pharit
Goto Top

VoIP hinter Cisco Router

Hallo allerseits,

ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.

Habe ein Softphone hinter dem Cisco mit IP 10.10.10.149. Das hängt an einem meiner internen GigabitEthernets, welcher im VLAN 1 hängt. Der GigabitEthernet8 sollte korrekt die Verbindung nach außen aufbauen. Hat mir jemand den Ansatz wo ich suchen muss? Fange gerade erst mit VoIP an und weiß nicht, ob ich in die falsche Richtung laufe... Danke schon mal im Voraus!

Und die folgenden Settings im Cisco kommen hier schon:

interface Vlan1
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache
!
!
!
interface GigabitEthernet8
 description PrimaryWANDesc_
 ip address xxx.xxx.xxx.xxx 255.255.255.192
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 duplex auto
 speed auto
 no cdp enable
!
!
ip nat pool portforward 10.10.10.149 10.10.10.149 netmask 255.255.255.0 type rot                                                                             ary
ip nat inside source list nat-list interface GigabitEthernet8 overload
ip nat inside source route-map nonat interface GigabitEthernet8 overload
ip nat inside source static udp 10.10.10.149 3478 xxx.xxx.xxx.xxx 3478 extendable
ip nat inside source static udp 10.10.10.149 5004 xxx.xxx.xxx.xxx 5004 extendable
ip nat inside source static udp 10.10.10.149 5060 xxx.xxx.xxx.xxx 5060 extendable
ip nat inside source static udp 10.10.10.149 5062 xxx.xxx.xxx.xxx 5062 extendable
ip nat inside source static udp 10.10.10.170 5065 xxx.xxx.xxx.xxx 5065 extendable

!
!
access-list 100 permit udp any any range 49152 49408
access-list 101 permit udp host 10.10.10.149 any eq 5060
access-list 101 permit udp host 10.10.10.149 any eq 5062
access-list 101 permit udp host 10.10.10.149 any eq 5065
access-list 101 permit udp host 10.10.10.149 any eq 5004
access-list 101 permit udp host 10.10.10.149 any eq 3478

EDIT: Hängt das vielleicht mit SIP vs. H.323 zusammen?

Viele Grüße,

PharIT

Content-ID: 318708

Url: https://administrator.de/forum/voip-hinter-cisco-router-318708.html

Ausgedruckt am: 27.12.2024 um 13:12 Uhr

Pjordorf
Pjordorf 21.10.2016 aktualisiert um 20:53:14 Uhr
Goto Top
Hallo,

Zitat von @PharIT:
ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.
Beziehst du dich hierauf? TK-Anlage hinter Cisco 891
Was sagt ein Wireshark mitschnitt an den Port (Port Mirror) wo dein Softphone hängt (Oder direkt auf den PC wo dein Softphone laufen will?
Softphone korrekt eingerichtet?
Cisco lässt auch Port 5060 durch wie im anderen beitrag besonders hingewiesen wurde?
Softphone weiß um deiner VLANs?
Was ist dein Softphone?
Kann es überhaupt H.323 (ISDN over IP) oder warum die Frage nach SIP bzw. H323?

https://de.wikipedia.org/wiki/H.323
https://de.wikipedia.org/wiki/Session_Initiation_Protocol

Gruß,
Peter

PS Link nachgereicht
aqui
aqui 21.10.2016 aktualisiert um 20:03:29 Uhr
Goto Top
Deine Konfig hat gravierende Fehler oder du hast etwas unterschlagen hier !
Dein PAT hast du an die Route MAP nonat gemappt. Wo ist diese ??
Wenn du die nicht definiert hast wird alles im NAT geblockt und da ist es dann kein Wunder das nix klappt !
Hast du einen Router mit Firewall Image ??
Wenn ja nutze bitte folgende Konfig:
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
!
interface Vlan1
description Lokales LAN
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no ip route-cache
!
interface GigabitEthernet8
description Internet Port mit NAT
ip address xxx.xxx.xxx.xxx 255.255.255.192
ip nat outside
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect myfw out
ip virtual-reassembly in
no cdp enable
!
!
ip nat inside source list 101 interface GigabitEthernet8 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
!

Damit aktivierst du die Firewall mit einer CBAC Accessliste und lässt über das dortige Application Gateway SIP und RTP dynamisch passieren.
Damit entfallen auch sofort die statischen Port Forwardings für VoIP.
Diese musst du nur machen wenn du kein FirewallImage auf dem Router hast.
PharIT
PharIT 22.10.2016 um 00:10:22 Uhr
Goto Top
Hi aqui,

tausend Dank für Deine Antwort, ich habe versucht, das jetzt umzusetzen --leider noch immer ohne Erfolg. Könntest Du mal einen Blick darauf werfen, ob sich ein Fehler erkennen lässt? Diesmal habe ich die ganze Config bereinigt von DHCP Pools (außer dem einen Haupt-Pool) eingefügt. Mit dieser Testconfig komme ich immerhin ins Netz. GigabitEthernet8 baut eine Internetverbindung mit fixer IP auf (über ein Kabelmodem)

Current configuration : 6627 bytes
!
! Last configuration change at 21:30:00 UTC Fri Oct 21 2016 by Cisco
!
version 15.5
no parser cache
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Cisco891F
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 xx
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authentication login local_access local
aaa authorization network groupauth local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!


!
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.1 10.10.10.100
ip dhcp excluded-address 10.10.10.119
!
ip dhcp pool CLIENT
 import all
 network 10.10.10.0 255.255.255.0
 default-router 10.10.10.1
 dns-server 10.10.10.5 195.234.128.7 195.234.128.16
!
!
!
ip domain name soho.intern
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 10.10.10.5
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C891F-K9 sn FCZ202093U7
!
!
object-group network local_cws_net
!
object-group network local_lan_subnets
 any
!
object-group network vpn_remote_subnets
 any
!
username xx password xx
!
!
!
!
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
!
!
crypto isakmp policy 10
 encr aes
 hash md5
 authentication pre-share
 group 2
crypto isakmp key dyn123 address 0.0.0.0
!
crypto isakmp client configuration group vpngroup
 key xxxx
 dns 10.10.10.5 195.234.128.12
 domain
 pool vpnpool
 save-password
 max-users 50
crypto isakmp profile VPNclient
   description VPN Client Profil
   match identity group vpngroup
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
 mode tunnel
crypto ipsec transform-set test esp-des esp-md5-hmac
 mode tunnel
!
!
crypto ipsec profile vpn-vti2
!
!
!
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 description PrimaryWANDesc_
 ip address xxx.xxx.xxx.xxx9 255.255.255.192
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 duplex auto
 speed auto
 no cdp enable
!
interface Virtual-Template2 type tunnel
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
 ip address 10.10.10.1 255.255.255.0
 ip access-group 111 in
 ip nat inside
 ip inspect myfw out
 ip virtual-reassembly in
 no ip route-cache
!
interface Async3
 no ip address
 encapsulation slip
!
ip local pool vpnpool 10.10.10.200 10.10.10.250
ip forward-protocol nd
ip http server
no ip http secure-server
!
!
ip nat inside source list nat-list interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
ip ssh version 2
!
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
!
!
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 103 permit ip 10.1.1.0 0.0.0.255 10.10.11.0 0.0.0.255
access-list 103 permit ip 10.10.10.0 0.0.0.255 10.10.11.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip any any
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
 exec-timeout 120 0
 login authentication local_access
 no modem enable
 stopbits 1
line aux 0
line 3
 modem InOut
 speed 115200
 flowcontrol hardware
line vty 0 4
 access-class 23 in
 exec-timeout 30 0
 privilege level 15
 login authentication local_access
 length 0
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
!
end
aqui
aqui 22.10.2016 aktualisiert um 12:40:09 Uhr
Goto Top
Und nochmals die Frage an dich: Betreibst du ein Firewall Image auf dem Cisco ? (Ein sh ver oder sh flash verrät dir das !)
Scheinbar ist es dir wohl egal was man hier als Antwort schreibt oder nicht, denn du ignorierst vollständig irgendwelche Tips. face-sad
Anhand der wirren Konfiguration oben erkennt man auch das du vermutlich mit einem automatisierten Konfig Programm auf dem Cisco rummfummelst.
Vergiss das bitte !!!
All diese Programme sind für Volldummies und in der Regel großer Mist und machen mehr falsch als richtig, deshalb bekommst du das auch alles nicht zum Fliegen !
Schliesse ein ganz normales serielles Terminal mit PuTTY oder TeraTerm an den seriellen Konsolport des Routers und konfiguriere ihn mit den Kommandos die auch oben für dich hier gepostet wurden !!!
Soviel mal zu den Grundlagen....

