VoIP hinter Cisco Router
Hallo allerseits,
ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.
Habe ein Softphone hinter dem Cisco mit IP 10.10.10.149. Das hängt an einem meiner internen GigabitEthernets, welcher im VLAN 1 hängt. Der GigabitEthernet8 sollte korrekt die Verbindung nach außen aufbauen. Hat mir jemand den Ansatz wo ich suchen muss? Fange gerade erst mit VoIP an und weiß nicht, ob ich in die falsche Richtung laufe... Danke schon mal im Voraus!
Und die folgenden Settings im Cisco kommen hier schon:
EDIT: Hängt das vielleicht mit SIP vs. H.323 zusammen?
Viele Grüße,
PharIT
ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.
Habe ein Softphone hinter dem Cisco mit IP 10.10.10.149. Das hängt an einem meiner internen GigabitEthernets, welcher im VLAN 1 hängt. Der GigabitEthernet8 sollte korrekt die Verbindung nach außen aufbauen. Hat mir jemand den Ansatz wo ich suchen muss? Fange gerade erst mit VoIP an und weiß nicht, ob ich in die falsche Richtung laufe... Danke schon mal im Voraus!
Und die folgenden Settings im Cisco kommen hier schon:
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no ip route-cache
!
!
!
interface GigabitEthernet8
description PrimaryWANDesc_
ip address xxx.xxx.xxx.xxx 255.255.255.192
ip nat outside
ip virtual-reassembly in
no ip route-cache
duplex auto
speed auto
no cdp enable
!
!
ip nat pool portforward 10.10.10.149 10.10.10.149 netmask 255.255.255.0 type rot ary
ip nat inside source list nat-list interface GigabitEthernet8 overload
ip nat inside source route-map nonat interface GigabitEthernet8 overload
ip nat inside source static udp 10.10.10.149 3478 xxx.xxx.xxx.xxx 3478 extendable
ip nat inside source static udp 10.10.10.149 5004 xxx.xxx.xxx.xxx 5004 extendable
ip nat inside source static udp 10.10.10.149 5060 xxx.xxx.xxx.xxx 5060 extendable
ip nat inside source static udp 10.10.10.149 5062 xxx.xxx.xxx.xxx 5062 extendable
ip nat inside source static udp 10.10.10.170 5065 xxx.xxx.xxx.xxx 5065 extendable
!
!
access-list 100 permit udp any any range 49152 49408
access-list 101 permit udp host 10.10.10.149 any eq 5060
access-list 101 permit udp host 10.10.10.149 any eq 5062
access-list 101 permit udp host 10.10.10.149 any eq 5065
access-list 101 permit udp host 10.10.10.149 any eq 5004
access-list 101 permit udp host 10.10.10.149 any eq 3478
EDIT: Hängt das vielleicht mit SIP vs. H.323 zusammen?
Viele Grüße,
PharIT
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 318708
Url: https://administrator.de/forum/voip-hinter-cisco-router-318708.html
Ausgedruckt am: 27.12.2024 um 13:12 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
Was sagt ein Wireshark mitschnitt an den Port (Port Mirror) wo dein Softphone hängt (Oder direkt auf den PC wo dein Softphone laufen will?
Softphone korrekt eingerichtet?
Cisco lässt auch Port 5060 durch wie im anderen beitrag besonders hingewiesen wurde?
Softphone weiß um deiner VLANs?
Was ist dein Softphone?
Kann es überhaupt H.323 (ISDN over IP) oder warum die Frage nach SIP bzw. H323?
https://de.wikipedia.org/wiki/H.323
https://de.wikipedia.org/wiki/Session_Initiation_Protocol
Gruß,
Peter
PS Link nachgereicht
Zitat von @PharIT:
ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.
Beziehst du dich hierauf? TK-Anlage hinter Cisco 891ich hätte kurz mal eine Frage, komme über Stunden einfach nicht weiter. Hinter meinem Cisco Router komme bekomme ich keinen einzigen eingehenden VoIP Call hin.
Was sagt ein Wireshark mitschnitt an den Port (Port Mirror) wo dein Softphone hängt (Oder direkt auf den PC wo dein Softphone laufen will?
Softphone korrekt eingerichtet?
Cisco lässt auch Port 5060 durch wie im anderen beitrag besonders hingewiesen wurde?
Softphone weiß um deiner VLANs?
Was ist dein Softphone?
Kann es überhaupt H.323 (ISDN over IP) oder warum die Frage nach SIP bzw. H323?
https://de.wikipedia.org/wiki/H.323
https://de.wikipedia.org/wiki/Session_Initiation_Protocol
Gruß,
Peter
PS Link nachgereicht
Deine Konfig hat gravierende Fehler oder du hast etwas unterschlagen hier !
Dein PAT hast du an die Route MAP nonat gemappt. Wo ist diese ??
Wenn du die nicht definiert hast wird alles im NAT geblockt und da ist es dann kein Wunder das nix klappt !
Hast du einen Router mit Firewall Image ??
