8
Probleme mit Cisco 878 SDSL und VOIP samt Grundkonfig
Cisco 878 SDSL ROuter/Modem mit DHCP Funktion im Einsatz. SOll nun kein DHCP mehr haben + VOIP Telefonie unterstützen.
Von o2 leider kein Support mehr.
Hallo,
ein Cisco 878 SDSL Router wurde bisher für zwei PCs verwendet. Hier wurde die DHCP Funktion vom Cisco Router mitverwendet.
Nun soll ein weiterer PC + mehrere VOIP Telefone + 1x Server (als Domänencontroller) folgen. Der DC soll dann natürlich auch als DHCP fungieren.
Auf dem Router ist dem ersten LAN Interface ein VLAN1 deklariert. Jetzt weiss ich nicht ob die DHCP FUnktion generell für alle LAN Anschlüsse ist, oder lediglich fürs VLAN1 Int.
Problem:
Wie deaktiviere ich die DHCP Funktion auf dem Cisco 878?
Wie kann ich die VOIP Ports (5060) freischalten, bzw. was muss ich da sonst noch evtl. beachten.
Bisher hat der Router die IP 192.168.0.1 und die beiden PCs entsprechend höher.
VOIP Ports freischalten (Richtig ???)----->
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
für deaktivieren des DHCPs (Wäre das richtig?) ------>
no service dhcp
(muss ich das auf dem Interface VLAN1 machen, oder reicht das unter router config#)
Und muss ich den IP DHCP Pool noch irgendwie deaktivieren?
Hier die original Config:
Current configuration : 4213 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname XXXXX
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 XXXXX
!
aaa new-model
!
!
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-XXXXX
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-XXXX
revocation-check none
rsakeypair TP-self-signed-XXXX
!
!
crypto pki certificate chain TP-self-signed-XXXX
certificate self-signed 01
XXXXX
quit
dot11 syslog
ip source-route
!
!
no ip dhcp conflict logging
!
ip dhcp pool LAN
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
domain-name dsl.o2online.de
dns-server 192.168.0.1
!
!
ip cef
ip domain name dsl.o2online.de
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username XXXX privilege 15 secret 5 XXXX
!
!
!
archive
log config
hidekeys
!
!
controller DSL 0
mode atm
line-mode auto enhanced
dsl-mode shdsl symmetric annex B
!
ip telnet source-interface Dialer3
ip tftp source-interface Dialer3
!
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description * SHDSL interface (UR2) Telefonica DSL *
no ip address
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 3
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description * LAN Verbindung zum Kunden *
ip address 192.168.0.1 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface Dialer3
description * DSL Einwahl *
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 3
dialer vpdn
dialer-group 3
no cdp enable
ppp pap sent-username XXXDSLNAMEXXX password 7 xxxxx
ppp ipcp dns request
ppp ipcp route default
!
ip forward-protocol nd
no ip http server
ip http access-class 20
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http client source-interface Dialer3
!
!
ip dns server
ip nat inside source list 20 interface Dialer3 overload
!
access-list 20 permit 192.168.0.0 0.0.0.255
access-list 37 permit 62.54.254.0 0.0.0.3
access-list 37 permit 192.168.0.0 0.0.0.255
access-list 103 permit ip any any
dialer-list 3 protocol ip list 103
no cdp run
!
!
!
!
!
control-plane
!
!
line con 0
password 7xxx
no modem enable
line aux 0
password 7 xxxx
line vty 0 4
access-class 37 in
privilege level 15
password 7 xxx
!
scheduler max-task-time 5000
end
Von o2 leider kein Support mehr.
Hallo,
ein Cisco 878 SDSL Router wurde bisher für zwei PCs verwendet. Hier wurde die DHCP Funktion vom Cisco Router mitverwendet.
Nun soll ein weiterer PC + mehrere VOIP Telefone + 1x Server (als Domänencontroller) folgen. Der DC soll dann natürlich auch als DHCP fungieren.
Auf dem Router ist dem ersten LAN Interface ein VLAN1 deklariert. Jetzt weiss ich nicht ob die DHCP FUnktion generell für alle LAN Anschlüsse ist, oder lediglich fürs VLAN1 Int.
Problem:
Wie deaktiviere ich die DHCP Funktion auf dem Cisco 878?
Wie kann ich die VOIP Ports (5060) freischalten, bzw. was muss ich da sonst noch evtl. beachten.
Bisher hat der Router die IP 192.168.0.1 und die beiden PCs entsprechend höher.
VOIP Ports freischalten (Richtig ???)----->
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
für deaktivieren des DHCPs (Wäre das richtig?) ------>
no service dhcp
(muss ich das auf dem Interface VLAN1 machen, oder reicht das unter router config#)
Und muss ich den IP DHCP Pool noch irgendwie deaktivieren?