Eine Frage noch vorweg:
Du schreibst du betreibst den Router mit einem Kabelmodem ??!!
Ist das wirklich ein reines Modem oder ist das ein Kabelrouter mit integriertem Modem ??
Letzteres wäre dann eine Router Kaskade die eine andere Konfig erfordert.
Da du mit ip address xxx.xxx.xxx.xxx 255.255.255.192 eine /26 Subnetz Adresse verwendest und diese vermutlich öffentlich ist, ist es vermutlich wirklich ein reines Modem, richtig ?
Merkwürdig ist dann hier aber nur das in aller Regel in Kabel TV Netzen die IP Adresse per DHCP vom Kabelprovider an die Kabelrouter vergeben werden.
Infolgedessen hätte man eine Interface Konfiguration dort als DHCP Client ip address dhcp erwartet.
Warum ist diese bei dir statisch bzw. manuell ???

Ansonsten sind es wiedermal die gleichen Fehler oder Ungereimtheiten wie oben von denen du rein gar nichts oder wenn dann vollkommen falsch entgegen der dir geposteten Konfig umgesetzt hast.
Die Kardinalsfrage ist WARUM du nicht mal Zeit gefunden hast mit einem sh run deine Konfig mit der geposteten zu vergleichen.
Auch einen vollkommenen Laien hätten diese gravierenden Fehler das ACLs an falschen Interfaces liegen ja sofort auffallen müssen ?!
Im Einzelnen:
  • Die ACL 111 macht nur Sinn wenn du das Firewall Image bzw. die Firewall aktivierst !
  • Außerdem hast du sie zwar definiert aber am völlig falschen Interface aktiviert ?! Damit ist sie NICHT aktiv face-sad
  • Sie ist am lokalen LAN aktiviert was natürlich völliger Blödsinn ist. Hättest du nur einmal auf die IP Adressen in der ACL 11 gesehen dann hättest du gesehen wie blödsinning das ist. Klar das das schiefgeht.
  • Firewall Outgoing ebenfalls am LOKALEN LAN als Outgoing definiert. Sorry, aber auch das ist, gelinde gesagt, völliger Blödsinn und hätte dir auch als Laie sofort auffallen müssen !
  • Firewall und Application Gateway für SIP auch wieder nicht aktiviert !
  • Name Server auf Google definieren ist Unsinn es sei denn du lässt dich freiwillig gerne ausspionieren ?
  • DHCP Excluded Adresse sinnloss doppel und 3fach ausgenommen
  • Regel access-list 111 permit ip any any gefährlicher Irrsinn !! Damit erlaubst du ALLES eingehend. Tödlich für eine Firewall Regel !!
  • usw. usw.
Mit anderen Worten:
Deine Konfig ist die reinste Katastrofe und in weiten Teilen vollkommen fehlerhaft und es ist klar das du damit Schiffbruch erleidest.
Gehe jetzt bitte mal langsam Schritt für Schritt vor und so das du etwas lernst dabei und es nicht wieder schief geht:
1.) Schritt:
Die Grundkonfiguration mit lokalem LAN mit DHCP und Internet Zugang zum Laufen bringen.
2.) Schritt:
VPN zum Fliegen bringen

Wir fangen jetzt mit dem ersten Schritt an indem du folgendes machst:
  • Wie oben bereits gesagt: Terminal mit PuTTY oder TeraTerm (ZTerm wenn du einen Apple hast) an die serielle Schnittstelle anschliessen mit 9600 Baud, N81
  • Dann löschst du mit: write erase oder era startup deine kranke Konfig von oben komplett und machst den Router wieder jungfräulich (Factory Reset) und bootest den Router neu.
  • Wenn er dich dann nach dem Booten fragt ob du das Setup Menü starten willst sagst du "Nein". Du kommst dann ins normale Konfig Menü ( > Prompt und dann enable) und kannst dann dort mit conf t die folgende, für dich fertig zum Aptippen, kommentierte Konfig eingeben.
  • Bitte BEVOR du hier weiterfragst mit sh run nochmal genau verifizieren um die wiederholten Fehler, die du oben gemacht hast, nicht wieder und wieder geschehen zu lassen !
  • Eine gute Kurzeinführung in die wichtigsten Cisco Konfig Kommandos (Basisbefehle) findest du hier: http://www.coufal.info/cisco_ios/index.shtml

Los gehts:
!
service timestamps log datetime localtime
--> Log Uhrzeit auf Lokalzeit stellen
!
hostname CiscoRouter
--> Hostnamen im Prompt einstellen
!
enable secret Geheim
--> Login Passwort setzen
!
clock timezone CET 1 0
--> Uhrzeit auf EU Zeitzone stellen
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
--> Uhr auf auto. Sommerzeit stellen
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.10.1 10.10.10.99
<-- DHCP Adress Pool lokales LAN .100 bis .149
ip dhcp excluded-address 10.10.10.150 10.10.10.254
!
ip dhcp pool LAN
<-- DHCP Pool Router, DNS etc.
network 10.10.10.0
default-router 10.10.10.1
dns-server 10.10.10.1
domain-name pharit.intern
!
!
ip inspect name myfw tcp
--> Firewall global aktivieren
ip inspect name myfw udp
ip inspect name myfw sip
<-- Firewall App Gateway f. VoIP
ip inspect name myfw rtsp
<-- Firewall App Gateway f. VoIP
!
interface Vlan1
description Lokales LAN
--> (Switch Gig Ports 0 bis 7)
ip address 10.10.10.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address xxx.xxx.xxx.xxx9 255.255.255.192
ip access-group 111 in
<-- HIER ! Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out
<-- HIER ! Firewall aktiv auf Internet Port
no cdp enable
!
ip dns server
<-- Cisco ist Proxy DNS
!
ip nat inside source list 101 GigabitEthernet8 overload
<-- NAT aktivieren für Pakete nach ACL 101 am Gig 8 Port
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x
<-- Default Route, x.x.x.x = Provider Gateway IP (Entfällt bei Internet Port Gig8 im DHCP Mode)
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
<-- Alles mit Absender IP 10.10.10.x wird geNATet !
!
access-list 111 permit icmp any any administratively-prohibited
<-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
<-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
<-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any
<-- Erlaubt NTP (Zeit) durch die Firewall
!


