Stelle folgenden Fehler ?!?

Unable to add default L7 class for configured filter
Error: Can't update policy-map or service-policy with new filter.

Meine Protokolle sehen fürs LAN wie folgt aus:
class-map type inspect match-any HomeAllowed
match protocol sip-tls
match protocol http
match protocol https
match protocol pop3s
match protocol imaps
match protocol smtp
match protocol rtsp
match protocol ssh
match protocol icmp
match protocol ntp
match protocol dns
match protocol tcp
match protocol udp

Und das beste, ich kann rein und raus telefonieren. Wird nun SIP von der Firewall geprüft oder habe ich nun eine "Lücke"?
Grüße

Ich habe das jetzt wasserdicht mit einer 15.6.3 er Firmware getestet mit VoIP aus dem lokalen LAN (SIP) einem Gastsegment und IPsec VPN Dialin für den remoten Zugriff.
Hier ist final die laufende Konfig dazu:
!
ip tcp ecn
ip tcp selective-ack
ip telnet source-interface Vlan1
!
class-map type inspect match-any Gast_erlaubt
match protocol http
match protocol https
match protocol dns
match protocol ntp
class-map type inspect match-all IPsec_VPN
match access-group name ISAKMP_IPSEC
class-map type inspect match-any Lokal_erlaubt
match protocol http
match protocol https
match protocol pop3s
match protocol imaps
match protocol smtp extended
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol dns
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-any Router_Protocols
match class-map IPsecVPN
match protocol icmp
match protocol udp
!
policy-map type inspect GastZuInternet
description Traffic Gast zum Internet
class type inspect Gast_erlaubt
inspect
class class-default
drop
policy-map type inspect RouterZuInternet
description Traffic Router zum Internet
class type inspect Router_Protocols
inspect
class class-default
drop
policy-map type inspect LokalZuInternet
description Traffic Lokales LAN zum Internet
class type inspect Lokal_erlaubt
inspect
class class-default
drop
policy-map type inspect InternetZuRouter
description Traffic Internet zum Router
class type inspect IPsec_VPN
inspect
class class-default
drop
!
zone security Lokal
zone security Gast
zone security Internet
zone-pair security LokalZuInternet source Lokal destination Internet
service-policy type inspect LokalZuInternet
zone-pair security GastZuInternet source Gast destination Internet
service-policy type inspect GastZuInternet
zone-pair security InternetZuRouter source Internet destination self
service-policy type inspect InternetZuRouter
zone-pair security RouterZuInternet source self destination Internet
service-policy type inspect RouterZuInternet
!
interface Vlan1
description Lokales LAN
zone-member security Lokal
!
interface Vlan10
description Gastnetz
zone-member security Gast
!
interface Dialer0
description DSL Internet Interface
zone-member security Internet
!
interface Virtual-Template2
description IPsec VPN Dialin
ip unnumbered Vlan1
zone-member security Home
!
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
!
Damit funktioniert es fehlerlos.
Die SIP Inspection muss VOR dem globalen TCP und UDP stehen was immer ganz am Schluss stehen muss !
Es sei denn du willst nicht spezifizierte Protokolle aus dem lokalen LAN nicht zulassen, dann kannst du TCP und UDP am Schluss auch weglassen.

Also ich verstehe das nicht......
bei mir funktioniert es nicht. Sobald ich "match protocol sip" aus dem Lokal_erlaubt entferne, funktioniert
die Telefonie mit allen Geräten. Sobald ich es einfüge, geht wieder nichts.....
Ist es schlimm wenn ich es nicht einfüge?

Hallo,

Post doch bitte mal deine komplette und aktuelle Konfiguration.... vermutlich hast du irgendwo ein Überbleibsel einer alten Konfig....

Brammer

IOS ist die 15.6.3
license advipservices
und mir geht es um VOIP aus dem LAN ins WAN und umgekehrt.