Wenn ja nutze bitte folgende Konfig:
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
!
interface Vlan1
description Lokales LAN
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no ip route-cache
!
interface GigabitEthernet8
description Internet Port mit NAT
ip address xxx.xxx.xxx.xxx 255.255.255.192
ip nat outside
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect myfw out
ip virtual-reassembly in
no cdp enable
!
!
ip nat inside source list 101 interface GigabitEthernet8 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
!
Damit aktivierst du die Firewall mit einer CBAC Accessliste und lässt über das dortige Application Gateway SIP und RTP dynamisch passieren.
Damit entfallen auch sofort die statischen Port Forwardings für VoIP.
Diese musst du nur machen wenn du kein FirewallImage auf dem Router hast.
Dein PAT hast du an die Route MAP nonat gemappt. Wo ist diese ??
Wenn du die nicht definiert hast wird alles im NAT geblockt und da ist es dann kein Wunder das nix klappt !
Hast du einen Router mit Firewall Image ??
Wenn ja nutze bitte folgende Konfig:
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
!
interface Vlan1
description Lokales LAN
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no ip route-cache
!
interface GigabitEthernet8
description Internet Port mit NAT
ip address xxx.xxx.xxx.xxx 255.255.255.192
ip nat outside
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect myfw out
ip virtual-reassembly in
no cdp enable
!
!
ip nat inside source list 101 interface GigabitEthernet8 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
!
Damit aktivierst du die Firewall mit einer CBAC Accessliste und lässt über das dortige Application Gateway SIP und RTP dynamisch passieren.
Damit entfallen auch sofort die statischen Port Forwardings für VoIP.
Diese musst du nur machen wenn du kein FirewallImage auf dem Router hast.
Und nochmals die Frage an dich: Betreibst du ein Firewall Image auf dem Cisco ? (Ein sh ver oder sh flash verrät dir das !)
Scheinbar ist es dir wohl egal was man hier als Antwort schreibt oder nicht, denn du ignorierst vollständig irgendwelche Tips.
Anhand der wirren Konfiguration oben erkennt man auch das du vermutlich mit einem automatisierten Konfig Programm auf dem Cisco rummfummelst.
Vergiss das bitte !!!
All diese Programme sind für Volldummies und in der Regel großer Mist und machen mehr falsch als richtig, deshalb bekommst du das auch alles nicht zum Fliegen !
Schliesse ein ganz normales serielles Terminal mit PuTTY oder TeraTerm an den seriellen Konsolport des Routers und konfiguriere ihn mit den Kommandos die auch oben für dich hier gepostet wurden !!!
Soviel mal zu den Grundlagen....
Eine Frage noch vorweg:
Du schreibst du betreibst den Router mit einem Kabelmodem ??!!
Ist das wirklich ein reines Modem oder ist das ein Kabelrouter mit integriertem Modem ??
Letzteres wäre dann eine Router Kaskade die eine andere Konfig erfordert.
Da du mit ip address xxx.xxx.xxx.xxx 255.255.255.192 eine /26 Subnetz Adresse verwendest und diese vermutlich öffentlich ist, ist es vermutlich wirklich ein reines Modem, richtig ?
Merkwürdig ist dann hier aber nur das in aller Regel in Kabel TV Netzen die IP Adresse per DHCP vom Kabelprovider an die Kabelrouter vergeben werden.
Infolgedessen hätte man eine Interface Konfiguration dort als DHCP Client ip address dhcp erwartet.
Warum ist diese bei dir statisch bzw. manuell ???
Ansonsten sind es wiedermal die gleichen Fehler oder Ungereimtheiten wie oben von denen du rein gar nichts oder wenn dann vollkommen falsch entgegen der dir geposteten Konfig umgesetzt hast.
Die Kardinalsfrage ist WARUM du nicht mal Zeit gefunden hast mit einem sh run deine Konfig mit der geposteten zu vergleichen.
Auch einen vollkommenen Laien hätten diese gravierenden Fehler das ACLs an falschen Interfaces liegen ja sofort auffallen müssen ?!
Im Einzelnen:
Deine Konfig ist die reinste Katastrofe und in weiten Teilen vollkommen fehlerhaft und es ist klar das du damit Schiffbruch erleidest.
Gehe jetzt bitte mal langsam Schritt für Schritt vor und so das du etwas lernst dabei und es nicht wieder schief geht:
1.) Schritt:
Die Grundkonfiguration mit lokalem LAN mit DHCP und Internet Zugang zum Laufen bringen.
2.) Schritt:
VPN zum Fliegen bringen
Wir fangen jetzt mit dem ersten Schritt an indem du folgendes machst:
Los gehts:
!
service timestamps log datetime localtime --> Log Uhrzeit auf Lokalzeit stellen
!
hostname CiscoRouter --> Hostnamen im Prompt einstellen
!
enable secret Geheim --> Login Passwort setzen
!
clock timezone CET 1 0 --> Uhrzeit auf EU Zeitzone stellen
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 --> Uhr auf auto. Sommerzeit stellen
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.10.1 10.10.10.99 <-- DHCP Adress Pool lokales LAN .100 bis .149
ip dhcp excluded-address 10.10.10.150 10.10.10.254
!
ip dhcp pool LAN <-- DHCP Pool Router, DNS etc.
network 10.10.10.0
default-router 10.10.10.1
dns-server 10.10.10.1
domain-name pharit.intern
!