Bitte erstmal NUR allein diese Konfig zum Fliegen bringen !!!

Das ist die einfache Grundkonfig für ein lokales LAN mit DHCP und Internet Zugriff mit NAT zum Kabelprovider.
Wenn der DHCP macht für die IP dann kannst du den GigE 8 Port auch anders konfigurieren:
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address dhcp
ip access-group 111 in
<-- Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out
<-- Firewall aktiv auf Internet Port
no cdp enable
!

Die ACL 111 muss dann aber auch entsprechend angepasst werden sofern du DHCP Vergabe am Gig8 Provider Port machst !!
!
access-list 111 permit icmp any any administratively-prohibited
<-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
<-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
<-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any
<-- Erlaubt NTP (Zeit) durch die Firewall
access-list 111 permit udp any eq bootps any
<-- Erlaubt DHCP vom Provider
!

Wenn dein Provider die IP per DHCP vergibt bekommst du so auch die DNS Server IP Adresse automatisch und musst NICHTS weiter konfigurieren.
Musst du sie wirklich statisch vergeben, dann musst du mit ip name-server x.y.z.h den Name Server statisch eintragen.
Google solltest du immer vermeiden ! Die erstellen ein Profil von dir mit deinen Surfgewohnheiten !
Wenn, dann immer die DNS Server deines Providers nehmen !

Bitte jetzt diese (und NUR diese !) Konfig so über das Terminal eingeben und KEIN Konfig Programm oder solchen Unsinn benutzen !
Dann querchecken ob deine Konfig der obigen entspricht. Überflüssige Kommandos und Interfaces sind da jetzt weggelassen der Übersicht halber um dich nicht zu verwirren.
Bitte halte dich auch parallel an das hiesige_Cisco_Tutorial was alle diese Konfigs ebenfalls abtippfertig und zur Überprüfung komplett kommentiert vorhält !!!

Falls du noch ein Gastnetz oder weitere lokale Subnetze brauchst musst du das sagen, das kann man zusätzlich noch leicht einrichten in der Grundkonfiguration aber wie gesagt: "Alles der Reihe nach !!!"
Erstmal das obige als Internet Grundkonfig zum Laufen bringen und testen, dann machen wir hier weiter !
PharIT
PharIT 22.10.2016 aktualisiert um 16:15:45 Uhr
Goto Top
Hallo aqui,

Tausend Dank Dir, ich mach mich gleich mal an's Werk. Tatsächlich hab ich von vielen Seiten versucht, zu konfigurieren und selbst mit null Wissen und einer gewissen Fahrigkeit das Ganze angepackt! Danke Dir vielmals. Ich habe aber nicht übersehen, dass Du mich nach dem Firewall-Image gefragt hast -nur überhaupt keine Idee, wie ich die folgende Ausgabe interpretieren soll:
Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.5(3)M, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Wed 22-Jul-15 23:59 by prod_rel_team

ROM: System Bootstrap, Version 15.4(1r)T1, RELEASE SOFTWARE (fc1)

Cisco891F uptime is 18 hours, 34 minutes
System returned to ROM by reload at 19:34:08 UTC Fri Oct 21 2016
System image file is "flash:c800-universalk9-mz.SPA.155-3.M.bin"  
Last reload type: Normal Reload
Last reload reason: Reload Command



This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco C891F-K9 (revision 1.0) with 488524K/35763K bytes of memory.
1 FastEthernet interface
9 Gigabit Ethernet interfaces
1 Serial interface
1 ISDN Basic Rate interface
1 terminal line
1 Virtual Private Network (VPN) Module
DRAM configuration is 32 bits wide
255K bytes of non-volatile configuration memory.
250880K bytes of ATA System CompactFlash (Read/Write)


License Info:

License UDI:

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*1        C891F-K9              xxx



License Information for 'c800'  
    License Level: advipservices   Type: Permanent
    Next reboot license Level: advipservices


Configuration register is 0x2102

Wenn Du es jetzt erkennst, ob ja oder nein, sagst Du mir bitte, wo?


Viele Grüße und Danke nochmals für dieses Mammutstück an Einführung,

PharIT
PharIT
PharIT 22.10.2016, aktualisiert am 23.10.2016 um 01:26:55 Uhr
Goto Top
Hi Aqui,

Nochmals vielen Dank, mein VoIP-Softphone läuft jetzt wie eine eins. Anhand Deiner Anleitung und verglichen mit meinem vorherigen Kauderwelsch hab ich viele Fehler verstehen können. Wenn Du noch den Nerv hättest, würde ich folgende Fragen stellen:

  • Um VPN wieder zu aktivieren reicht es schlichtweg, den Teil "VPN (IPsec) Server für iPhone, Android und Mac OS-X User mit onboard Client aktivieren:" aus Deinem Tutorial hinzuzufügen?-->das würde jetzt von intern schon laufen, aber was erwartet die Firewall hierzu von mir? Von außen geht nix...
  • Kann ich nach Schema F Deiner Anleitung jetzt den externen Mikrotik anbinden? Oder erwartet dieser dann auch besondere Firewall-Regeln?
  • * habe ich es richtig verstanden: ip inspect setzt die Firewall für beispielsweise das sip Protokoll auf, und ich weise sie dem WAN-Interface zu? Und lässt sie nur durch, was sie inspected?
*Erübrigen sich jetzt Portfreigaben zu einem Sip-Trunking? Sipgate zum Beispiel benötigt noch Port 5064, hat sich das dann auch erledigt?
  • Dein Angebot von Subnetz und Gastnetz: Wo kann ich hier ansetzen?

Zu Deinen Fragen: Ich habe ein Kabelmodem und eine fixe IP vom Anbieter, daher läuft alles jetzt so.

Vielen Dank nochmals und viele Grüße,

PharIT
aqui
aqui 23.10.2016 aktualisiert um 12:38:50 Uhr
Goto Top
dass Du mich nach dem Firewall-Image gefragt hast -nur überhaupt keine Idee, wie ich die folgende Ausgabe interpretieren soll:
Im Zweifel gibst du einfach mal ein Firewall Kommando am Router ein und checkst ob er das "frisst" !
Tut er das hast du ein Firewall Image drauf. Bei den 880ern und 890ern ist das eigentlich Standard...
So prüfst du das:
conf t
ip inspect name myfw tcp
<ctrl z>
wr

Wenn du nach ip inspect name myfw tcp die Eingabetaste gedrückt hast und er hat keinen Syntax Fehler meldet dann hast du ein Firewall Image !!

Zu deinen Fragen:
1.)
Ja, das reicht wenn du das machst. Richte dich immer nach den Praxiskonfigs in diesem Tutorial:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Die o.a. Firewall ACL 111 ist oben noch nicht angepasst auf den IPsec VPN Zugriff von außen ! Deshalb lässt sie auch kein IPsec durch und deshalb klappt es nicht.
Die Lösung ist aber kinderleicht:
Dort musst du noch IPsec erlauben.
Die angepasste ACL 111 sieht dann so aus bei dir:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any any eq non500-isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit esp any any
=> IPsec eingehend durch die Firewall erlauben
(access-list 111 permit udp any eq bootps any)


2.)
Nein die o.a. Regel in der ACL 111 erlaubt jeglichen IPsec Zugriff von anderen Geräten außerhalb auf den Cisco Router. Was du machen musst ist lediglich eine zusätzliche Crypto Map einrichten für den Mikrotik.
Richte dich einfach nach dem o.a. Praxistutorial, dort ist das alles einzeln kommentiert beschrieben !
Bei Detailfragen fragst du hier.

