136423
26.09.2018
4156
15
0
Schwieriges Problem - Telefonie über FritzBox, Cisco ASA und DigiBox
Liebe Community,
Ich habe ein verzwicktes Problem, bei dem ich fragen wollte, ob es vielleicht jemanden gibt, der schon ähnliche Probleme hatte.
Wir haben folgende Architektur bei uns:
INTERNET <=> Digibox Smart (als VDSL Modem betrieben) <=> Cisco ASA 5508-X (als Firewall/Router und PPPoE Client) <=> FritzBox (als DECT Basisstation) <=> FritzFon (Zur Telefonie)
Soweit funktioniert eigentlich alles wie es soll, allerdings haben wir Probleme mit der Telefonie, d.h.:
1. Ausgehende Anrufe kommen an, allerdings können in beide Richtungen keine Stimmen verstanden werden
2. Eingehende Anrufe kommen gar nicht an (Stimme sagt: "Der Anruf kann zur Zeit nicht durchgestellt werde").
Ich sitze nun mit Cisco schon mehrere Stunden an der Lösung, wir kommen allerdings nicht weiter. Erschwerend kommt darüber hinaus hinzu, dass Capture am Outside-Interface des Cisco keine SIP-Invites feststellen kann. D.h. meines Erachtens werden die Anrufe irgendwo geblockt. Die IPv4 Firewall wurde allerdings an der DigiBox geblockt, sodass es keine Probleme geben sollte.
Habt ihr irgendeinen Rat, bzw. ähnliche Erfahrungen?
Viele Grüße
niLuxx
Ich habe ein verzwicktes Problem, bei dem ich fragen wollte, ob es vielleicht jemanden gibt, der schon ähnliche Probleme hatte.
Wir haben folgende Architektur bei uns:
INTERNET <=> Digibox Smart (als VDSL Modem betrieben) <=> Cisco ASA 5508-X (als Firewall/Router und PPPoE Client) <=> FritzBox (als DECT Basisstation) <=> FritzFon (Zur Telefonie)
Soweit funktioniert eigentlich alles wie es soll, allerdings haben wir Probleme mit der Telefonie, d.h.:
1. Ausgehende Anrufe kommen an, allerdings können in beide Richtungen keine Stimmen verstanden werden
2. Eingehende Anrufe kommen gar nicht an (Stimme sagt: "Der Anruf kann zur Zeit nicht durchgestellt werde").
Ich sitze nun mit Cisco schon mehrere Stunden an der Lösung, wir kommen allerdings nicht weiter. Erschwerend kommt darüber hinaus hinzu, dass Capture am Outside-Interface des Cisco keine SIP-Invites feststellen kann. D.h. meines Erachtens werden die Anrufe irgendwo geblockt. Die IPv4 Firewall wurde allerdings an der DigiBox geblockt, sodass es keine Probleme geben sollte.
Habt ihr irgendeinen Rat, bzw. ähnliche Erfahrungen?
Viele Grüße
niLuxx
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387702
Url: https://administrator.de/contentid/387702
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
Wenn ihr schon die Digibox habt, warum die nicht VOR der ASA als Voip-Anlage nutzen und alles was <>VoIP ist, acht die ASA.
Dann braucht ihr auch die Fritzboxen nicht.
Und ist die Digibox tatsächlich als reines Modem eingerichtet?
Gruß
em-pie
Wenn ihr schon die Digibox habt, warum die nicht VOR der ASA als Voip-Anlage nutzen und alles was <>VoIP ist, acht die ASA.
Dann braucht ihr auch die Fritzboxen nicht.
Und ist die Digibox tatsächlich als reines Modem eingerichtet?
Gruß
em-pie
Moin,
die RTP Ports müssen Static bis zur FB durchgehen.
Gruß
Spirit
die RTP Ports müssen Static bis zur FB durchgehen.
Gruß
Spirit
Moin..
was ich nicht verstehe ist, du hast ne Cisco ASA 5508-X... und dahinter eine fritte zum telen!
was du da gebaut hast, ist eine 3 fach router Kaskade.... wozu?
wie wäre es ein modem (Vigor130 /160) an die asa zu hängen, und im netz ordentliches IP Telefon...
