Problem Cisco 926 4P VoiP SnomD713 SIP eingehen ausgehend keine Telefonie und Uhrzeit Problem

Hallo,

ich störe nur ungern aber habe ein Problem mit nem Cisco ROuter und SNOM D713 Telefon was betrieben werden soll.

Ich habe eine Zone Based Firewall und die Config kann ich euch geben genauso wie die Ausgabe der CLI das geblockt wird.
Könnt Ihr mir weiterhelfen weil ich nicht weiterkomme.

https://administrator.de/tutorial/cisco-800-900-isr1100-router-konfiguration-mit-xdsl-kabel-ftth-anschluss-und-vpn-179345.html

In der obigen Anleitung konnte ich nicht genau herausfinden was ich machen muss aber SIP ist grundlegend nicht geblockt oder liege ich falsch?

Gleichzeitig habe ich beim hochladen der letzten Firmeware festgestellt dass die Zeit nicht passt , aber mit den Befehlen welche ich ausprobiert habe konnte ich das Problem nicht beheben und die Zeit stimmt immer noch nicht wäre toll wenn mir auch da jmd. helfen könnte.

Hier die Config

*May 17 12:06:45: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:06:46: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:06:47: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:06:49: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:06:53: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:06:57: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:07:01: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:07:05: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:07:09: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:07:13: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*May 17 12:07:17: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) -  dropping udp session 192.168.100.153:42251 externe IP:5060 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT


Cisco_Router#sh ver
Cisco IOS Software, C900 Software (C900-UNIVERSALK9-M), Version 15.9(3)M11, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2025 by Cisco Systems, Inc.
Compiled Thu 20-Mar-25 03:13 by mcpre

ROM: System Bootstrap, Version 15.8(3r)M0b, RELEASE SOFTWARE (fc1)

Cisco_Router uptime is 6 hours, 42 minutes
System returned to ROM by power-on
System image file is "flash:c900-universalk9-mz.SPA.159-3.M11.bin"  
Last reload type: Normal Reload
Last reload reason: power-on


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco C926-4P (revision 1.0) with 994825K/53750K bytes of memory.
Processor board ID FGL2551L05S
1 DSL controller
1 Ethernet interface
5 Gigabit Ethernet interfaces
1 ATM interface
1 Virtual Private Network (VPN) Module
256K bytes of non-volatile configuration memory.
1900544K bytes of SD Flash flash (Read/Write)


License Info:

License UDI:

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*1        C926-4P               SERIENNNUMMER


Technology Package License Information for Module:'c900'  

------------------------------------------------------------------------
Technology    Technology-package                  Technology-package
              Current              Type           Next reboot
------------------------------------------------------------------------
ipbase        ipbasek9             Permanent      ipbasek9
security      securityk9           Permanent      securityk9
appx          None                 None           None