3.)
Ja das hast du richtig verstanden !
Du kannst die Firewall speziell für diverse Protokolle dediziert customizen.
Das macht auch Sinn als es nur einzig für TCP und UDP global zu tun. Gerade bei VoIP und auch anderen Applikationen macht dies Sinn, denn die VoIP Protokollkomponenten nutzen dynamische Portokollports die die Firewall dann auch dynamisch öffnet ohne hier weite Bereiche manuell per Default zusätzlich öffnen zu müssen.
Ein ip inspect name myfw ? zeigt dir die verschiedenen Protokolle die möglich sind.
Eine übliche Konfig von Dingen die so in kleinen Netzen vorkommen lautet z.B.:
!
ip inspect name myfw ftp
ip inspect name myfw h323
ip inspect name myfw sip
ip inspect name myfw icmp
ip inspect name myfw rtsp
ip inspect name myfw esmtp
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw http
!

IMAP oder Secure IMAP (Email) könnte man da noch dazunehmen.
Und ja es würde nur durchgehen was du mit der FW ansiehst wenn du sie auf dem Internet Interface aktivierst. Minimal sollte man also immer TCP und UDP aktivieren. Damit werden dann diese Sessions stateful von der Firewall inspiziert. Sonst arbeitet der Router nur mit passiven Accesslisten.
Hier wird das Prinzip der CBAC Listen gut beschrieben auf dem Router:
http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/13814-3 ...
Da die Firewall aber alles dichtmacht brauchst du für Inbound Verbindungen (Zugriff von außen) zwingend die ACL 111 die dir das Interface öffnet für Zugriff von außen.
Der o.a. Cisco Artikel beschreibt das.

4.)
Nein, wenn SIPgate noch von außen UDP 5064 benötigt musst du den natürlich auch öffnen sprich also in der ACL 111 muss noch zusätzlich stehen: access-list 111 permit udp any eq 5064 any

5.)
Erweiterung Gastnetz:
Deine 8 GigE Ports 0 bis 7 arbeiten als ein 8 Port Switch.
Ohne spezielle Konfig sind dort üblicherweise alle Ports im Default VLAN 1. Das korrespondiert dann mit dem Interface vlan 1 in der Router Konfig bzw. der IP Adressierung usw. drauf.
Du kannst nun beliebige Ports dieses Switches in beliebige IP Segmente (VLANs) unterteilen und dort weitere Netzsegmente anschliessen.
Nehmen wir hier als Beispiel mal ein Gastnetz was wir fest auf den Switchport GigabitEthernet7 ins VLAN 99 legen mit der IP 10.99.1.0 /24 und was NICHT mit dem lokalen LAN an VLAN 1 reden darf.
Zuerst legst du dazu das Gastnetz VLAN 99 an:
conf t
vlan 99 <ret>
name Gastnetz <ret>
<ctrl z>
wr


Dann kommen jetzt die zusätzlichen Konfig Kommandos für das Gastnetz:
!
ip dhcp excluded-address 10.99.1.1 10.99.1.99
<-- DHCP Gastnetz Adress Pool von .100 bis .149
ip dhcp excluded-address 10.99.1.150 10.99.1.254
!
ip dhcp pool LAN
<-- DHCP Gastnetz DHCP Server
network 10.99.1.0
default-router 10.99.1.1
dns-server 10.99.1.1
domain-name gaeste.pharit.intern
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99
<-- Port 7 auf Gastnetz umschalten (VLAN 99)
no ip address
no cdp enable
!
interface Vlan99
description Gastnetz (Port=GigabitEthernet7)
ip address 10.99.1.1 255.255.255.0
ip access-group keingast in
<-- ACL "keingast" blockt Zugriff auf lokales LAN !
ip nat inside
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 permit ip 10.99.1.0 0.0.0.255 any
<-- NAT um Gastnetz erweitern
!
ip access-list extended keingast
deny ip 10.99.1.0 0.0.0.255 10.10.10.0 0.0.0.255
permit ip 10.99.1.0 0.0.0.255 any
!

Die o.a. ACL "keingast" kannst du dann beliebig erweitern oder anpassen je nachdem was du deinen Gästen erlauben willst.
Die obige erlaubt den Gästen alles außer den Zugriff auf das lokale LAN. Nicht immer gewollt, denn Gäste sollen ja nur rechtssicher das machen was unbedingt nötig ist. Die ACL
!
ip access-list extended keingast
deny ip 10.99.1.0 0.0.0.255 10.10.10.0 0.0.0.255
permit udp 10.99.1.0 0.0.0.255 any eq dns
permit tcp 10.99.1.0 0.0.0.255 any eq dns
permit tcp 10.99.1.0 0.0.0.255 any eq http
permit tcp 10.99.1.0 0.0.0.255 any eq https
!

Erlaubt z.B. nur Surfen im Gastnetz.
Über eine Whitelist kannst du hier nur das zufügen was die Gäste dürfen.

Port 7 am Router ist nun NICHT mehr Mitglied im VLAN 1 sondern im VLAN 99 !
Das siehst du daran wenn du dort einen PC oder Laptop anschliesst er dann eine IP aus dem Gastbereich 10.99.1.x bekommt.
Durch die ACL "keingast"" werden die Geräte hier gehindert vom Vlan 99 (Gäste) auf das lokale LAN (Vlan1) zu kommen.
Diese kannst du z.B. beliebig erweitern wenn du MSSID fähige WLAN Acesspoints hast die mehrere WLANs aufspannen können wie hier beschrieben usw.
PharIT
PharIT 23.10.2016 um 17:40:05 Uhr
Goto Top
Hi Aqui,

Tausend Dank Dir, ich habe jetzt alles umgesetzt was Du geschrieben hast und es klappt 1A -vom Lerneffekt endlich ganz abgesehen, anders als mein Gestochere im Dunkeln bisher. Firewall Image habe ich in diesem Fall-> zu dem Test mit den Funktionen hätte ich unten noch eine Frage

Am Mittwoch ist dann meine Freundin fällig, die für den Mikrotik-Test von Außen herhalten muss face-wink

Wenn Du erlaubst, hätte ich noch zwei Fragen an dieser Stelle:
  • Ich habe den Router billig wie von Dir in einem der Tipps beschrieben bei eBay besorgt, daher keine Ahnung, ob er jetzt PoE kann. Verhält es sich hier nun wie mit Deinem Firewall Tipp? Denn er kennt wirklich keines der PoE Kommandos, die ich im Internet finde.
  • Für mein Android Phone sagte der Support, ich sollte ein Update des Routers fahren, da immer die Meldung "unsuccessfull" erscheint. Brauche ich da jetzt so einen Wartungsvertrag, oder gibt es die auch anders?
  • AnyConnect wäre ja auch eine Super-Sache, weißt Du zufällig, wie es sich da mit Setup und/oder Servicevertrag verhält?

Viele Grüße und auch Dir mal einen erholsamen Sonntag!