version 15.6
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
no service password-recovery
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 128000
enable secret 5 Passwort
!
no aaa new-model
clock timezone MET 1 0
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
ip icmp rate-limit unreachable DF 501
!
no ip bootp server
ip domain name Router.router
ip ddns update method noip.me
 HTTP
  add http://BN:PW@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
 interval maximum 0 0 10 0
!
ip cef
login block-for 120 attempts 5 within 180
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
license udi pid C896VA-K9 sn SN
!
!
username BN privilege 15 secret 5 PW
!
redundancy
!
controller VDSL 0
 firmware filename flash:VA_A_39m_B_38u_24o_rc1_SDK_4.14L.04A-J.bin
 modem disableV43
 description *** VDSL Controller ***
!
ip tcp ecn
ip tcp selective-ack
!
class-map type inspect match-any Router_Protocols
 match protocol icmp
 match protocol udp
class-map type inspect match-any Lokal_erlaubt
 match protocol http
 match protocol https
 match protocol sip-tls
 match protocol rtsp
 match protocol pop3s
 match protocol imaps
 match protocol smtp
 match protocol ftp
 match protocol ftps
 match protocol ssh
 match protocol ntp
 match protocol dns
 match protocol icmp
 match protocol tcp
 match protocol udp
class-map type inspect match-all IPsec_VPN
 match access-group name ISAKMP_IPSEC
!
policy-map type inspect InternetZuRouter
 description Traffic Internet zum Router
 class type inspect IPsec_VPN
  inspect
 class class-default
  drop
policy-map type inspect RouterZuInternet
 description Traffic Router zum Internet
 class type inspect Router_Protocols
  inspect
 class class-default
  drop
policy-map type inspect LokalZuInternet
 description Traffic Lokales LAN zum Internet
 class type inspect Lokal_erlaubt
  inspect
 class class-default
  drop
!
zone security Lokal
zone security Internet
zone-pair security LokalZuInternet source Lokal destination Internet
 service-policy type inspect LokalZuInternet
zone-pair security InternetZuRouter source Internet destination self
 service-policy type inspect InternetZuRouter
zone-pair security RouterZuInternet source self destination Internet
 service-policy type inspect RouterZuInternet
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
 load-interval 30
 no keepalive
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 switchport mode trunk
 no ip address
!
interface GigabitEthernet7
 switchport mode trunk
 no ip address
!
interface GigabitEthernet8
 description uplink
 ip address 10.1.10.250 255.255.255.0
 no ip redirects
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 zone-member security Lokal
 ip tcp adjust-mss 1452
 load-interval 30
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
!
interface Dialer0
 description DSL Einwahl Interface
 mtu 1492
 ip ddns update hostname Router.dyndns.de
 ip ddns update noip.me
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication chap callin
 ppp chap hostname Zugang@anbieter.de
 ppp chap password 7 PW
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip ssh authentication-retries 2
ip ssh version 2
ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr
!
ip access-list extended ISAKMP_IPSEC
 permit udp any any eq isakmp
 permit udp any any eq non500-isakmp
 permit esp any any
!
dialer-list 1 protocol ip list 101
ipv6 ioam timestamp
!
access-list 10 permit 10.1.10.0 0.0.0.255
access-list 10 permit 10.2.10.0 0.0.0.255
access-list 10 permit any
access-list 101 permit ip 10.1.10.0 0.0.0.255 any
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
 vstack
!
line con 0
 exec-timeout 5 0
 password 7 PW
 vacant-message ^CCCC

^C
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 10 in
 exec-timeout 5 0
 vacant-message ^CCCC

^C
 login local
 transport input telnet ssh
line vty 5 15
 access-class 10 in
 exec-timeout 5 0
 vacant-message ^CCCC

^C
 login local
 transport input none
!
scheduler allocate 20000 1000
ntp server 1.de.pool.ntp.org source Dialer0
!
end

Nebenbei gibt es mit der VA_B_38V_d24m.bin jetzt eine Vectoring fähige Modem Firmware:
https://software.cisco.com/download/release.html?mdfid=284303752&sof ...

Sobald ich es einfüge, geht wieder nichts.....

Nein, dann kannst du die dedizierte SIP Inspection weglassen und machst das global über die UDP Inspection.
Hast du mal ins Log gesehen was die Firewall mitloggt wenn du die dedizierte SIP Inspection aktiviert hast ? Was mag sie genau nicht an deinem SIP ? Das Log verrät dir das.
Man kann mit
class class-default
drop log
mal temporär das Logging aktivieren, denn dann sieht man den Grund warum er dein SIP nicht mag.
Ich habe das hier auch an den internen VoIP Komponenten gesehen das er bei fehlender STUN Konfiguration eine Protocol Violation im SIP erkennt und sie deshalb nicht passieren lässt. Bei sauberer STUN und Proxy Konfiguration der VoIP Komponenten lief es dann auch mit dedizierter SIP Inspection sauber durch.
Die Firewall ist hier dann bei den dedizierten Protokollen sehr pedantisch, was aber auch sehr gut ist

Also entweder du prüfst das auch nochmal genau im Setup deiner VoIP Endgeräte oder du lässt das mit über die globale UDP Inspection laufen, was auch OK ist.
Das Logging solltest du im Produktivbetrieb wieder deaktivieren wenn du es aktiviert hast.