Configuration register is 0x2102

Cisco_Router#show conf
Using 6373 out of 262144 bytes
!
version 15.9
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router
!
boot-start-marker
boot system flash:c900-universalk9-mz.SPA.159-3.M11.bin
boot-end-marker
!
!
enable secret 9 XXXXXX
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
!
ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn FGL2551L05S
!
!
username admin privilege 15 secret 9 XXXXXX
!
redundancy
!
!
!
!
!
controller VDSL 0
 firmware filename flash:c900_VA_A_39x3_B_39x3_26d.bin
!
!
class-map type inspect match-any LOKAL-ERLAUBT
 match protocol http
 match protocol https
 match protocol dns
 match protocol pop3s
 match protocol imaps
 match protocol smtp
 match protocol sip
 match protocol sip-tls
 match protocol rtsp
 match protocol ftp
 match protocol ftps
 match protocol ssh
 match protocol ntp
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-any GAST-ERLAUBT
 match protocol http
 match protocol https
 match protocol dns
 match protocol ntp
class-map type inspect match-all IPsec_VPN
 match access-group name ISAKMP_IPSEC
class-map type inspect match-any ROUTER-PROTOCOLS
 match class-map IPsec_VPN
 match protocol tcp
 match protocol udp
 match protocol icmp
!
policy-map type inspect LOKAL-INTERNET-POLICY
 description Traffic Lokales LAN zum Internet
 class type inspect LOKAL-ERLAUBT
  inspect
 class class-default
  drop
policy-map type inspect ROUTER-INTERNET-POLICY
 description Traffic Router zum Internet
 class type inspect ROUTER-PROTOCOLS
  inspect
 class class-default
  drop
policy-map type inspect GAST-INTERNET-POLICY
 description Traffic Gast zum Internet
 class type inspect GAST-ERLAUBT
  inspect
 class class-default
  drop
policy-map type inspect INTERNET-ROUTER-POLICY
 description Traffic Internet zum Router
 class type inspect IPsec_VPN
  pass
 class class-default
  drop
!
zone security LOKAL
zone security GAST
zone security INTERNET
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
 service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
 service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
 service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ROUTER-INTERNET source self destination INTERNET
 service-policy type inspect ROUTER-INTERNET-POLICY
!
!
!
!
!
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 zone-member security LOKAL
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Vlan2
 description Gastnetz
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 zone-member security GAST
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::2:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Dialer0
 description DSL Internet Interface
 mtu 1488
 ip address negotiated
 ip access-group bockext in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 zone-member security INTERNET
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 verify unicast reverse-path
 ppp authentication pap callin
 ppp pap sent-username DSL@PROVIDER.DE password 7 XXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended ISAKMP_IPSEC
 permit udp any any eq isakmp
 permit udp any any eq non500-isakmp
 permit esp any any
ip access-list extended blockext
 remark offene TCP Verbindungen dr
 remark offene TCP Verbindungen durchlassen
 permit tcp any any established
 remark DNS Port beide Protokolle, blockieren
 deny   tcp any any eq domain
 deny   udp any any eq domain
 remark Rest erlauben
 permit ip any any
!
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
!
!
control-plane
!
banner motd ^CCCC
LOGIN AUF DIESEN ROUTER OHNE GENEHMIGUNG STRAFBAR AUCH JEG: VERSUCH . ALLES ANDE                                                     RE AUCH!!!
NO LOGIN IS ALLOWED OR USING OF THIS ROUTER!
^C
!
line con 0
line vty 0 4
 transport input none
!
scheduler allocate 20000 1000
!
end

Gruß Mario

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Kommentar vom Moderator colinardo am 24.05.2025 um 07:32:59 Uhr

Konfiguration in Codetags gesetzt.

Content-ID: 673009

Url: https://administrator.de/forum/problem-cisco-926-4p-voip-snomd713-sip-eingehen-ausgehend-keine-telefonie-und-uhrzeit-problem-673009.html

Ausgedruckt am: 24.05.2025 um 10:05 Uhr

2 Kommentare

Neuester Kommentar

Moin Mario,

vorab: könntest Du Deine Config bitte über die Beitrag bearbeiten Funktion in CODE-Tags setzen, das erhöht die Lesbarkeit erheblich und man kann Zeilennummern in der Antwort angeben.

Zu Deinem Telefon(ie)problem: Welche Telefonanlage oder VoIP-Anbieter kommt zum Einsatz? Oder bist Du noch immer bei o2 und versuchst dort die Telefonie im D713 anzudocken? Steht die TK-Anlage (wenn vorhanden) extern oder im internen Netz.
Zusätzlich mal auf der Weboberfläche des Snoms ins Logfile schauen, vielleicht schlagen auch bereits die SIP REGISTER Anfragen fehl (Logfile (auszugsweise) ggf. dann mal hier posten).

Ich vermute es gibt ein Problem mit der RTP-Übertragung. Aber dafür wäre ein Paketmitschnitt hilfreich, da kann man besser sehen, was genau passiert (geblockt wird).

Im Cisco Forum gibt es einige Einträge mit dem gleichen Problem: https://community.cisco.com/t5/network-security/zbfw-quot-sip-protocol-v ...

Einige FW-Versionen sind wohl buggy in Bezug auf SIP mit aktivierter deep packet inspection.

Gruß

cykes

aber SIP ist grundlegend nicht geblockt oder liege ich falsch?

Richtig, du liegst da nicht falsch!
Kannst du ja auch an deiner eigenen Class Map LOKAL-ERLAUBT für dein lokales LAN immer selber sehen. Am Ende mit match protocol tcp und udp lässt du ja grundsätzlich ALLES an TCP und UDP basierten Protokollen durch!
Alles was zusätzlich noch protokollspezifisch angegeben ist wird auch auf den UDP und TCP Port bezogen noch genauer untersucht. Das ist also alles OK.
Als Vergleich dazu kannst du dir die Class Map GAST-ERLAUBT für dein Gastnetz ansehen. Gäste dürfen bei dir lediglich mit dem Browser arbeiten, DNS Requests senden und NTP Zeitserver befragen. Ping, VoIP und auch alles andere ist den Gästen verboten.