PharIT
aqui
aqui 23.10.2016 aktualisiert um 21:35:19 Uhr
Goto Top
Wenn Du erlaubst, hätte ich noch zwei Fragen an dieser Stelle:
Immer her damit... face-wink

Du meinst dann sowas hier, richtig ?? face-big-smile (Der verschickt bei 80 Euro)
http://www.ebay.de/itm/262385170703?ul_noapp=true
ob er jetzt PoE kann.
Du meinst auf seinen GiG Ports am Switch ?
Gib einfach testweise mal ein PoE Kommando ein am Port, dann siehst du das ! Ist wie bei der Firewall: Frisst er das Komanndo kann er das. Sonst gibts ne Fehlermeldung face-wink
Denn er kennt wirklich keines der PoE Kommandos, die ich im Internet finde.
Dann kann er das auch nicht. Wäre auch unüblich für einen SoHo Router.
PoE Injektor verwenden !
Brauche ich da jetzt so einen Wartungsvertrag, oder gibt es die auch anders?
Wenn du pfiffig suchst findest du es auch ohne face-smile Einfach mal den IOS Firmwarenamen bei Dr. Google eingeben.
Das mit dem Update ist aber zu 98% Blödsinn. I Ein 10 Jahre alter 831er Router hier der macht das problemlos ! Wichtig ist das du native IPsec machst und kein L2TP mit IPsec.
Hast du mal den Debugger laufen lassen auf dem Router bei der Einwahl um mal zu checken WARUM ein "unsuccessful" kommt ??
(debug crypto ipsec und debug crypto isakmp. Zum Schluss immer "u all" eingeben um den Debugger abzuschalten !)
AnyConnect wäre ja auch eine Super-Sache,
Brauchst du nicht. Nimm den kostenlosen Shrew Client: https://www.shrew.net/download
Oder verwende einfach PPTP mit einem einigermaßen sicheren Passwort:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Spart dir ne Menge Nerven...
PharIT
PharIT 23.10.2016 aktualisiert um 23:22:46 Uhr
Goto Top
Danke Dir schon wieder!!! Sagst Du mir vielleicht dennoch, wie ich für den AnyConnect anfangen kann? Würde es aus Interesse wirklich gern machen. Muss ich da erst was kaufen?

Dein Tipp bei ebay lag schon verdammt richtig, wie machst Du das nur? :D

Also das Samsung S6 meiner Freundin macht keine Probleme, bei meinem stechen folgende Meldungen raus:


*Oct 23 19:52:49.694: ISAKMP-PAK: (2053):received packet from 82.113.121.125 dport 4500 sport 9309 Global (R) AG_INIT_EXCH


*Oct 23 19:52:49.694: ISAKMP: (2053):Info Notify message requeue retry counter exceeded sa request from xxx to xxx (IP-Adressen)

*Oct 23 19:52:48.998: ISAKMP: (2053):phase 1 packet is a duplicate of a previous packet.


Muss ja fast am Telefon liegen in diesem Fall, oder?
aqui
aqui 24.10.2016 aktualisiert um 16:15:33 Uhr
Goto Top
Für Anyconnect ist das die gleiche Konfig für einen Client Dialin wie du im o.a. IPsec Praxis Tutorial siehst.
Da gibt es keinen Unterschied.
Zu deinen Messages:
received packet from 82.113.121.125 dport 4500 sport 9309 Global R AG_INIT_EXCH

Empfangen wurde ein IKE Initialisierunds Paket mit dem Destination Port 4500 (was NAT Traversal ist) und Source Port 9303
Auf das folgenden Paket wurde nicht geantwortet. Der Retry Counter also der Wiederholungszähler ist abgelaufen und es kam keinen Antwort.
3tes ist komisch. Paket Duplication kann eigentlich nicht sein.
Muss ja fast am Telefon liegen in diesem Fall, oder?
Das kann man versucht sein zu glauben. Wenn es fehlerfrei mit dem Telefon der Freundin geht ist fast davon auszugehen. Aaaaber...
Bei deinem sendet er ja scheinbar Pakete und der Router antwortet nicht.
Da wäre es sehr wichtig zu wissen ob diese Pakete ankommen ???
Schalte also mal den IPsec Debugger an mit debug crypto ipsec und debug crypto isakmp !
Wenn du mit Telnet oder SSH auf dem Router drauf bist gib zusätzlich ein term mon ein um die Debug Meldungen auf dem Schirm zu bringen.
Dann startest du den IPsec Verbindungsaufbau von deinem Androiden (und nur deinem !)
Anhand der dann auftauchenden Debug Meldungen am Router kannst du sofort sehen was schief geht oder ob diese Pakete oben irgendwo hängenbleiben.
Am Ende des Debugg Prozesses immer u all eingeben um den Debugger wieder abzuschalten.
PharIT
PharIT 25.10.2016 um 09:01:02 Uhr
Goto Top
Hi Aqui,

vielen Dank, ich habs jetzt mal ganz durchlaufen lassen, bis mein Handy "Unsuccessfull" meldet. Leider werde ich aus dem Folgenden aber nicht schlau... Du vielleicht?

Viele Grüße!