Einen Fehler hast du noch in der Router Class map. Dort hast du vergessen die outbound IPsec Class map zu inkludieren:
class-map type inspect match-any Router_Protocols
match class-map IPsecVPN
Ohne das funktioniert kein IPsec VPN. Hast du sicher noch nicht bemerkt weil du noch kein VPN aktiv hast

Desweiteren ist die ACL 10 ein bischen blödsinnig.
Du erlaubst die beiden 10er Netze und danach erlaubst du dann generell alles mit permit any
Diese ACL 10 ist damit dann völlig sinnfrei, denn mit dem permit any machst du ja das Scheunentor komplett auf. Damit führst du diese ACL dann ad absurdum, denn wenn ALLES erlaubt ist kannst du sie dann auch gleich ganz weglassen da sie so ja keinerlei Wirkung hat.
Vermutlich hast du hier wohl einen Denkfehler gemacht und das letzte Statement in der ACL 10 sollte vermutlich DENY any any sein, richtig ??
Das würde dann Sinn machen und wäre syntaktisch richtig !

Der Rest ist dann soweit OK.

Vielen Dank aqui für deine Hilfe!!
Ein weiteres Problem ist nun aufgetaucht. Veilleicht kannst du mir da ebenfalls einen Tipp geben.
Die VPN Verbindung klappt, allerdings komme ich nicht ins einegen Netz und ich komme über den Tunnel nicht online.
hier ein ausschnitt der Konfiguration:

class-map type inspect match-any Lokal_erlaubt
 match protocol http
 match protocol https
 match protocol pop3s
 match protocol imaps
 match protocol smtp
 match protocol sip-tls
 match protocol rtsp
 match protocol ftp
 match protocol ftps
 match protocol ssh
 match protocol ntp
 match protocol dns
 match protocol icmp
 match protocol tcp
 match protocol udp
class-map type inspect match-all IPsec_VPN
 match access-group name ISAKMP_IPSEC
class-map type inspect match-any Router_Protocols
  description Traffic Router zum Internet
 match class-map IPsec_VPN
 match protocol icmp
 match protocol udp
 match protocol tcp
!
policy-map type inspect InternetZuRouter
 description Traffic Internet zum Router
 class type inspect IPsec_VPN
  inspect
 class class-default
  drop
policy-map type inspect RouterZuInternet
 description Traffic Router zum Internet
 class type inspect Router_Protocols
  inspect
 class class-default
  drop
policy-map type inspect LokalZuInternet
 description Traffic Lokales LAN zum Internet
 class type inspect Lokal_erlaubt
  inspect
 class class-default
  drop
!
zone security Lokal
zone security Internet
zone-pair security LokalZuInternet source Lokal destination Internet
 service-policy type inspect LokalZuInternet
zone-pair security InternetZuRouter source Internet destination self
 service-policy type inspect InternetZuRouter
zone-pair security RouterZuInternet source self destination Internet
 service-policy type inspect RouterZuInternet
!
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPNdialin
 key Geheim1234
 dns 10.1.10.250
 domain Router.router
 pool vpnpool
 save-password
 max-logins 3
crypto isakmp profile VPNclient
   description VPN Client Profil
   match identity group VPNdialin
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2

crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac
 mode tunnel

crypto ipsec profile vpn-vti2
 set transform-set myset

interface Virtual-Template2 type tunnel
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 zone-member security Lokal
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vpn-vti2

ip local pool vpnpool 10.1.10.201 10.1.10.220

ip access-list extended ISAKMP_IPSEC
 permit udp any any eq isakmp
 permit udp any any eq non500-isakmp
 permit esp any any

Entferne das no ip proxy-arp aus dem Template Interface und dem lokalen LAN Interface, dann klappt es sofort

(Proxy ARP muss aktiviert sein dort, da du mit unnumbered arbeitest)

Ins LAN komme ich nun, aber nicht über den Tunnel ins Internet. :/

ip nat inside hast du auf dem Virtual Template Interface konfiguriert ??
Ohne das geht es nicht. Zudem darfst du dann in den crypto Settings keinerlei "acl xyz" Definition machen.
Ohne die acl Definition macht er ein Gateway redirect und schickt dann alles via Tunnel.
Mit einem route print bei aktivem VPN (Windows) oder netstat bei unixoiden OS kannst du das dann sehen.
Hast du mal eine nackte IP wie 8.8.8.8 gepingt oder getraceroutet (Achtung bei Mac OS da mit dem -I Parameter !) ob die durchgeht.
Nicht das du DNS Probleme hast ?!

gelöst Frage Netzwerke Router, Routing

Mehr von oOHiggsOo

C3650-24PS-S-Switch als WLC mit 2 AP 2802I-E-K9oOHiggsOo - 4 Kommentare

Cisco 1921 ohne sec LicenseoOHiggsOo - 6 Kommentare

Heiß diskutiert