!
ip inspect name myfw tcp --> Firewall global aktivieren
ip inspect name myfw udp
ip inspect name myfw sip <-- Firewall App Gateway f. VoIP
ip inspect name myfw rtsp <-- Firewall App Gateway f. VoIP
!
interface Vlan1
description Lokales LAN --> (Switch Gig Ports 0 bis 7)
ip address 10.10.10.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address xxx.xxx.xxx.xxx9 255.255.255.192
ip access-group 111 in <-- HIER ! Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out <-- HIER ! Firewall aktiv auf Internet Port
no cdp enable
!
ip dns server <-- Cisco ist Proxy DNS
!
ip nat inside source list 101 GigabitEthernet8 overload <-- NAT aktivieren für Pakete nach ACL 101 am Gig 8 Port
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x <-- Default Route, x.x.x.x = Provider Gateway IP (Entfällt bei Internet Port Gig8 im DHCP Mode)
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any <-- Alles mit Absender IP 10.10.10.x wird geNATet !
!
access-list 111 permit icmp any any administratively-prohibited <-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any <-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any <-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any <-- Erlaubt NTP (Zeit) durch die Firewall
!
Bitte erstmal NUR allein diese Konfig zum Fliegen bringen !!!
Das ist die einfache Grundkonfig für ein lokales LAN mit DHCP und Internet Zugriff mit NAT zum Kabelprovider.
Wenn der DHCP macht für die IP dann kannst du den GigE 8 Port auch anders konfigurieren:
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address dhcp
ip access-group 111 in <-- Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out <-- Firewall aktiv auf Internet Port
no cdp enable
!
Die ACL 111 muss dann aber auch entsprechend angepasst werden sofern du DHCP Vergabe am Gig8 Provider Port machst !!
!
access-list 111 permit icmp any any administratively-prohibited <-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any <-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any <-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any <-- Erlaubt NTP (Zeit) durch die Firewall
access-list 111 permit udp any eq bootps any <-- Erlaubt DHCP vom Provider
!
Wenn dein Provider die IP per DHCP vergibt bekommst du so auch die DNS Server IP Adresse automatisch und musst NICHTS weiter konfigurieren.
Musst du sie wirklich statisch vergeben, dann musst du mit ip name-server x.y.z.h den Name Server statisch eintragen.
Google solltest du immer vermeiden ! Die erstellen ein Profil von dir mit deinen Surfgewohnheiten !
Wenn, dann immer die DNS Server deines Providers nehmen !
Bitte jetzt diese (und NUR diese !) Konfig so über das Terminal eingeben und KEIN Konfig Programm oder solchen Unsinn benutzen !
Dann querchecken ob deine Konfig der obigen entspricht. Überflüssige Kommandos und Interfaces sind da jetzt weggelassen der Übersicht halber um dich nicht zu verwirren.
Bitte halte dich auch parallel an das hiesige_Cisco_Tutorial was alle diese Konfigs ebenfalls abtippfertig und zur Überprüfung komplett kommentiert vorhält !!!
Falls du noch ein Gastnetz oder weitere lokale Subnetze brauchst musst du das sagen, das kann man zusätzlich noch leicht einrichten in der Grundkonfiguration aber wie gesagt: "Alles der Reihe nach !!!"
Erstmal das obige als Internet Grundkonfig zum Laufen bringen und testen, dann machen wir hier weiter !
Scheinbar ist es dir wohl egal was man hier als Antwort schreibt oder nicht, denn du ignorierst vollständig irgendwelche Tips.
Anhand der wirren Konfiguration oben erkennt man auch das du vermutlich mit einem automatisierten Konfig Programm auf dem Cisco rummfummelst.
Vergiss das bitte !!!
All diese Programme sind für Volldummies und in der Regel großer Mist und machen mehr falsch als richtig, deshalb bekommst du das auch alles nicht zum Fliegen !
Schliesse ein ganz normales serielles Terminal mit PuTTY oder TeraTerm an den seriellen Konsolport des Routers und konfiguriere ihn mit den Kommandos die auch oben für dich hier gepostet wurden !!!
Soviel mal zu den Grundlagen....
Eine Frage noch vorweg:
Du schreibst du betreibst den Router mit einem Kabelmodem ??!!
Ist das wirklich ein reines Modem oder ist das ein Kabelrouter mit integriertem Modem ??
Letzteres wäre dann eine Router Kaskade die eine andere Konfig erfordert.
Da du mit ip address xxx.xxx.xxx.xxx 255.255.255.192 eine /26 Subnetz Adresse verwendest und diese vermutlich öffentlich ist, ist es vermutlich wirklich ein reines Modem, richtig ?
Merkwürdig ist dann hier aber nur das in aller Regel in Kabel TV Netzen die IP Adresse per DHCP vom Kabelprovider an die Kabelrouter vergeben werden.