*Oct 25 06:55:20.241: ISAKMP-PAK: (0):received packet from Smartphone-IP dport 500 sport 10831 Global (N) NEW SA
*Oct 25 06:55:20.241: ISAKMP: (0):Created a peer struct for Smartphone-IP, peer port 10831
*Oct 25 06:55:20.241: ISAKMP: (0):New peer created peer = 0x124BB9B8 peer_handle = 0x8000002E
*Oct 25 06:55:20.241: ISAKMP: (0):Locking peer struct 0x124BB9B8, refcount 1 for crypto_isakmp_process_block
*Oct 25 06:55:20.241: ISAKMP: (0):local port 500, remote port 10831
*Oct 25 06:55:20.241: ISAKMP: (0):insert sa successfully sa = 124BAE64
*Oct 25 06:55:20.241: ISAKMP: (0):processing SA payload. message ID = 0
*Oct 25 06:55:20.241: ISAKMP: (0):processing ID payload. message ID = 0
*Oct 25 06:55:20.241: ISAKMP: (0):ID payload
        next-payload : 13
        type         : 11
*Oct 25 06:55:20.241: ISAKMP: (0):group id     : vpngroup
*Oct 25 06:55:20.241: ISAKMP: (0):      protocol     : 0
        port         : 0
        length       : 16
*Oct 25 06:55:20.241: ISAKMP: (0):peer matches VPNclient profile
*Oct 25 06:55:20.241: ISAKMP: (0):Setting client config settings 3A4B138
*Oct 25 06:55:20.241: ISAKMP: (0):(Re)Setting client xauth list  and state
*Oct 25 06:55:20.241: ISAKMP: (0):xauth- initializing AAA request
*Oct 25 06:55:20.241: ISAKMP: (0):processing vendor id payload
*Oct 25 06:55:20.241: ISAKMP: (0):processing IKE frag vendor id payload
*Oct 25 06:55:20.241: ISAKMP: (0):Support for IKE Fragmentation not enabled
*Oct 25 06:55:20.241: ISAKMP: (0):processing vendor id payload
*Oct 25 06:55:20.241: ISAKMP: (0):vendor ID seems Unity/DPD but major 69 mismatch
*Oct 25 06:55:20.241: ISAKMP: (0):vendor ID is NAT-T RFC 3947
*Oct 25 06:55:20.241: ISAKMP: (0):processing vendor id payload
*Oct 25 06:55:20.241: ISAKMP: (0):vendor ID seems Unity/DPD but major 164 mismatch
*Oct 25 06:55:20.241: ISAKMP: (0):processing vendor id payload
*Oct 25 06:55:20.241: ISAKMP: (0):vendor ID seems Unity/DPD but major 123 mismatch
*Oct 25 06:55:20.241: ISAKMP: (0):vendor ID is NAT-T v2
*Oct 25 06:55:20.241: ISAKMP: (0):processing vendor id payload
*Oct 25 06:55:20.241: ISAKMP: (0):vendor ID seems Unity/DPD but major 221 mismatch
*Oct 25 06:55:20.245: ISAKMP: (0):processing vendor id payload
*Oct 25 06:55:20.245: ISAKMP: (0):vendor ID seems Unity/DPD but major 242 mismatch
*Oct 25 06:55:20.245: ISAKMP: (0):vendor ID is XAUTH
*Oct 25 06:55:20.245: ISAKMP: (0):processing vendor id payload
*Oct 25 06:55:20.245: ISAKMP: (0):vendor ID is Unity
*Oct 25 06:55:20.245: ISAKMP: (0):processing vendor id payload
*Oct 25 06:55:20.245: ISAKMP: (0):vendor ID is DPD
*Oct 25 06:55:20.245: ISAKMP: (0):Authentication by xauth preshared
*Oct 25 06:55:20.245: ISAKMP: (0):Checking ISAKMP transform 1 against priority 10 policy
*Oct 25 06:55:20.245: ISAKMP: (0):      life type in seconds
*Oct 25 06:55:20.245: ISAKMP: (0):      life duration (basic) of 28800
*Oct 25 06:55:20.245: ISAKMP: (0):      encryption AES-CBC
*Oct 25 06:55:20.245: ISAKMP: (0):      keylength of 256
*Oct 25 06:55:20.245: ISAKMP: (0):      auth XAUTHInitPreShared
*Oct 25 06:55:20.245: ISAKMP: (0):      hash SHA256
*Oct 25 06:55:20.245: ISAKMP: (0):      default group 2
*Oct 25 06:55:20.245: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
*Oct 25 06:55:20.245: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
*Oct 25 06:55:20.245: ISAKMP: (0):Checking ISAKMP transform 2 against priority 10 policy
*Oct 25 06:55:20.245: ISAKMP: (0):      life type in seconds
*Oct 25 06:55:20.245: ISAKMP: (0):      life duration (basic) of 28800
*Oct 25 06:55:20.245: ISAKMP: (0):      encryption AES-CBC
*Oct 25 06:55:20.245: ISAKMP: (0):      keylength of 256
*Oct 25 06:55:20.245: ISAKMP: (0):      auth XAUTHInitPreShared
*Oct 25 06:55:20.245: ISAKMP: (0):      hash SHA
*Oct 25 06:55:20.245: ISAKMP: (0):      default group 2
*Oct 25 06:55:20.245: ISAKMP-ERROR: (0):Proposed key length does not match policy
*Oct 25 06:55:20.245: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
*Oct 25 06:55:20.245: ISAKMP: (0):Checking ISAKMP transform 3 against priority 10 policy
*Oct 25 06:55:20.245: ISAKMP: (0):      life type in seconds
*Oct 25 06:55:20.245: ISAKMP: (0):      life duration (basic) of 28800
*Oct 25 06:55:20.245: ISAKMP: (0):      encryption AES-CBC
*Oct 25 06:55:20.245: ISAKMP: (0):      keylength of 256
*Oct 25 06:55:20.245: ISAKMP: (0):      auth XAUTHInitPreShared
*Oct 25 06:55:20.245: ISAKMP: (0):      hash MD5
*Oct 25 06:55:20.245: ISAKMP: (0):      default group 2
*Oct 25 06:55:20.245: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
*Oct 25 06:55:20.245: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
*Oct 25 06:55:20.245: ISAKMP: (0):Checking ISAKMP transform 4 against priority 10 policy
*Oct 25 06:55:20.245: ISAKMP: (0):      life type in seconds
*Oct 25 06:55:20.245: ISAKMP: (0):      life duration (basic) of 28800
*Oct 25 06:55:20.245: ISAKMP: (0):      encryption AES-CBC
*Oct 25 06:55:20.245: ISAKMP: (0):      keylength of 128
*Oct 25 06:55:20.245: ISAKMP: (0):      auth XAUTHInitPreShared
*Oct 25 06:55:20.245: ISAKMP: (0):      hash SHA256
*Oct 25 06:55:20.245: ISAKMP: (0):      default group 2
*Oct 25 06:55:20.245: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
*Oct 25 06:55:20.245: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
*Oct 25 06:55:20.245: ISAKMP: (0):Checking ISAKMP transform 5 against priority 10 policy
*Oct 25 06:55:20.245: ISAKMP: (0):      life type in seconds
*Oct 25 06:55:20.245: ISAKMP: (0):      life duration (basic) of 28800
*Oct 25 06:55:20.245: ISAKMP: (0):      encryption AES-CBC
*Oct 25 06:55:20.245: ISAKMP: (0):      keylength of 128
*Oct 25 06:55:20.245: ISAKMP: (0):      auth XAUTHInitPreShared
*Oct 25 06:55:20.245: ISAKMP: (0):      hash SHA
*Oct 25 06:55:20.245: ISAKMP: (0):      default group 2
*Oct 25 06:55:20.245: ISAKMP: (0):atts are acceptable. Next payload is 3
*Oct 25 06:55:20.245: ISAKMP: (0):Acceptable atts:actual life: 86400
*Oct 25 06:55:20.245: ISAKMP: (0):Acceptable atts:life: 0
*Oct 25 06:55:20.245: ISAKMP: (0):Basic life_in_seconds:28800
*Oct 25 06:55:20.245: ISAKMP: (0):Returning Actual lifetime: 28800
*Oct 25 06:55:20.245: ISAKMP: (0):Started lifetime timer: 28800.

*Oct 25 06:55:20.245: ISAKMP: (0):processing KE payload. message ID = 0
*Oct 25 06:55:20.245: ISAKMP: (0):processing NONCE payload. message ID = 0
*Oct 25 06:55:20.245: ISAKMP: (0):vendor ID is NAT-T RFC 3947
*Oct 25 06:55:20.245: ISAKMP: (0):vendor ID is NAT-T v2
*Oct 25 06:55:20.245: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_AM_EXCH
*Oct 25 06:55:20.245: ISAKMP: (0):Old State = IKE_READY  New State = IKE_R_AM_AAA_AWAIT

*Oct 25 06:55:20.249: ISAKMP: (2057):constructed NAT-T vendor-rfc3947 ID
*Oct 25 06:55:20.249: ISAKMP: (2057):SA is doing
*Oct 25 06:55:20.249: ISAKMP: (2057):pre-shared key authentication plus XAUTH using id type ID_IPV4_ADDR
*Oct 25 06:55:20.249: ISAKMP: (2057):ID payload
        next-payload : 10
        type         : 1
*Oct 25 06:55:20.249: ISAKMP: (2057):   address      : Router-IP
*Oct 25 06:55:20.249: ISAKMP: (2057):   protocol     : 0
        port         : 0
        length       : 12
*Oct 25 06:55:20.249: ISAKMP: (2057):Total payload length: 12
*Oct 25 06:55:20.249: ISAKMP-PAK: (2057):sending packet to Smartphone-IP my_port 500 peer_port 10831 (R) AG_INIT_EXCH
*Oct 25 06:55:20.249: ISAKMP: (2057):Sending an IKE IPv4 Packet.
*Oct 25 06:55:20.249: ISAKMP: (2057):Input = IKE_MESG_FROM_AAA, PRESHARED_KEY_REPLY
*Oct 25 06:55:20.249: ISAKMP: (2057):Old State = IKE_R_AM_AAA_AWAIT  New State = IKE_R_AM2