Hier die original Config:
Current configuration : 4213 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname XXXXX
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 XXXXX
!
aaa new-model
!
!
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-XXXXX
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-XXXX
revocation-check none
rsakeypair TP-self-signed-XXXX
!
!
crypto pki certificate chain TP-self-signed-XXXX
certificate self-signed 01
XXXXX
quit
dot11 syslog
ip source-route
!
!
no ip dhcp conflict logging
!
ip dhcp pool LAN
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
domain-name dsl.o2online.de
dns-server 192.168.0.1
!
!
ip cef
ip domain name dsl.o2online.de
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username XXXX privilege 15 secret 5 XXXX
!
!
!
archive
log config
hidekeys
!
!
controller DSL 0
mode atm
line-mode auto enhanced
dsl-mode shdsl symmetric annex B
!
ip telnet source-interface Dialer3
ip tftp source-interface Dialer3
!
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description * SHDSL interface (UR2) Telefonica DSL *
no ip address
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 3
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description * LAN Verbindung zum Kunden *
ip address 192.168.0.1 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface Dialer3
description * DSL Einwahl *
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 3
dialer vpdn
dialer-group 3
no cdp enable
ppp pap sent-username XXXDSLNAMEXXX password 7 xxxxx
ppp ipcp dns request
ppp ipcp route default
!
ip forward-protocol nd
no ip http server
ip http access-class 20
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http client source-interface Dialer3
!
!
ip dns server
ip nat inside source list 20 interface Dialer3 overload
!
access-list 20 permit 192.168.0.0 0.0.0.255
access-list 37 permit 62.54.254.0 0.0.0.3
access-list 37 permit 192.168.0.0 0.0.0.255
access-list 103 permit ip any any
dialer-list 3 protocol ip list 103
no cdp run
!
!
!
!
!
control-plane
!
!
line con 0
password 7xxx
no modem enable
line aux 0
password 7 xxxx
line vty 0 4
access-class 37 in
privilege level 15
password 7 xxx
!
scheduler max-task-time 5000
end
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 179605
Url: https://administrator.de/contentid/179605
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
mal ganz ehrlich, hast du hier im Forum gesucht?
Heir ist eine Konfiguration für den 886 die kannst du im Prinzip 1:1 übernehmen.
brammer
mal ganz ehrlich, hast du hier im Forum gesucht?
Heir ist eine Konfiguration für den 886 die kannst du im Prinzip 1:1 übernehmen.
brammer
Ich hab gesucht... aber falsch 
Cisco 878 hab ich eingetippt gabs drei treffer ...
so einen großen unterschied kann ich aber leider nicht feststellen:
Kannst du mich aufklären, was hier den unterschied, zu der jetzigen "falschen" Konfig ist...?
interface Vlan1
hier steht zusätzlich:
ip tcp adjust-mss 1452
Bei
!
ip dns server
steht zusätzlich:
ip route 0.0.0.0 0.0.0.0 Dialer0
Cisco 878 hab ich eingetippt gabs drei treffer ...
so einen großen unterschied kann ich aber leider nicht feststellen:
Kannst du mich aufklären, was hier den unterschied, zu der jetzigen "falschen" Konfig ist...?
interface Vlan1
hier steht zusätzlich:
ip tcp adjust-mss 1452
Bei
!
ip dns server
steht zusätzlich:
ip route 0.0.0.0 0.0.0.0 Dialer0
Deaktiviern tust du beim Cisco immer damit indem du ein no vor das Kommando setzt !
Ein "no ip dhcp pool LAN" killt also den DHCP Prozess auf dem Cisco.
Danach "wr" nicht vergessen sonst ist er nach dem nächsten Reboot wieder da !
Du kannst auf dem Cisco mehrere DHCP Prozesse pro VLAN laufen lassen. Er antwortet immer nur mit dem Pool der passend ist zu seinem IP Netzwerk wo der DHCP Request herkommt !
Was deine VoIP Ports anbetrifft werden die in der o.a. Konfig komplett durchgereicht.
Du hast ja keinerlei Access Liste auf dem Router aktiv die etwas blocken sollte, folglich also geht alles durch !
Als Konfig Leitfaden hilft dir sicher das hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
oder auch das:
Vernetzung zweier Standorte mit Cisco 876 Router
Ein "no ip dhcp pool LAN" killt also den DHCP Prozess auf dem Cisco.
Danach "wr" nicht vergessen sonst ist er nach dem nächsten Reboot wieder da !
Du kannst auf dem Cisco mehrere DHCP Prozesse pro VLAN laufen lassen. Er antwortet immer nur mit dem Pool der passend ist zu seinem IP Netzwerk wo der DHCP Request herkommt !