Infolgedessen hätte man eine Interface Konfiguration dort als DHCP Client ip address dhcp erwartet.
Warum ist diese bei dir statisch bzw. manuell ???
Ansonsten sind es wiedermal die gleichen Fehler oder Ungereimtheiten wie oben von denen du rein gar nichts oder wenn dann vollkommen falsch entgegen der dir geposteten Konfig umgesetzt hast.
Die Kardinalsfrage ist WARUM du nicht mal Zeit gefunden hast mit einem sh run deine Konfig mit der geposteten zu vergleichen.
Auch einen vollkommenen Laien hätten diese gravierenden Fehler das ACLs an falschen Interfaces liegen ja sofort auffallen müssen ?!
Im Einzelnen:
- Die ACL 111 macht nur Sinn wenn du das Firewall Image bzw. die Firewall aktivierst !
- Außerdem hast du sie zwar definiert aber am völlig falschen Interface aktiviert ?! Damit ist sie NICHT aktiv
- Sie ist am lokalen LAN aktiviert was natürlich völliger Blödsinn ist. Hättest du nur einmal auf die IP Adressen in der ACL 11 gesehen dann hättest du gesehen wie blödsinning das ist. Klar das das schiefgeht.
- Firewall Outgoing ebenfalls am LOKALEN LAN als Outgoing definiert. Sorry, aber auch das ist, gelinde gesagt, völliger Blödsinn und hätte dir auch als Laie sofort auffallen müssen !
- Firewall und Application Gateway für SIP auch wieder nicht aktiviert !
- Name Server auf Google definieren ist Unsinn es sei denn du lässt dich freiwillig gerne ausspionieren ?
- DHCP Excluded Adresse sinnloss doppel und 3fach ausgenommen
- Regel access-list 111 permit ip any any gefährlicher Irrsinn !! Damit erlaubst du ALLES eingehend. Tödlich für eine Firewall Regel !!
- usw. usw.
Deine Konfig ist die reinste Katastrofe und in weiten Teilen vollkommen fehlerhaft und es ist klar das du damit Schiffbruch erleidest.
Gehe jetzt bitte mal langsam Schritt für Schritt vor und so das du etwas lernst dabei und es nicht wieder schief geht:
1.) Schritt:
Die Grundkonfiguration mit lokalem LAN mit DHCP und Internet Zugang zum Laufen bringen.
2.) Schritt:
VPN zum Fliegen bringen
Wir fangen jetzt mit dem ersten Schritt an indem du folgendes machst:
- Wie oben bereits gesagt: Terminal mit PuTTY oder TeraTerm (ZTerm wenn du einen Apple hast) an die serielle Schnittstelle anschliessen mit 9600 Baud, N81
- Dann löschst du mit: write erase oder era startup deine kranke Konfig von oben komplett und machst den Router wieder jungfräulich (Factory Reset) und bootest den Router neu.
- Wenn er dich dann nach dem Booten fragt ob du das Setup Menü starten willst sagst du "Nein". Du kommst dann ins normale Konfig Menü ( > Prompt und dann enable) und kannst dann dort mit conf t die folgende, für dich fertig zum Aptippen, kommentierte Konfig eingeben.
- Bitte BEVOR du hier weiterfragst mit sh run nochmal genau verifizieren um die wiederholten Fehler, die du oben gemacht hast, nicht wieder und wieder geschehen zu lassen !
- Eine gute Kurzeinführung in die wichtigsten Cisco Konfig Kommandos (Basisbefehle) findest du hier: http://www.coufal.info/cisco_ios/index.shtml
Los gehts:
!
service timestamps log datetime localtime --> Log Uhrzeit auf Lokalzeit stellen
!
hostname CiscoRouter --> Hostnamen im Prompt einstellen
!
enable secret Geheim --> Login Passwort setzen
!
clock timezone CET 1 0 --> Uhrzeit auf EU Zeitzone stellen
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 --> Uhr auf auto. Sommerzeit stellen
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.10.1 10.10.10.99 <-- DHCP Adress Pool lokales LAN .100 bis .149
ip dhcp excluded-address 10.10.10.150 10.10.10.254
!
ip dhcp pool LAN <-- DHCP Pool Router, DNS etc.
network 10.10.10.0
default-router 10.10.10.1
dns-server 10.10.10.1
domain-name pharit.intern
!
!
ip inspect name myfw tcp --> Firewall global aktivieren
ip inspect name myfw udp
ip inspect name myfw sip <-- Firewall App Gateway f. VoIP
ip inspect name myfw rtsp <-- Firewall App Gateway f. VoIP
!
interface Vlan1
description Lokales LAN --> (Switch Gig Ports 0 bis 7)
ip address 10.10.10.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address xxx.xxx.xxx.xxx9 255.255.255.192
ip access-group 111 in <-- HIER ! Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out <-- HIER ! Firewall aktiv auf Internet Port
no cdp enable
!
ip dns server <-- Cisco ist Proxy DNS
!
ip nat inside source list 101 GigabitEthernet8 overload <-- NAT aktivieren für Pakete nach ACL 101 am Gig 8 Port
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x <-- Default Route, x.x.x.x = Provider Gateway IP (Entfällt bei Internet Port Gig8 im DHCP Mode)
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any <-- Alles mit Absender IP 10.10.10.x wird geNATet !