*Oct 25 06:55:20.301: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:20.301: ISAKMP: (2057):set new node -482072668 to CONF_XAUTH
*Oct 25 06:55:20.301: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:20.301: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:20.301: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:20.301: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:20.301: ISAKMP: (2057):Info Notify message requeue retry counter exceeded sa request from Smartphone-IP to Router-IP.
*Oct 25 06:55:23.341: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:23.345: ISAKMP: (2057):phase 1 packet is a duplicate of a previous packet.
*Oct 25 06:55:23.345: ISAKMP: (2057):retransmitting due to retransmit phase 1
*Oct 25 06:55:23.845: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH...
*Oct 25 06:55:23.845: ISAKMP: (2057):: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
*Oct 25 06:55:23.845: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH
*Oct 25 06:55:23.845: ISAKMP-PAK: (2057):sending packet to Smartphone-IP my_port 500 peer_port 10831 (R) AG_INIT_EXCH
*Oct 25 06:55:23.845: ISAKMP: (2057):Sending an IKE IPv4 Packet.
*Oct 25 06:55:23.921: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:23.921: ISAKMP: (2057):set new node -175839753 to CONF_XAUTH
*Oct 25 06:55:23.921: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:23.921: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:23.921: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:23.921: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:23.921: ISAKMP: (2057):Info Notify message requeue retry counter exceeded sa request from Smartphone-IP to Router-IP.
*Oct 25 06:55:25.921: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:25.921: ISAKMP: (2057):phase 1 packet is a duplicate of a previous packet.
*Oct 25 06:55:25.921: ISAKMP: (2057):retransmitting due to retransmit phase 1
*Oct 25 06:55:26.421: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH...
*Oct 25 06:55:26.421: ISAKMP: (2057):: incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
*Oct 25 06:55:26.421: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH
*Oct 25 06:55:26.421: ISAKMP-PAK: (2057):sending packet to Smartphone-IP my_port 500 peer_port 10831 (R) AG_INIT_EXCH
*Oct 25 06:55:26.421: ISAKMP: (2057):Sending an IKE IPv4 Packet.
*Oct 25 06:55:26.521: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:26.521: ISAKMP: (2057):set new node -754126696 to CONF_XAUTH
*Oct 25 06:55:26.521: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:26.525: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:26.525: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:26.525: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:26.525: ISAKMP: (2057):Info Notify message requeue retry counter exceeded sa request from Smartphone-IP to Router-IP.
*Oct 25 06:55:28.537: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:28.537: ISAKMP: (2057):phase 1 packet is a duplicate of a previous packet.
*Oct 25 06:55:28.537: ISAKMP: (2057):retransmitting due to retransmit phase 1
*Oct 25 06:55:29.037: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH...
*Oct 25 06:55:29.037: ISAKMP: (2057):: incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
*Oct 25 06:55:29.037: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH
*Oct 25 06:55:29.037: ISAKMP-PAK: (2057):sending packet to Smartphone-IP my_port 500 peer_port 10831 (R) AG_INIT_EXCH
*Oct 25 06:55:29.037: ISAKMP: (2057):Sending an IKE IPv4 Packet.
*Oct 25 06:55:29.137: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:29.137: ISAKMP: (2057):set new node -813514615 to CONF_XAUTH
*Oct 25 06:55:29.141: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:29.141: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:29.141: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:29.141: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:29.141: ISAKMP: (2057):Info Notify message requeue retry counter exceeded sa request from Smartphone-IP to Router-IP.
*Oct 25 06:55:32.141: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:32.141: ISAKMP: (2057):phase 1 packet is a duplicate of a previous packet.
*Oct 25 06:55:32.141: ISAKMP: (2057):retransmitting due to retransmit phase 1
*Oct 25 06:55:32.641: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH...
*Oct 25 06:55:32.641: ISAKMP: (2057):: incrementing error counter on sa, attempt 4 of 5: retransmit phase 1
*Oct 25 06:55:32.641: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH
*Oct 25 06:55:32.641: ISAKMP-PAK: (2057):sending packet to Smartphone-IP my_port 500 peer_port 10831 (R) AG_INIT_EXCH
*Oct 25 06:55:32.641: ISAKMP: (2057):Sending an IKE IPv4 Packet.
*Oct 25 06:55:32.697: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:32.697: ISAKMP: (2057):set new node -717522787 to CONF_XAUTH
*Oct 25 06:55:32.701: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:32.701: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:32.701: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:32.701: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:32.701: ISAKMP: (2057):Info Notify message requeue retry counter exceeded sa request from Smartphone-IP to Router-IP.
*Oct 25 06:55:34.753: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:34.753: ISAKMP: (2057):phase 1 packet is a duplicate of a previous packet.
*Oct 25 06:55:34.753: ISAKMP: (2057):retransmitting due to retransmit phase 1
*Oct 25 06:55:35.253: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH...
*Oct 25 06:55:35.253: ISAKMP: (2057):: incrementing error counter on sa, attempt 5 of 5: retransmit phase 1
*Oct 25 06:55:35.253: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH
*Oct 25 06:55:35.253: ISAKMP-PAK: (2057):sending packet to Smartphone-IP my_port 500 peer_port 10831 (R) AG_INIT_EXCH
*Oct 25 06:55:35.253: ISAKMP: (2057):Sending an IKE IPv4 Packet.
*Oct 25 06:55:35.361: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:35.361: ISAKMP: (2057):set new node -428889241 to CONF_XAUTH
*Oct 25 06:55:35.361: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:35.361: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:35.361: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:35.361: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:35.361: ISAKMP: (2057):Info Notify message requeue retry counter exceeded sa request from Smartphone-IP to Router-IP.
*Oct 25 06:55:37.381: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) AG_INIT_EXCH
*Oct 25 06:55:37.381: ISAKMP: (2057):phase 1 packet is a duplicate of a previous packet.
*Oct 25 06:55:37.381: ISAKMP: (2057):retransmitting due to retransmit phase 1
*Oct 25 06:55:37.881: ISAKMP: (2057):retransmitting phase 1 AG_INIT_EXCH...
*Oct 25 06:55:37.881: ISAKMP: (2057):peer does not do paranoid keepalives.
*Oct 25 06:55:37.881: ISAKMP-ERROR: (2057):deleting SA reason "Death by retransmission P1" state (R) AG_INIT_EXCH (peer Smartphone-IP)  
*Oct 25 06:55:37.881: ISAKMP-ERROR: (2057):deleting SA reason "Death by retransmission P1" state (R) AG_INIT_EXCH (peer Smartphone-IP)  
*Oct 25 06:55:37.881: ISAKMP: (2057):Deleting the unauthenticated sa
*Oct 25 06:55:37.881: ISAKMP: (2057):Unlocking peer struct 0x124BB9B8 for isadb_mark_sa_deleted(), count 0
*Oct 25 06:55:37.881: ISAKMP: (2057):Deleting the peer struct for unauthenticated sa
*Oct 25 06:55:37.881: ISAKMP: (0):Deleting peer node by peer_reap for Smartphone-IP: 124BB9B8
*Oct 25 06:55:37.881: ISAKMP: (2057):deleting node -482072668 error FALSE reason "IKE deleted"  
*Oct 25 06:55:37.881: ISAKMP: (2057):deleting node -175839753 error FALSE reason "IKE deleted"  
*Oct 25 06:55:37.881: ISAKMP: (2057):deleting node -754126696 error FALSE reason "IKE deleted"  
*Oct 25 06:55:37.881: ISAKMP: (2057):deleting node -813514615 error FALSE reason "IKE deleted"  
*Oct 25 06:55:37.881: ISAKMP: (2057):deleting node -717522787 error FALSE reason "IKE deleted"  
*Oct 25 06:55:37.881: ISAKMP: (2057):deleting node -428889241 error FALSE reason "IKE deleted"  
*Oct 25 06:55:37.881: ISAKMP: (2057):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Oct 25 06:55:37.881: ISAKMP: (2057):Old State = IKE_R_AM2  New State = IKE_DEST_SA