Soweit funktioniert eigentlich alles wie es soll, allerdings haben wir Probleme mit der Telefonie, d.h.:
1. Ausgehende Anrufe kommen an, allerdings können in beide Richtungen keine Stimmen verstanden werden
2. Eingehende Anrufe kommen gar nicht an (Stimme sagt: "Der Anruf kann zur Zeit nicht durchgestellt werde").
also doch nicht alles gut...
Ich sitze nun mit Cisco schon mehrere Stunden an der Lösung, wir kommen allerdings nicht weiter. Erschwerend kommt darüber hinaus hinzu, dass Capture am Outside-Interface des Cisco keine SIP-Invites feststellen kann. D.h. meines Erachtens werden die Anrufe irgendwo geblockt. Die IPv4 Firewall wurde allerdings an der DigiBox geblockt, sodass es keine Probleme geben sollte.
doch.. an der digibox ist aber SIP ALG aktiv....
Habt ihr irgendeinen Rat, bzw. ähnliche Erfahrungen?
jo
Viele Grüße
niLuxx
Frank
Zitat von @136423:
Liebe Community,
Ich habe ein verzwicktes Problem, bei dem ich fragen wollte, ob es vielleicht jemanden gibt, der schon ähnliche Probleme hatte.
Wir haben folgende Architektur bei uns:
INTERNET <=> Digibox Smart (als VDSL Modem betrieben) <=> Cisco ASA 5508-X (als Firewall/Router und PPPoE Client) <=> FritzBox (als DECT Basisstation) <=> FritzFon (Zur Telefonie)
ja wer macht den was genau... ist digibox nur zur internet einwahl?Liebe Community,
Ich habe ein verzwicktes Problem, bei dem ich fragen wollte, ob es vielleicht jemanden gibt, der schon ähnliche Probleme hatte.
Wir haben folgende Architektur bei uns:
INTERNET <=> Digibox Smart (als VDSL Modem betrieben) <=> Cisco ASA 5508-X (als Firewall/Router und PPPoE Client) <=> FritzBox (als DECT Basisstation) <=> FritzFon (Zur Telefonie)
was ich nicht verstehe ist, du hast ne Cisco ASA 5508-X... und dahinter eine fritte zum telen!
was du da gebaut hast, ist eine 3 fach router Kaskade.... wozu?
wie wäre es ein modem (Vigor130 /160) an die asa zu hängen, und im netz ordentliches IP Telefon...
Soweit funktioniert eigentlich alles wie es soll, allerdings haben wir Probleme mit der Telefonie, d.h.:
1. Ausgehende Anrufe kommen an, allerdings können in beide Richtungen keine Stimmen verstanden werden
2. Eingehende Anrufe kommen gar nicht an (Stimme sagt: "Der Anruf kann zur Zeit nicht durchgestellt werde").
Ich sitze nun mit Cisco schon mehrere Stunden an der Lösung, wir kommen allerdings nicht weiter. Erschwerend kommt darüber hinaus hinzu, dass Capture am Outside-Interface des Cisco keine SIP-Invites feststellen kann. D.h. meines Erachtens werden die Anrufe irgendwo geblockt. Die IPv4 Firewall wurde allerdings an der DigiBox geblockt, sodass es keine Probleme geben sollte.
Habt ihr irgendeinen Rat, bzw. ähnliche Erfahrungen?