!
access-list 111 permit icmp any any administratively-prohibited <-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any <-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any <-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any <-- Erlaubt NTP (Zeit) durch die Firewall
!
Bitte erstmal NUR allein diese Konfig zum Fliegen bringen !!!
Das ist die einfache Grundkonfig für ein lokales LAN mit DHCP und Internet Zugriff mit NAT zum Kabelprovider.
Wenn der DHCP macht für die IP dann kannst du den GigE 8 Port auch anders konfigurieren:
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address dhcp
ip access-group 111 in <-- Firewall CBAC Inbound Access Liste 111
ip nat outside
ip inspect myfw out <-- Firewall aktiv auf Internet Port
no cdp enable
!
Die ACL 111 muss dann aber auch entsprechend angepasst werden sofern du DHCP Vergabe am Gig8 Provider Port machst !!
!
access-list 111 permit icmp any any administratively-prohibited <-- Erlaubt ICMP Ping durch die Firewall
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any <-- Erlaubt DNS durch die Firewall
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any <-- Erlaubt Voice Calls durch die Firewall
access-list 111 permit udp any eq ntp any <-- Erlaubt NTP (Zeit) durch die Firewall
access-list 111 permit udp any eq bootps any <-- Erlaubt DHCP vom Provider
!
Wenn dein Provider die IP per DHCP vergibt bekommst du so auch die DNS Server IP Adresse automatisch und musst NICHTS weiter konfigurieren.
Musst du sie wirklich statisch vergeben, dann musst du mit ip name-server x.y.z.h den Name Server statisch eintragen.
Google solltest du immer vermeiden ! Die erstellen ein Profil von dir mit deinen Surfgewohnheiten !
Wenn, dann immer die DNS Server deines Providers nehmen !
Bitte jetzt diese (und NUR diese !) Konfig so über das Terminal eingeben und KEIN Konfig Programm oder solchen Unsinn benutzen !
Dann querchecken ob deine Konfig der obigen entspricht. Überflüssige Kommandos und Interfaces sind da jetzt weggelassen der Übersicht halber um dich nicht zu verwirren.
Bitte halte dich auch parallel an das hiesige_Cisco_Tutorial was alle diese Konfigs ebenfalls abtippfertig und zur Überprüfung komplett kommentiert vorhält !!!
Falls du noch ein Gastnetz oder weitere lokale Subnetze brauchst musst du das sagen, das kann man zusätzlich noch leicht einrichten in der Grundkonfiguration aber wie gesagt: "Alles der Reihe nach !!!"
Erstmal das obige als Internet Grundkonfig zum Laufen bringen und testen, dann machen wir hier weiter !
dass Du mich nach dem Firewall-Image gefragt hast -nur überhaupt keine Idee, wie ich die folgende Ausgabe interpretieren soll:
Im Zweifel gibst du einfach mal ein Firewall Kommando am Router ein und checkst ob er das "frisst" !Tut er das hast du ein Firewall Image drauf. Bei den 880ern und 890ern ist das eigentlich Standard...
So prüfst du das:
conf t
ip inspect name myfw tcp
<ctrl z>
wr
Wenn du nach ip inspect name myfw tcp die Eingabetaste gedrückt hast und er hat keinen Syntax Fehler meldet dann hast du ein Firewall Image !!
Zu deinen Fragen:
1.)
Ja, das reicht wenn du das machst. Richte dich immer nach den Praxiskonfigs in diesem Tutorial:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Die o.a. Firewall ACL 111 ist oben noch nicht angepasst auf den IPsec VPN Zugriff von außen ! Deshalb lässt sie auch kein IPsec durch und deshalb klappt es nicht.
Die Lösung ist aber kinderleicht:
Dort musst du noch IPsec erlauben.
Die angepasste ACL 111 sieht dann so aus bei dir:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq isakmp => IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any any eq non500-isakmp => IPsec eingehend durch die Firewall erlauben
access-list 111 permit esp any any => IPsec eingehend durch die Firewall erlauben
(access-list 111 permit udp any eq bootps any)
2.)
Nein die o.a. Regel in der ACL 111 erlaubt jeglichen IPsec Zugriff von anderen Geräten außerhalb auf den Cisco Router. Was du machen musst ist lediglich eine zusätzliche Crypto Map einrichten für den Mikrotik.
Richte dich einfach nach dem o.a. Praxistutorial, dort ist das alles einzeln kommentiert beschrieben !
Bei Detailfragen fragst du hier.
3.)
Ja das hast du richtig verstanden !
Du kannst die Firewall speziell für diverse Protokolle dediziert customizen.
Das macht auch Sinn als es nur einzig für TCP und UDP global zu tun. Gerade bei VoIP und auch anderen Applikationen macht dies Sinn, denn die VoIP Protokollkomponenten nutzen dynamische Portokollports die die Firewall dann auch dynamisch öffnet ohne hier weite Bereiche manuell per Default zusätzlich öffnen zu müssen.