*Oct 25 06:55:40.381: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) MM_NO_STATE
*Oct 25 06:55:43.381: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) MM_NO_STATE
*Oct 25 06:55:46.401: ISAKMP-PAK: (2057):received packet from Smartphone-IP dport 4500 sport 11315 Global (R) MM_NO_STATE
aqui
aqui 25.10.2016 um 10:46:11 Uhr
Goto Top
Ja, dein Smartphone macht einen Protokollfehler. Kurz vor der Phase 2 retransmitted es ein Packet was das IPsec als Fehler oder Attacke ansieht und dann den Sessionaufbau abbricht.
Da ist ein Fehler im IPsec Protokollstack bei dem telefon. Gibt es da ggf. ein Firmware Update.
Siehst du ja auch schon daran das andere Telefone wie das der Trautholdesten sauber funktionieren.
Was du nochmal machen kannst ist die Schlüssellänge auf 256 Bit zu erhöhen, was heute eigentlich üblicher Standard ist. 128 Bit ist schon etwas alt.
Es ist nur in der Praxiskonfig mit drin, da häufig noch alte Router verwendet werden und billige Consumer Systeme mit schwachbrüstigen SoC CPUs oft nicht mehr können.
Du fügst also einfach eine weitere Policy mit crypto isakmp policy xy dazu mit aes 256.
PharIT
PharIT 25.10.2016 um 11:18:53 Uhr
Goto Top
Danke Aqui!

Hast Du 128 daran gesehen, dass nichts mehr nach "aes" kommt, oder?

Hab's jetzt mal gemacht, aber immer noch dasselbe. Es ist das neue Android Nougat 7.1 --vielleicht ein Fehler dort. Ich würde mal abwarten, ob ein Update kommt

Viele Grüße,

PharIT
aqui
aqui 25.10.2016 um 11:21:33 Uhr
Goto Top
Nein er lehnt ja alle vorgeschlagenen Credentials ab erst mit 128 acceptet er. Daraus kann man schliessen das du nur 128 anbietest bei AES, richtig ?
Du kannst im Debugger ja sehen ob er die 256 annimmt.
Machst du auch 3DES ?
PharIT
PharIT 25.10.2016 aktualisiert um 11:26:12 Uhr
Goto Top
Nein, stimmt genau! 3DES bisher nicht, wusste garnicht, ob das Anklang bei Android findet...

Edit: Ich habe es einfach in meine policy mal aufgenommen, aber leider lehnt er das auch ab. Oder sind die beiden parallel in derselben Policy ein Unding?

Meinst Du der Anyconnect für Android würde da was ändern? Du hast nicht auch dort so einen genialen Guide geschrieben?! :D -- nur Spaß

Viele Grüße,

PharIT
aqui
aqui 25.10.2016 um 11:28:56 Uhr
Goto Top
Nein, das ist normal das man mehrere Policies zum Negotiaten anbietet. 3DES/SHA und AES 128 und 256 sollten dabei sein.
Du siehst ja auch am Debugger wie er das alles einzeln durchgeht und einen Match sucht.
Für Anyconnect brauchst du keinen Guide. Die Konfig ist wie die oben.
Such einfach auf den Cisco Seiten nach "IOS Anyconnect Config" dann siehst du das auch.
PharIT
PharIT 27.10.2016 um 12:49:56 Uhr
Goto Top
Sorry für die späte Rückmeldung, ich lag flach die letzten Tage...

Meinst Du, ein anderer VPN würde vielleicht was bringen? Der Support sagt, mein Cisco sei nicht "neu genung" da mein Handy bereits das neueste Android 7.1 nutzt...

Viele Grüße,

PharIT
aqui
aqui 27.10.2016 um 15:25:55 Uhr
Goto Top
mein Cisco sei nicht "neu genung" da mein Handy bereits das neueste Android 7.1 nutzt...
Ha ha ha...was für Schwachmaten sitzen da denn in der Hotline !!! Der Schenkelklopfer...
Du kannst das mit dem Debug Output ja sogar beweisen.
Was hast du denn auf dem Cisco für eine Firmware drauf ?? Nur darauf kommt es ja an.
Die sollte natürlich nicht äkter als 2 oder 3 Jahre sein.
Sag ihnen doch mal das das Smartphones deiner Freundin und auch alle allerneuesten iPhones und iPads damit fehlerlos rennen.
Auf die Antwort darauf wäre ich gespannt...?!
PharIT
PharIT 28.10.2016 um 00:17:19 Uhr
Goto Top
Der Hammer, oder? :D

Ich hab den Bug bei Android gemeldet und da reiht sich eine ganze Schar hinter mir ein... Cisco ist von 2015, da sollte alles ok sein.
aqui
aqui 28.10.2016 um 10:10:59 Uhr
Goto Top
und da reiht sich eine ganze Schar hinter mir ein...
Das sagt ja eigentlich alles.. face-smile
PharIT
PharIT 29.10.2016 um 19:53:33 Uhr
Goto Top
Du Aqui, mal eine Frage noch. Ich würde gerne von extern eine Datensicherung auf einen extra-NAS (Raspberry) schicken.

Kann ich ein Gastnetzwerk erstellen, worin der Raspberry liegt, und diese eine spezielle VPN Anfrage irgendwie genau da rein senden?
aqui
aqui 30.10.2016 um 00:54:29 Uhr
Goto Top
Ja, natürlich das ist schnell erledigt.
Weiteres Subnetz oder VLAN einrichten:
!
interface GigabitEthernet6
description Raspberry NAS
switchport access vlan 20 <-- Port 6 auf Raspberry Netz umschalten (VLAN 20)
no ip address
no cdp enable
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99
no ip address
no cdp enable
!
interface Vlan20
description Raspberry NAS (Port=GigabitEthernet6)
ip address 10.20.1.1 255.255.255.0
(ip access-group nas in)
<-- evtl. NAS Netz absichern
ip nat inside
!
access-list 101 deny ip 10.22.1.0 0.0.0.255 x.y.z.0 0.0.0.255
=> Kein NAT für das VPN mit RasPi
access-list 101 permit ip 10.20.1.0 0.0.0.255 any
<-- NAT um NAS Netz erweitern
!
ip access-list extended vpnraspi
=> Bestimmt zu verschlüsselnden Traffic für VPN mit RasPi
permit ip 10.20.1.0 0.0.0.255 x.y.z.0 0.0.0.255
!

Mit den entsprechenden VPN Crypto Configs dann noch wie im o.a. Tutorial beschrieben..