Viele Grüße
niLuxx
Hallo zusammen,
Danke für eure Antworten. Zu den Fragen:
1. VOIP an der DigiBox geht leider nicht, da die bestehenden FritzFons damit nicht kompatibel sind und VOIP meines Erachtens ja auch PPPoE Einwahl benötigt. Das wird allerdings komplett durch die ASA gemacht
2. Die RTP Ports sind freigeschalten (und nicht nur das, sondern sogar alle UDP Ports (temporär)
3. DigiBox dient nur als VDSL Modem, da die ASA kein VDSL Modem inkludiert hat
=> bezüglich SIP ALG. Wie muss die DigiBox konfiguriert werden. Ich habe bisher:
a) eine BR1 zwischen DSL-Eingang und LAN-5 konfiguriert (damit das Signal direkt zur ASA geht)
b) die ipv4 Firewall deaktiviert (IPv6 geht leider nicht zu deaktivieren)
c) in der DigiBox sind die Telefone schon zu sehen und angemeldet => ich habe sie deaktiviert, kann aber nicht genau sagen, was ich da noch alles abschalten müsste
Viele Grüße
niLuxx
Danke für eure Antworten. Zu den Fragen:
1. VOIP an der DigiBox geht leider nicht, da die bestehenden FritzFons damit nicht kompatibel sind und VOIP meines Erachtens ja auch PPPoE Einwahl benötigt. Das wird allerdings komplett durch die ASA gemacht
2. Die RTP Ports sind freigeschalten (und nicht nur das, sondern sogar alle UDP Ports (temporär)
3. DigiBox dient nur als VDSL Modem, da die ASA kein VDSL Modem inkludiert hat
=> bezüglich SIP ALG. Wie muss die DigiBox konfiguriert werden. Ich habe bisher:
a) eine BR1 zwischen DSL-Eingang und LAN-5 konfiguriert (damit das Signal direkt zur ASA geht)
b) die ipv4 Firewall deaktiviert (IPv6 geht leider nicht zu deaktivieren)
c) in der DigiBox sind die Telefone schon zu sehen und angemeldet => ich habe sie deaktiviert, kann aber nicht genau sagen, was ich da noch alles abschalten müsste
Viele Grüße
niLuxx
https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...
Erster Absatz, hat mir schon des Öfteren geholfen
Erster Absatz, hat mir schon des Öfteren geholfen
Hallo chgorges,
Ja, den Trick kenne ich. Leider hat auch der nicht funktioniert...
Viele Grüße,
niLuxx
Ja, den Trick kenne ich. Leider hat auch der nicht funktioniert...
Viele Grüße,
niLuxx
Zitat von @136423:
Hallo zusammen,
Moin...Hallo zusammen,
Danke für eure Antworten. Zu den Fragen:
1. VOIP an der DigiBox geht leider nicht, da die bestehenden FritzFons damit nicht kompatibel sind und VOIP meines Erachtens ja auch PPPoE Einwahl benötigt. Das wird allerdings komplett durch die ASA gemacht
VOIP braucht zwingend kein kein PPPoE, sondern einhach nur ein Internet!1. VOIP an der DigiBox geht leider nicht, da die bestehenden FritzFons damit nicht kompatibel sind und VOIP meines Erachtens ja auch PPPoE Einwahl benötigt. Das wird allerdings komplett durch die ASA gemacht
2. Die RTP Ports sind freigeschalten (und nicht nur das, sondern sogar alle UDP Ports (temporär)
3. DigiBox dient nur als VDSL Modem, da die ASA kein VDSL Modem inkludiert hat
=> bezüglich SIP ALG. Wie muss die DigiBox konfiguriert werden. Ich habe bisher:
wenn die DIGGIBOX nur Modem wäre, brauchst du da nix mehr zu schrauben....a) eine BR1 zwischen DSL-Eingang und LAN-5 konfiguriert (damit das Signal direkt zur ASA geht)
b) die ipv4 Firewall deaktiviert (IPv6 geht leider nicht zu deaktivieren)
c) in der DigiBox sind die Telefone schon zu sehen und angemeldet => ich habe sie deaktiviert, kann aber nicht genau sagen, was ich da noch alles abschalten müsste
wenn da telefone zu sehen sind, hast du keinen ordentlichen Modembetrieb!b) die ipv4 Firewall deaktiviert (IPv6 geht leider nicht zu deaktivieren)
c) in der DigiBox sind die Telefone schon zu sehen und angemeldet => ich habe sie deaktiviert, kann aber nicht genau sagen, was ich da noch alles abschalten müsste
ich bleibe dabei... wenn Modem, dann ein Vigor130!