Was deine VoIP Ports anbetrifft werden die in der o.a. Konfig komplett durchgereicht.
Du hast ja keinerlei Access Liste auf dem Router aktiv die etwas blocken sollte, folglich also geht alles durch !
Als Konfig Leitfaden hilft dir sicher das hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
oder auch das:
Vernetzung zweier Standorte mit Cisco 876 Router
Interessant, das vom Router nichts geblockt wird.... in der vergangenheit wurden wohl schon mal 2x VOIP Testtelefone getestet... mit dem Symptom, dass immer nur eins funktioniert hat.
Ich dachte jetzt das dies hier noch an einer fehlenden "VOIP" Anpassung lag... mit dem "no ip nat service sip tcp port 5060 und ..... udp Port 5060.... hmm interessant...
kann es sein, dass da ein VOIP Anbieter der eine sog. IP Centrexx Webanlage betreibt, da am standard vorbeiarbeitet, die bei einem solchen Router Probleme bereiten können...
ich dachte bisher nur an problemen mit NAT. Da sich das Telefon ja die Einstellungen von dem SIP Konto zieht, samt evtl. Firmwareänderungen usw...
Ich dachte jetzt das dies hier noch an einer fehlenden "VOIP" Anpassung lag... mit dem "no ip nat service sip tcp port 5060 und ..... udp Port 5060.... hmm interessant...
kann es sein, dass da ein VOIP Anbieter der eine sog. IP Centrexx Webanlage betreibt, da am standard vorbeiarbeitet, die bei einem solchen Router Probleme bereiten können...
ich dachte bisher nur an problemen mit NAT. Da sich das Telefon ja die Einstellungen von dem SIP Konto zieht, samt evtl. Firmwareänderungen usw...
Das kannst du ja selber sehen in der obigen Konfig !
Du hast keinerlei Accesslisten auf den Interfaces ! Zwar sind welche konfiguriert aber die sind nicht aktiv !
Ohne Access Listen routet dein Router aber brav alles durch wie es sich gehört.
Wenn das Telefon also streikt, liegt es garantiert NICHT am Cisco oder seiner Konfig oben !
Auch WebCentex wird sich an allgemein Standards halten (rennt vermutlich so oder so ein Asterisk drauf...was sonst). Also mit den Protokollen SIP und RTP arbeiten.
Bei RTP musst du allerdings aufpassen, denn dein Router macht NAT !!
RTP kann nicht über NAT übertragen werden wenn kein STUN (Simple Travers of UDP over NAT) aktiviert ist.
Darauf solltest du also auf der Centrex zwingend achten.
Oder du musst zwingend NAT für den Tunnel ausschalten, denn sonnvollerweise macht man KEIN NAT im Tunnel selber...wozu auch !
In der Bezihung ist dein ACesslist 20 also fehlerhaft, da sie den Tunneltraffic nicht vom NAT ausnimmt...vermutlich dein Kardinalsproblem
ip nat inside source list 20 interface Dialer1 overload
access-list 20 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (Geraten das das remote Netzwerk die 192.168.1.0 ist !)
access-list 20 permit ip 192.168.0.0 0.0.0.255 any
So wäre die ACL richtig ! Sie nimmt im ersten Statement den Tunneltraffic der von 192.168.0.0 nach 192.168.1.0 (remotes LAN) geht vom NAT aus "deny" !
Der Rest wird dann über Dialer 1 geNATet.
Da hat wohl einen die Cisco Konfig verpfuscht oder nicht gewusst was er da macht.
Ist jetzt aber geraten, da du hier dein Umfeld und Anforderungen nicht oder nur sehr oberflächlich schilderst. Folglich ist einen zielführende Hilfe nicht möglich
Du hast keinerlei Accesslisten auf den Interfaces ! Zwar sind welche konfiguriert aber die sind nicht aktiv !
Ohne Access Listen routet dein Router aber brav alles durch wie es sich gehört.
Wenn das Telefon also streikt, liegt es garantiert NICHT am Cisco oder seiner Konfig oben !
Auch WebCentex wird sich an allgemein Standards halten (rennt vermutlich so oder so ein Asterisk drauf...was sonst). Also mit den Protokollen SIP und RTP arbeiten.
Bei RTP musst du allerdings aufpassen, denn dein Router macht NAT !!
RTP kann nicht über NAT übertragen werden wenn kein STUN (Simple Travers of UDP over NAT) aktiviert ist.
Darauf solltest du also auf der Centrex zwingend achten.
Oder du musst zwingend NAT für den Tunnel ausschalten, denn sonnvollerweise macht man KEIN NAT im Tunnel selber...wozu auch !