Ein ip inspect name myfw ? zeigt dir die verschiedenen Protokolle die möglich sind.
Eine übliche Konfig von Dingen die so in kleinen Netzen vorkommen lautet z.B.:
!
ip inspect name myfw ftp
ip inspect name myfw h323
ip inspect name myfw sip
ip inspect name myfw icmp
ip inspect name myfw rtsp
ip inspect name myfw esmtp
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw http
!
IMAP oder Secure IMAP (Email) könnte man da noch dazunehmen.
Und ja es würde nur durchgehen was du mit der FW ansiehst wenn du sie auf dem Internet Interface aktivierst. Minimal sollte man also immer TCP und UDP aktivieren. Damit werden dann diese Sessions stateful von der Firewall inspiziert. Sonst arbeitet der Router nur mit passiven Accesslisten.
Hier wird das Prinzip der CBAC Listen gut beschrieben auf dem Router:
http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/13814-3 ...
Da die Firewall aber alles dichtmacht brauchst du für Inbound Verbindungen (Zugriff von außen) zwingend die ACL 111 die dir das Interface öffnet für Zugriff von außen.
Der o.a. Cisco Artikel beschreibt das.
4.)
Nein, wenn SIPgate noch von außen UDP 5064 benötigt musst du den natürlich auch öffnen sprich also in der ACL 111 muss noch zusätzlich stehen: access-list 111 permit udp any eq 5064 any
5.)
Erweiterung Gastnetz:
Deine 8 GigE Ports 0 bis 7 arbeiten als ein 8 Port Switch.
Ohne spezielle Konfig sind dort üblicherweise alle Ports im Default VLAN 1. Das korrespondiert dann mit dem Interface vlan 1 in der Router Konfig bzw. der IP Adressierung usw. drauf.
Du kannst nun beliebige Ports dieses Switches in beliebige IP Segmente (VLANs) unterteilen und dort weitere Netzsegmente anschliessen.
Nehmen wir hier als Beispiel mal ein Gastnetz was wir fest auf den Switchport GigabitEthernet7 ins VLAN 99 legen mit der IP 10.99.1.0 /24 und was NICHT mit dem lokalen LAN an VLAN 1 reden darf.
Zuerst legst du dazu das Gastnetz VLAN 99 an:
conf t
vlan 99 <ret>
name Gastnetz <ret>
<ctrl z>
wr
Dann kommen jetzt die zusätzlichen Konfig Kommandos für das Gastnetz:
!
ip dhcp excluded-address 10.99.1.1 10.99.1.99 <-- DHCP Gastnetz Adress Pool von .100 bis .149
ip dhcp excluded-address 10.99.1.150 10.99.1.254
!
ip dhcp pool LAN <-- DHCP Gastnetz DHCP Server
network 10.99.1.0
default-router 10.99.1.1
dns-server 10.99.1.1
domain-name gaeste.pharit.intern
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99 <-- Port 7 auf Gastnetz umschalten (VLAN 99)
no ip address
no cdp enable
!
interface Vlan99
description Gastnetz (Port=GigabitEthernet7)
ip address 10.99.1.1 255.255.255.0
ip access-group keingast in <-- ACL "keingast" blockt Zugriff auf lokales LAN !
ip nat inside
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 permit ip 10.99.1.0 0.0.0.255 any <-- NAT um Gastnetz erweitern
!
ip access-list extended keingast
deny ip 10.99.1.0 0.0.0.255 10.10.10.0 0.0.0.255
permit ip 10.99.1.0 0.0.0.255 any
!
Die o.a. ACL "keingast" kannst du dann beliebig erweitern oder anpassen je nachdem was du deinen Gästen erlauben willst.
Die obige erlaubt den Gästen alles außer den Zugriff auf das lokale LAN. Nicht immer gewollt, denn Gäste sollen ja nur rechtssicher das machen was unbedingt nötig ist. Die ACL
!
ip access-list extended keingast
deny ip 10.99.1.0 0.0.0.255 10.10.10.0 0.0.0.255
permit udp 10.99.1.0 0.0.0.255 any eq dns
permit tcp 10.99.1.0 0.0.0.255 any eq dns
permit tcp 10.99.1.0 0.0.0.255 any eq http
permit tcp 10.99.1.0 0.0.0.255 any eq https
!
Erlaubt z.B. nur Surfen im Gastnetz.
Über eine Whitelist kannst du hier nur das zufügen was die Gäste dürfen.
Port 7 am Router ist nun NICHT mehr Mitglied im VLAN 1 sondern im VLAN 99 !
Das siehst du daran wenn du dort einen PC oder Laptop anschliesst er dann eine IP aus dem Gastbereich 10.99.1.x bekommt.
Durch die ACL "keingast"" werden die Geräte hier gehindert vom Vlan 99 (Gäste) auf das lokale LAN (Vlan1) zu kommen.
Diese kannst du z.B. beliebig erweitern wenn du MSSID fähige WLAN Acesspoints hast die mehrere WLANs aufspannen können wie hier beschrieben usw.
