mastermind2009
Goto Top

Probleme mit Cisco 878 SDSL und VOIP samt Grundkonfig

Cisco 878 SDSL ROuter/Modem mit DHCP Funktion im Einsatz. SOll nun kein DHCP mehr haben + VOIP Telefonie unterstützen.
Von o2 leider kein Support mehr.

Hallo,

ein Cisco 878 SDSL Router wurde bisher für zwei PCs verwendet. Hier wurde die DHCP Funktion vom Cisco Router mitverwendet.
Nun soll ein weiterer PC + mehrere VOIP Telefone + 1x Server (als Domänencontroller) folgen. Der DC soll dann natürlich auch als DHCP fungieren.
Auf dem Router ist dem ersten LAN Interface ein VLAN1 deklariert. Jetzt weiss ich nicht ob die DHCP FUnktion generell für alle LAN Anschlüsse ist, oder lediglich fürs VLAN1 Int.

Problem:
Wie deaktiviere ich die DHCP Funktion auf dem Cisco 878?
Wie kann ich die VOIP Ports (5060) freischalten, bzw. was muss ich da sonst noch evtl. beachten.

Bisher hat der Router die IP 192.168.0.1 und die beiden PCs entsprechend höher.


VOIP Ports freischalten (Richtig ???)----->

no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060

für deaktivieren des DHCPs (Wäre das richtig?) ------>
no service dhcp
(muss ich das auf dem Interface VLAN1 machen, oder reicht das unter router config#)
Und muss ich den IP DHCP Pool noch irgendwie deaktivieren?

Hier die original Config:
Current configuration : 4213 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname XXXXX
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 XXXXX
!
aaa new-model
!
!
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-XXXXX
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-XXXX
revocation-check none
rsakeypair TP-self-signed-XXXX
!
!
crypto pki certificate chain TP-self-signed-XXXX
certificate self-signed 01
XXXXX
quit
dot11 syslog
ip source-route
!
!
no ip dhcp conflict logging
!
ip dhcp pool LAN
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
domain-name dsl.o2online.de
dns-server 192.168.0.1
!
!
ip cef
ip domain name dsl.o2online.de
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username XXXX privilege 15 secret 5 XXXX
!
!
!
archive
log config
hidekeys
!
!
controller DSL 0
mode atm
line-mode auto enhanced
dsl-mode shdsl symmetric annex B
!
ip telnet source-interface Dialer3
ip tftp source-interface Dialer3
!
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description * SHDSL interface (UR2) Telefonica DSL *
no ip address
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 3
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description * LAN Verbindung zum Kunden *
ip address 192.168.0.1 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface Dialer3
description * DSL Einwahl *
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 3
dialer vpdn
dialer-group 3
no cdp enable
ppp pap sent-username XXXDSLNAMEXXX password 7 xxxxx
ppp ipcp dns request
ppp ipcp route default
!
ip forward-protocol nd
no ip http server
ip http access-class 20
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http client source-interface Dialer3
!
!
ip dns server
ip nat inside source list 20 interface Dialer3 overload
!
access-list 20 permit 192.168.0.0 0.0.0.255
access-list 37 permit 62.54.254.0 0.0.0.3
access-list 37 permit 192.168.0.0 0.0.0.255
access-list 103 permit ip any any
dialer-list 3 protocol ip list 103
no cdp run

!
!
!
!
!
control-plane
!
!
line con 0
password 7xxx
no modem enable
line aux 0
password 7 xxxx
line vty 0 4
access-class 37 in
privilege level 15
password 7 xxx
!
scheduler max-task-time 5000
end

Content-Key: 179605

Url: https://administrator.de/contentid/179605

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: brammer
brammer 26.01.2012 um 14:54:57 Uhr
Goto Top
Hallo,

mal ganz ehrlich, hast du hier im Forum gesucht?

Heir ist eine Konfiguration für den 886 die kannst du im Prinzip 1:1 übernehmen.

brammer
Mitglied: Mastermind2009
Mastermind2009 26.01.2012 um 15:17:45 Uhr
Goto Top
Ich hab gesucht... aber falsch face-smile

Cisco 878 hab ich eingetippt gabs drei treffer ...

so einen großen unterschied kann ich aber leider nicht feststellen:
Kannst du mich aufklären, was hier den unterschied, zu der jetzigen "falschen" Konfig ist...?


interface Vlan1
hier steht zusätzlich:
ip tcp adjust-mss 1452


Bei
!
ip dns server
steht zusätzlich:
ip route 0.0.0.0 0.0.0.0 Dialer0
Mitglied: aqui
aqui 26.01.2012, aktualisiert am 18.10.2012 um 18:49:54 Uhr
Goto Top
Deaktiviern tust du beim Cisco immer damit indem du ein no vor das Kommando setzt !
Ein "no ip dhcp pool LAN" killt also den DHCP Prozess auf dem Cisco.
Danach "wr" nicht vergessen sonst ist er nach dem nächsten Reboot wieder da !
Du kannst auf dem Cisco mehrere DHCP Prozesse pro VLAN laufen lassen. Er antwortet immer nur mit dem Pool der passend ist zu seinem IP Netzwerk wo der DHCP Request herkommt !
Was deine VoIP Ports anbetrifft werden die in der o.a. Konfig komplett durchgereicht.
Du hast ja keinerlei Access Liste auf dem Router aktiv die etwas blocken sollte, folglich also geht alles durch !
Als Konfig Leitfaden hilft dir sicher das hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
oder auch das:
Vernetzung zweier Standorte mit Cisco 876 Router
Mitglied: Mastermind2009
Mastermind2009 27.01.2012 um 09:53:52 Uhr
Goto Top
Interessant, das vom Router nichts geblockt wird.... in der vergangenheit wurden wohl schon mal 2x VOIP Testtelefone getestet... mit dem Symptom, dass immer nur eins funktioniert hat.
Ich dachte jetzt das dies hier noch an einer fehlenden "VOIP" Anpassung lag... mit dem "no ip nat service sip tcp port 5060 und ..... udp Port 5060.... hmm interessant...
kann es sein, dass da ein VOIP Anbieter der eine sog. IP Centrexx Webanlage betreibt, da am standard vorbeiarbeitet, die bei einem solchen Router Probleme bereiten können...