SIP Thematik:
Sehr hilfreich ist es in dem Falle einmal ein freies VoIP Softphone auf dem PC zu installieren wie Phoner oder Phone Lite:
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Das Softphone konfigurierst du dann mit deinem SIP User/Pass und SIP-Server Credentials und kannst damit aktiv testen. Auf dem gleichen PC kannst du dann parallel einen Wireshark Sniffer bei Bedarf laufen lassen und dir den SIP Prozess einmal genau ansehen.
Zusätzlich führt die Phoner Software ein Log was etwaige Fehler und Probleme immer mitloggt.

Manche VoIP Endgeräte verhalten sich nicht SIP RFC Standard konform und "mögen" das mit der ZFW und der spezifischen SIP und RTP Inspection aktivierte Voice Application Gateway nicht, so das es zu den o.a. SIP Format Fehlermeldungen und Drops kommt weil die Firewall einen Angriff vermutet.
In dem Falle ist es dann immer hilfreich zuerst testweise die beiden SIP "match" Kommandos aus der Class Map zu entfernen und nur RTSP zu belassen.
Die VoIP Protokoll Inspection wir dann weniger restriktiv und rein über die globale TCP bzw. UDP Inspection gemacht. Damit verschwindet dann auch die Fehlermeldung im Log und natürlich auch das Droppen dieses Traffics in der Firewall.
Im Zweifel, sollte es wider Erwarten immer noch nicht klappen, kannst du ebenfalls den RTSP Eintrag weglassen und das auch global über die UDP Inspection machen lassen.
Damit sollte das Problem verschwinden.
Sofern deine VoIP Endgeräte einen Keepalive nutzen prüfe das der Keepalive Timer nicht größer als 30 Sek. gesetzt ist oder stelle im Endgerät SIP immer auf einem TCP Encapsulation ein und nicht UDP! Prüfe dort auch das symetrische RTP Ports verwendet werden! Das o.a. Verhalten ist in erster Linie ein Konfig Fehler des VoIP Endgerätes und nicht des Routers. In so gut wie allen dieser Fälle halten sich Hersteller nicht an den SIP RFC Standard was dann bei protokollspezifischer Inspection in solchen Error Meldungen resultiert.
Wie gesagt: Prüfe das Verhalten auch immer mit dem o.a. Softphone im Vergleich.

NTP Thematik:
Du hast auf dem Router keinerlei NTP Konfig, so das der Router daran scheitert sich von irgendwo her eine korrekte Uhrzeit und Datum zu holen. Diese Konfig fehlt bei dir schlicht und einfach so das es erwartbar ist das du eine falsche Uhrzeit hast.

Wenn du die Uhrzeit aus dem Internet ziehst, dann lösen diese im Tutorial beschriebenen Kommandos dein selbstgemachtes NTP Problem im Handumdrehen:

ntp server de.pool.ntp.org source Dialer0
ntp update-calendar 

Das Source Interface kannst du natürlich ändern wenn du einen internen NTP Server im lokalen LAN betreibst.
Wenn dein Internet Provider eigene Zeitserver betreibt z.B. die Telekom D mit ntp1.t-online.de dann solltest du diese verwenden. Letztlich aber kosmetisch.
Der deutsche ntp.org Pool hat den Vorteil das sich dahinter mehrere NTP Server in einem Pool befinden. (Redundanz)
Ein show ntp status bzw. auch show ntp ass und show clock zeigt dir dann ob der Router eine korrekte NTP Zeitserver Verbindung aufgebaut hat und die korrekte Uhrzeit und Datum hat.

Weitere Punkte:

Konfigurations "Leichen" wie die ungenutzte und bei einer ZFW auch völlig überflüssige "blockext" Accessliste sollte man immer entfernen! Das verhindert Fehler und böse Side Effects.

Alles weitere erklärt dir, wie immer, das hiesige Cisco Tutorial.

Frage Router, Routing

Mehr von mariocisco

Debian mit Yubikey Anmeldungmariocisco - 1 Kommentar

CISCO SEC Zone Based Firewall nmapmariocisco - 29 Kommentare

IP Fire als Firewall Virtual Boxmariocisco - 21 Kommentare

Cisco 926-4P Firmeware Updatemariocisco - 11 Kommentare

Heiß diskutiert