Wenn Du erlaubst, hätte ich noch zwei Fragen an dieser Stelle:
Immer her damit... Du meinst dann sowas hier, richtig ?? (Der verschickt bei 80 Euro)
http://www.ebay.de/itm/262385170703?ul_noapp=true
ob er jetzt PoE kann.
Du meinst auf seinen GiG Ports am Switch ?Gib einfach testweise mal ein PoE Kommando ein am Port, dann siehst du das ! Ist wie bei der Firewall: Frisst er das Komanndo kann er das. Sonst gibts ne Fehlermeldung
Denn er kennt wirklich keines der PoE Kommandos, die ich im Internet finde.
Dann kann er das auch nicht. Wäre auch unüblich für einen SoHo Router.PoE Injektor verwenden !
Brauche ich da jetzt so einen Wartungsvertrag, oder gibt es die auch anders?
Wenn du pfiffig suchst findest du es auch ohne Einfach mal den IOS Firmwarenamen bei Dr. Google eingeben.Das mit dem Update ist aber zu 98% Blödsinn. I Ein 10 Jahre alter 831er Router hier der macht das problemlos ! Wichtig ist das du native IPsec machst und kein L2TP mit IPsec.
Hast du mal den Debugger laufen lassen auf dem Router bei der Einwahl um mal zu checken WARUM ein "unsuccessful" kommt ??
(debug crypto ipsec und debug crypto isakmp. Zum Schluss immer "u all" eingeben um den Debugger abzuschalten !)
AnyConnect wäre ja auch eine Super-Sache,
Brauchst du nicht. Nimm den kostenlosen Shrew Client: https://www.shrew.net/downloadOder verwende einfach PPTP mit einem einigermaßen sicheren Passwort:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Spart dir ne Menge Nerven...
Für Anyconnect ist das die gleiche Konfig für einen Client Dialin wie du im o.a. IPsec Praxis Tutorial siehst.
Da gibt es keinen Unterschied.
Zu deinen Messages:
received packet from 82.113.121.125 dport 4500 sport 9309 Global R AG_INIT_EXCH
Empfangen wurde ein IKE Initialisierunds Paket mit dem Destination Port 4500 (was NAT Traversal ist) und Source Port 9303
Auf das folgenden Paket wurde nicht geantwortet. Der Retry Counter also der Wiederholungszähler ist abgelaufen und es kam keinen Antwort.
3tes ist komisch. Paket Duplication kann eigentlich nicht sein.
Bei deinem sendet er ja scheinbar Pakete und der Router antwortet nicht.
Da wäre es sehr wichtig zu wissen ob diese Pakete ankommen ???
Schalte also mal den IPsec Debugger an mit debug crypto ipsec und debug crypto isakmp !
Wenn du mit Telnet oder SSH auf dem Router drauf bist gib zusätzlich ein term mon ein um die Debug Meldungen auf dem Schirm zu bringen.
Dann startest du den IPsec Verbindungsaufbau von deinem Androiden (und nur deinem !)
Anhand der dann auftauchenden Debug Meldungen am Router kannst du sofort sehen was schief geht oder ob diese Pakete oben irgendwo hängenbleiben.
Am Ende des Debugg Prozesses immer u all eingeben um den Debugger wieder abzuschalten.
Da gibt es keinen Unterschied.
Zu deinen Messages:
received packet from 82.113.121.125 dport 4500 sport 9309 Global R AG_INIT_EXCH
Empfangen wurde ein IKE Initialisierunds Paket mit dem Destination Port 4500 (was NAT Traversal ist) und Source Port 9303
Auf das folgenden Paket wurde nicht geantwortet. Der Retry Counter also der Wiederholungszähler ist abgelaufen und es kam keinen Antwort.
3tes ist komisch. Paket Duplication kann eigentlich nicht sein.
Muss ja fast am Telefon liegen in diesem Fall, oder?
Das kann man versucht sein zu glauben. Wenn es fehlerfrei mit dem Telefon der Freundin geht ist fast davon auszugehen. Aaaaber...Bei deinem sendet er ja scheinbar Pakete und der Router antwortet nicht.
Da wäre es sehr wichtig zu wissen ob diese Pakete ankommen ???
Schalte also mal den IPsec Debugger an mit debug crypto ipsec und debug crypto isakmp !
Wenn du mit Telnet oder SSH auf dem Router drauf bist gib zusätzlich ein term mon ein um die Debug Meldungen auf dem Schirm zu bringen.
Dann startest du den IPsec Verbindungsaufbau von deinem Androiden (und nur deinem !)
Anhand der dann auftauchenden Debug Meldungen am Router kannst du sofort sehen was schief geht oder ob diese Pakete oben irgendwo hängenbleiben.
Am Ende des Debugg Prozesses immer u all eingeben um den Debugger wieder abzuschalten.
Ja, dein Smartphone macht einen Protokollfehler. Kurz vor der Phase 2 retransmitted es ein Packet was das IPsec als Fehler oder Attacke ansieht und dann den Sessionaufbau abbricht.
Da ist ein Fehler im IPsec Protokollstack bei dem telefon. Gibt es da ggf. ein Firmware Update.