ich dachte bisher nur an problemen mit NAT. Da sich das Telefon ja die Einstellungen von dem SIP Konto zieht, samt evtl. Firmwareänderungen usw...
Mitglied: aqui
aqui 27.01.2012 um 16:46:16 Uhr
Goto Top
Das kannst du ja selber sehen in der obigen Konfig !
Du hast keinerlei Accesslisten auf den Interfaces ! Zwar sind welche konfiguriert aber die sind nicht aktiv !
Ohne Access Listen routet dein Router aber brav alles durch wie es sich gehört.
Wenn das Telefon also streikt, liegt es garantiert NICHT am Cisco oder seiner Konfig oben !
Auch WebCentex wird sich an allgemein Standards halten (rennt vermutlich so oder so ein Asterisk drauf...was sonst). Also mit den Protokollen SIP und RTP arbeiten.
Bei RTP musst du allerdings aufpassen, denn dein Router macht NAT !!
RTP kann nicht über NAT übertragen werden wenn kein STUN (Simple Travers of UDP over NAT) aktiviert ist.
Darauf solltest du also auf der Centrex zwingend achten.
Oder du musst zwingend NAT für den Tunnel ausschalten, denn sonnvollerweise macht man KEIN NAT im Tunnel selber...wozu auch !
In der Bezihung ist dein ACesslist 20 also fehlerhaft, da sie den Tunneltraffic nicht vom NAT ausnimmt...vermutlich dein Kardinalsproblem

ip nat inside source list 20 interface Dialer1 overload
access-list 20 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (Geraten das das remote Netzwerk die 192.168.1.0 ist !)
access-list 20 permit ip 192.168.0.0 0.0.0.255 any

So wäre die ACL richtig ! Sie nimmt im ersten Statement den Tunneltraffic der von 192.168.0.0 nach 192.168.1.0 (remotes LAN) geht vom NAT aus "deny" !
Der Rest wird dann über Dialer 1 geNATet.
Da hat wohl einen die Cisco Konfig verpfuscht oder nicht gewusst was er da macht.
Ist jetzt aber geraten, da du hier dein Umfeld und Anforderungen nicht oder nur sehr oberflächlich schilderst. Folglich ist einen zielführende Hilfe nicht möglich face-sad
Mitglied: Mastermind2009
Mastermind2009 27.01.2012 um 18:05:55 Uhr
Goto Top
Danke für die Infos. Den Router hat der Provider damals durch einen Dienstleister eingerichten lassen... dafür wurde sogar ne installationspschl. erhoben...

Damals wurde (bereits vorsorglich) die Spezifikationen vom potenziellen VOIP Anbieter vorgelegt... die falsche Konfig - naja ist bis jetzt natürlich nicht aufgefallen...

mit Remote netzwerk ist das Netzwerk des VOIP Anbieters gemeint, oder? also, beispielsweise bei 62.54.190.175 -> 62.54.190.0 0.0.0.255

In den Vorgaben stand soviel drin wie:

- UDP NAT Translation-Timeout auf 90 Sekunden setzen (standard ist ja glaub 300sek.)
- Ziel-UDP Port 5060 (SIP) fur ausgehende Kommunikation freischalten
- Ziel-UDP Ports 10000-11000 für abgehende Verbindungen freischalten
- Ziel-UDP Ports 4000-5000 für abgehende Verbindungen freischalten
- Ziel-TCP Port 5039 für TAPI freischalten
- keine Optionen wie SIP ALG/SIP B2BUA verwenden
Mitglied: aqui
aqui 28.01.2012 um 23:26:51 Uhr
Goto Top
Na ja soviel zum Thema "Dienstleister" das sind in der Regel auch nur welche mit gesundem Halbwissen, die fertige Konfigs nur abtippen aber selber nicht verstehen....aber egal.
Nein das remote Netzwerk ist das Netzwerk was am LAN Port des anderen Routers dran ist.
Der Router verbindet doch 2 private LANs mit RFC 1918 IP Adressen.
Deine IP Adressen sind ja ffentliche Provider IP Adressen die ja weltweit erreichbar sind. Dafür bräuchte man ja logischerweisen keinen VPN Tunnel !!
Vielleicht solltest du erstmal im Detail hier schildern was der Router leisten soll um hier nicht im freien Fall weiterzuraten...
Mitglied: Mastermind2009
Mastermind2009 06.02.2012 um 12:46:29 Uhr
Goto Top
Hab soeben die Info vom VOIP Anbieter ich solle testweise folgendes auf der CLI eingeben:

ena

conf t

no ip nat service sip udp port 5060

exit

wr


Muss ich mich dazu eigentlich auf dem Interface VLAN1 befinden? Sorry für die doofe Frage, auf unseren 3Com Switchen muss man immer auf jedes Interface... face-smile