In der Bezihung ist dein ACesslist 20 also fehlerhaft, da sie den Tunneltraffic nicht vom NAT ausnimmt...vermutlich dein Kardinalsproblem
ip nat inside source list 20 interface Dialer1 overload
access-list 20 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (Geraten das das remote Netzwerk die 192.168.1.0 ist !)
access-list 20 permit ip 192.168.0.0 0.0.0.255 any
So wäre die ACL richtig ! Sie nimmt im ersten Statement den Tunneltraffic der von 192.168.0.0 nach 192.168.1.0 (remotes LAN) geht vom NAT aus "deny" !
Der Rest wird dann über Dialer 1 geNATet.
Da hat wohl einen die Cisco Konfig verpfuscht oder nicht gewusst was er da macht.
Ist jetzt aber geraten, da du hier dein Umfeld und Anforderungen nicht oder nur sehr oberflächlich schilderst. Folglich ist einen zielführende Hilfe nicht möglich
Danke für die Infos. Den Router hat der Provider damals durch einen Dienstleister eingerichten lassen... dafür wurde sogar ne installationspschl. erhoben...
Damals wurde (bereits vorsorglich) die Spezifikationen vom potenziellen VOIP Anbieter vorgelegt... die falsche Konfig - naja ist bis jetzt natürlich nicht aufgefallen...
mit Remote netzwerk ist das Netzwerk des VOIP Anbieters gemeint, oder? also, beispielsweise bei 62.54.190.175 -> 62.54.190.0 0.0.0.255
In den Vorgaben stand soviel drin wie:
- UDP NAT Translation-Timeout auf 90 Sekunden setzen (standard ist ja glaub 300sek.)
- Ziel-UDP Port 5060 (SIP) fur ausgehende Kommunikation freischalten
- Ziel-UDP Ports 10000-11000 für abgehende Verbindungen freischalten
- Ziel-UDP Ports 4000-5000 für abgehende Verbindungen freischalten
- Ziel-TCP Port 5039 für TAPI freischalten
- keine Optionen wie SIP ALG/SIP B2BUA verwenden
Damals wurde (bereits vorsorglich) die Spezifikationen vom potenziellen VOIP Anbieter vorgelegt... die falsche Konfig - naja ist bis jetzt natürlich nicht aufgefallen...
mit Remote netzwerk ist das Netzwerk des VOIP Anbieters gemeint, oder? also, beispielsweise bei 62.54.190.175 -> 62.54.190.0 0.0.0.255
In den Vorgaben stand soviel drin wie:
- UDP NAT Translation-Timeout auf 90 Sekunden setzen (standard ist ja glaub 300sek.)
- Ziel-UDP Port 5060 (SIP) fur ausgehende Kommunikation freischalten
- Ziel-UDP Ports 10000-11000 für abgehende Verbindungen freischalten
- Ziel-UDP Ports 4000-5000 für abgehende Verbindungen freischalten
- Ziel-TCP Port 5039 für TAPI freischalten
- keine Optionen wie SIP ALG/SIP B2BUA verwenden
Na ja soviel zum Thema "Dienstleister" das sind in der Regel auch nur welche mit gesundem Halbwissen, die fertige Konfigs nur abtippen aber selber nicht verstehen....aber egal.
Nein das remote Netzwerk ist das Netzwerk was am LAN Port des anderen Routers dran ist.
Der Router verbindet doch 2 private LANs mit RFC 1918 IP Adressen.
Deine IP Adressen sind ja ffentliche Provider IP Adressen die ja weltweit erreichbar sind. Dafür bräuchte man ja logischerweisen keinen VPN Tunnel !!
Vielleicht solltest du erstmal im Detail hier schildern was der Router leisten soll um hier nicht im freien Fall weiterzuraten...
Nein das remote Netzwerk ist das Netzwerk was am LAN Port des anderen Routers dran ist.
Der Router verbindet doch 2 private LANs mit RFC 1918 IP Adressen.
Deine IP Adressen sind ja ffentliche Provider IP Adressen die ja weltweit erreichbar sind. Dafür bräuchte man ja logischerweisen keinen VPN Tunnel !!
Vielleicht solltest du erstmal im Detail hier schildern was der Router leisten soll um hier nicht im freien Fall weiterzuraten...
Hab soeben die Info vom VOIP Anbieter ich solle testweise folgendes auf der CLI eingeben:
ena
conf t
no ip nat service sip udp port 5060
exit
wr
Muss ich mich dazu eigentlich auf dem Interface VLAN1 befinden? Sorry für die doofe Frage, auf unseren 3Com Switchen muss man immer auf jedes Interface...
ena
conf t
no ip nat service sip udp port 5060
exit
wr
Muss ich mich dazu eigentlich auf dem Interface VLAN1 befinden? Sorry für die doofe Frage, auf unseren 3Com Switchen muss man immer auf jedes Interface...