Siehst du ja auch schon daran das andere Telefone wie das der Trautholdesten sauber funktionieren.
Was du nochmal machen kannst ist die Schlüssellänge auf 256 Bit zu erhöhen, was heute eigentlich üblicher Standard ist. 128 Bit ist schon etwas alt.
Es ist nur in der Praxiskonfig mit drin, da häufig noch alte Router verwendet werden und billige Consumer Systeme mit schwachbrüstigen SoC CPUs oft nicht mehr können.
Du fügst also einfach eine weitere Policy mit crypto isakmp policy xy dazu mit aes 256.
Da ist ein Fehler im IPsec Protokollstack bei dem telefon. Gibt es da ggf. ein Firmware Update.
Siehst du ja auch schon daran das andere Telefone wie das der Trautholdesten sauber funktionieren.
Was du nochmal machen kannst ist die Schlüssellänge auf 256 Bit zu erhöhen, was heute eigentlich üblicher Standard ist. 128 Bit ist schon etwas alt.
Es ist nur in der Praxiskonfig mit drin, da häufig noch alte Router verwendet werden und billige Consumer Systeme mit schwachbrüstigen SoC CPUs oft nicht mehr können.
Du fügst also einfach eine weitere Policy mit crypto isakmp policy xy dazu mit aes 256.
Nein, das ist normal das man mehrere Policies zum Negotiaten anbietet. 3DES/SHA und AES 128 und 256 sollten dabei sein.
Du siehst ja auch am Debugger wie er das alles einzeln durchgeht und einen Match sucht.
Für Anyconnect brauchst du keinen Guide. Die Konfig ist wie die oben.
Such einfach auf den Cisco Seiten nach "IOS Anyconnect Config" dann siehst du das auch.
Du siehst ja auch am Debugger wie er das alles einzeln durchgeht und einen Match sucht.
Für Anyconnect brauchst du keinen Guide. Die Konfig ist wie die oben.
Such einfach auf den Cisco Seiten nach "IOS Anyconnect Config" dann siehst du das auch.
mein Cisco sei nicht "neu genung" da mein Handy bereits das neueste Android 7.1 nutzt...
Ha ha ha...was für Schwachmaten sitzen da denn in der Hotline !!! Der Schenkelklopfer...Du kannst das mit dem Debug Output ja sogar beweisen.
Was hast du denn auf dem Cisco für eine Firmware drauf ?? Nur darauf kommt es ja an.
Die sollte natürlich nicht äkter als 2 oder 3 Jahre sein.
Sag ihnen doch mal das das Smartphones deiner Freundin und auch alle allerneuesten iPhones und iPads damit fehlerlos rennen.
Auf die Antwort darauf wäre ich gespannt...?!
Ja, natürlich das ist schnell erledigt.
Weiteres Subnetz oder VLAN einrichten:
!
interface GigabitEthernet6
description Raspberry NAS
switchport access vlan 20 <-- Port 6 auf Raspberry Netz umschalten (VLAN 20)
no ip address
no cdp enable
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99
no ip address
no cdp enable
!
interface Vlan20
description Raspberry NAS (Port=GigabitEthernet6)
ip address 10.20.1.1 255.255.255.0
(ip access-group nas in) <-- evtl. NAS Netz absichern
ip nat inside
!
access-list 101 deny ip 10.22.1.0 0.0.0.255 x.y.z.0 0.0.0.255=> Kein NAT für das VPN mit RasPi
access-list 101 permit ip 10.20.1.0 0.0.0.255 any <-- NAT um NAS Netz erweitern
!
ip access-list extended vpnraspi => Bestimmt zu verschlüsselnden Traffic für VPN mit RasPi
permit ip 10.20.1.0 0.0.0.255 x.y.z.0 0.0.0.255
!
Mit den entsprechenden VPN Crypto Configs dann noch wie im o.a. Tutorial beschrieben..
Weiteres Subnetz oder VLAN einrichten:
!
interface GigabitEthernet6
description Raspberry NAS
switchport access vlan 20 <-- Port 6 auf Raspberry Netz umschalten (VLAN 20)
no ip address
no cdp enable
!
interface GigabitEthernet7
description Gastnetz
switchport access vlan 99
no ip address
no cdp enable
!
interface Vlan20
description Raspberry NAS (Port=GigabitEthernet6)
ip address 10.20.1.1 255.255.255.0
(ip access-group nas in) <-- evtl. NAS Netz absichern
ip nat inside
!
access-list 101 deny ip 10.22.1.0 0.0.0.255 x.y.z.0 0.0.0.255=> Kein NAT für das VPN mit RasPi
access-list 101 permit ip 10.20.1.0 0.0.0.255 any <-- NAT um NAS Netz erweitern
!
ip access-list extended vpnraspi => Bestimmt zu verschlüsselnden Traffic für VPN mit RasPi
permit ip 10.20.1.0 0.0.0.255 x.y.z.0 0.0.0.255
!
Mit den entsprechenden VPN Crypto Configs dann noch wie im o.a. Tutorial beschrieben..