Viele Grüße
niLuxx
Dein Problem ist das richtige Setup der Firewall in der ASA. Hier wird RTP falsch gefiltert nach den Schilderungen deiner Symtome. Ein typischer Firewall Klassiker bei Voice.
Generell solltest du hier immer mit STUN arbeiten und auf der ASA das Voice Application Gateway auf der Firewall aktivieren. Dann regelt die das FW Handling dynamisch.
Hier findest du ein paar Anregungen zu einem Regelsetup am Beispiel der pfSense Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
(Rubrik: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:)
Tipps auch hier im ZFW Setup eines normalen Cisco IOS Routers:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Knackpunkt ist in der Tat die Kardinalsfrage das die Digibox als reines Modem konfiguriert ist !!
Die darf keinesfalls ! als Router Kaskade laufen wie es z.B. hier beschrieben ist.
Damit hättest du doppeltes NAT was erstens kontraproduktiv für die Performance ist und Voice durch die doppelte NAT Firewall dann den Garaus macht.
Die Digibox darf wirklich nur passives NUR Modem sein, sprich die Zugangsdaten usw. werden ALLE auf der Cisco ASA gesetzt und NICHT auf der DigiBox. Letztere wandelt nur rein passiv das Format, macht aber keinerlei L3 Packet Forwarding !
Siehe dazu auch:
https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-digitalis ...
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bevor du mit der FritzBox als Telefonanlage zu Werke gehst im internen Netz solltest du zuallererst die Telefonie Funktion (und damit auch das richtige FW Setup) mit einem Softphone wie z,.B. dem Phoner: http://phoner.de/index.htm im lokalen Netz testen.
Erst wenn es damit fehlerlos und störungsfrei klappt, kannst du davon ausgehen das es dann mit der FB als Anlage auch klappt !!
Der Phoner bietet ein Log und diverse Debugging Funktionen zur Fehlersuche !
Generell solltest du hier immer mit STUN arbeiten und auf der ASA das Voice Application Gateway auf der Firewall aktivieren. Dann regelt die das FW Handling dynamisch.
Hier findest du ein paar Anregungen zu einem Regelsetup am Beispiel der pfSense Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
(Rubrik: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:)
Tipps auch hier im ZFW Setup eines normalen Cisco IOS Routers:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Knackpunkt ist in der Tat die Kardinalsfrage das die Digibox als reines Modem konfiguriert ist !!
Die darf keinesfalls ! als Router Kaskade laufen wie es z.B. hier beschrieben ist.
Damit hättest du doppeltes NAT was erstens kontraproduktiv für die Performance ist und Voice durch die doppelte NAT Firewall dann den Garaus macht.
Die Digibox darf wirklich nur passives NUR Modem sein, sprich die Zugangsdaten usw. werden ALLE auf der Cisco ASA gesetzt und NICHT auf der DigiBox. Letztere wandelt nur rein passiv das Format, macht aber keinerlei L3 Packet Forwarding !
Siehe dazu auch:
https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-digitalis ...
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bevor du mit der FritzBox als Telefonanlage zu Werke gehst im internen Netz solltest du zuallererst die Telefonie Funktion (und damit auch das richtige FW Setup) mit einem Softphone wie z,.B. dem Phoner: http://phoner.de/index.htm im lokalen Netz testen.
Erst wenn es damit fehlerlos und störungsfrei klappt, kannst du davon ausgehen das es dann mit der FB als Anlage auch klappt !!
Der Phoner bietet ein Log und diverse Debugging Funktionen zur Fehlersuche !
Moin,
welche Fritzbox/ welcher Anschluss? Kommt die Fritzbox mit dem Anschluss nicht zurecht ?
Wenn die FB "jung" genug ist würde ich nur die FB und die Cisco ASA nutzen.
FB wäre dann "Modem" und TK-Anlage und der sonstige Netzwerkverkehr wird zur ASA durchgereicht. Entweder als Routerkaskade oder an der FB wird ein LAN-Anschluss als Exposed Host eingerichtet. Dann kann auch eine VPN-Verbindung zur ASA aufgebaut werden.
Gruß
welche Fritzbox/ welcher Anschluss? Kommt die Fritzbox mit dem Anschluss nicht zurecht ?
Wenn die FB "jung" genug ist würde ich nur die FB und die Cisco ASA nutzen.
FB wäre dann "Modem" und TK-Anlage und der sonstige Netzwerkverkehr wird zur ASA durchgereicht. Entweder als Routerkaskade oder an der FB wird ein LAN-Anschluss als Exposed Host eingerichtet. Dann kann auch eine VPN-Verbindung zur ASA aufgebaut werden.
Gruß
Moin,
Hast fü für die Fritzbox das dynamische Pat ausgestellt? Wenn nein mach mal und teste es dann!
Einfach in der ASA ein extra Eintrag für die Fritzbox in der Nat Tabelle anlegen mit Static PAT.
Gruß
MoJO
Hast fü für die Fritzbox das dynamische Pat ausgestellt? Wenn nein mach mal und teste es dann!
Einfach in der ASA ein extra Eintrag für die Fritzbox in der Nat Tabelle anlegen mit Static PAT.
Gruß
MoJO
Hast fü für die Fritzbox das dynamische Pat ausgestellt?
Das kann man auf einer FB nicht ausstellen !Es gab mal die Option die FB als reines NUR Modem zu betreiben aber das ist aus der Firmware wieder entfernt worden.
Es ist aber richtig das die unglückliche Router Kaskade mit der FB die Wurzel allen Übels ist. Immer wenn man doppeltes NAT macht.
Die FritzBox ist ja selber ein Voice Gateway und man muss absolut sicherstellen das sie keine Voice Datenpakete anfasst und für sich intrerpretiert. das geht nur indem nan die Voice Funktion dort im Setup komplett deaktiviert.
Besser wäre es immer hier ein reines Modem einzusetzen wie ein Vigor 130 oder Allnet BM200V
https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
Das elimiert dann das Problem mit dem doppelten NAT und IP Forwarding....udn vermutlich auch die Voice Probleme.
Es ist immer kontraproduktiv billiges Consumer Equipment in Firmennetzen zu verwenden !
Zitat von @aqui:
Hast fü für die Fritzbox das dynamische Pat ausgestellt?
Das kann man auf einer FB nicht ausstellen !Er soll es ja auch nicht auf der Fritzbox ausstellen! Das habe ich nirgends geschrieben
Na ja, wenn du fragst ob er PAT auf der FB ausgestellt hat dann impliziert das ja das du davon ausgehst er hat das dort an...
Er kann es ja eh nicht ausstellen in sofern ist die Frage ja auch etwas verwirrend für den TO.
Er kann es ja eh nicht ausstellen in sofern ist die Frage ja auch etwas verwirrend für den TO.
Hallo,
Dann ließ bitte meinen Post nochmal! Ich habe geschrieben er soll ein Static nat Eintrag auf der ASA für die Fritzbox einrichten. Das ist möglich und hat mit der Fritzbox selbst nix zu tun... Ich hatte das gleiche Problem mit meiner pfsense und Fritzbox und könnte es so lösen
Gruß mojo
Dann ließ bitte meinen Post nochmal! Ich habe geschrieben er soll ein Static nat Eintrag auf der ASA für die Fritzbox einrichten. Das ist möglich und hat mit der Fritzbox selbst nix zu tun... Ich hatte das gleiche Problem mit meiner pfsense und Fritzbox und könnte es so lösen
Gruß mojo
OK, das ist natürlich richtig, keine Frage.
Das eigentliche Problem ist aber seine fehlerhafte IP Adressierung die jetzt mit viel Gefrickel passend gemacht wird.
Besser er löst das mit einer Readressierung. Das sind einmal Schmerzen aber danach hat man dann Ruhe.
NAT Frickelei ist auf die Dauer immer schwer managebar. Aber egal...
Das eigentliche Problem ist aber seine fehlerhafte IP Adressierung die jetzt mit viel Gefrickel passend gemacht wird.
Besser er löst das mit einer Readressierung. Das sind einmal Schmerzen aber danach hat man dann Ruhe.
NAT Frickelei ist auf die Dauer immer schwer managebar. Aber egal...
