2
SIP Server (Brekeke) hinter PIX 501
Hallo Zusammen,
ich habe mal wider ein Problemchen mit meiner PIX. Seit ich VoIP Verbindungen über SIP (Verbindung kommt zustande, Qualität OK) eingerichtet habe tauchen immer wider Meldungen wie diese im Protokoll auf:
Also erst mal zum Umfeld:
PIX extern dynamische IP vom Provider über DSL
intern 192.168.0.1
SIP-Server von Brekeke auf Win2003 Server mit 192.168.0.7
Dieser übernimmt ggf. daß routing zum SIP-Proxy des Providers (z.B. um ins Festnetz zu telefonieren)
Fritz-Box 7050 die als "Gateway" für SIP zu S0 bzw. Analogtelefonen dient mit 192.168.0.2
Fritz-Box verbindet sich mit dem internen SIP-Server
Telefone die über Fritz-Box und dann SIP Gespäche führen
Softphones die sich am internen SIP-Server anmelden
Wie gesagt, soweit funktioniert Alles, sowohl die Softphones als auch die Fritzbox kann sich am SIP-Server erfolgreich anmelden. sowohl interne Gespräche als auch Gespäche ins Festnetzt die über den SIP-Server des Providers (Arcor) geroutet werden funktionieren inzwischen ohne Probleme.
Zuerst hatte ich nur die Fritzbox die sich direkt bei Provider registriert hat, nachdem die Meldungen aufgetaucht sind, hatte ich zuerste diese im Verdacht und unter Anderem daher noch den internen SIP-Server aufgesetzt. Seitdem ist die Verbindung stabiler, aber die Meldungen tauchen immer noch auf.
Die Meldungen treten natürlich vermehrt auf sobald ein Gespäch gestartet wird.
Ich vermute mal daß das ganze mit den Problmen mit NAT bei SIP zu tun hat, leider ist die ganze Materie neu für mich und ich weis daher nicht wo ich am besten anfange...
Die Conig der PIX die mit SIP zu tun hat sieht wie folgt aus:
ich habe mal wider ein Problemchen mit meiner PIX. Seit ich VoIP Verbindungen über SIP (Verbindung kommt zustande, Qualität OK) eingerichtet habe tauchen immer wider Meldungen wie diese im Protokoll auf:
No translation group found for udp src inside:<IP von SIP-Proxy des Providers>/5060 dst outside:<externe IP der PIX>/5060regular translation creation failed for udp src inside:<IP von internem SIP Server>/1259 dst outside:<IP von SIP-Proxy des Providers>/5060Also erst mal zum Umfeld:
PIX extern dynamische IP vom Provider über DSL
intern 192.168.0.1
SIP-Server von Brekeke auf Win2003 Server mit 192.168.0.7
Dieser übernimmt ggf. daß routing zum SIP-Proxy des Providers (z.B. um ins Festnetz zu telefonieren)
Fritz-Box 7050 die als "Gateway" für SIP zu S0 bzw. Analogtelefonen dient mit 192.168.0.2
Fritz-Box verbindet sich mit dem internen SIP-Server
Telefone die über Fritz-Box und dann SIP Gespäche führen
Softphones die sich am internen SIP-Server anmelden
Wie gesagt, soweit funktioniert Alles, sowohl die Softphones als auch die Fritzbox kann sich am SIP-Server erfolgreich anmelden. sowohl interne Gespräche als auch Gespäche ins Festnetzt die über den SIP-Server des Providers (Arcor) geroutet werden funktionieren inzwischen ohne Probleme.
Zuerst hatte ich nur die Fritzbox die sich direkt bei Provider registriert hat, nachdem die Meldungen aufgetaucht sind, hatte ich zuerste diese im Verdacht und unter Anderem daher noch den internen SIP-Server aufgesetzt. Seitdem ist die Verbindung stabiler, aber die Meldungen tauchen immer noch auf.
Die Meldungen treten natürlich vermehrt auf sobald ein Gespäch gestartet wird.
Ich vermute mal daß das ganze mit den Problmen mit NAT bei SIP zu tun hat, leider ist die ganze Materie neu für mich und ich weis daher nicht wo ich am besten anfange...
Die Conig der PIX die mit SIP zu tun hat sieht wie folgt aus:
fixup protocol sip 5060fixup protocol sip udp 5060access-list inbound permit udp host <IP von SIP-Proxy des Providers> interface outsidestatic (inside,outside) udp <IP von SIP-Proxy des Providers> 5060 <IP von internem SIP Server> 5060 netmask 255.255.255.255 0 0 static (inside,outside) udp interface 5060 <IP von SIP-Proxy des Providers> 5060 netmask 255.255.255.255 0 0 access-group inbound in interface outsidetimeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 46903
Url: https://administrator.de/contentid/46903
Printed on: April 23, 2024 at 16:04 o'clock
2 Comments
Latest comment
So, kurzes Update 
Ich habe inzwischen den Brekeke SIP-Server noch mal rausgeschmissen und durch den 3CX ersetzt. Beide sind aber nicht wirllich stabil gelaufen und nun habe ich Axon (http://www.nch.com.au/pbx/index.html) drauf. Läuft super und kann ich bisher empfehlen.
An der PIX habe ich nun folgendes geändert:
Die komplette Config hänge ich zur Info mal unten an.
SIP-Verbindugen gehen immer noch raus und rein ohne Probleme. Nun tauchen folgende Meldungen auf:
und der alte Bekannte
Irgendwie schient da noch die externe IP im Header zu stehen und macht mir jetzt intern Probleme
So und hier noch die aktuelle Konfiguration der PIX, VPN ist nur mal zum Test drin und wird momentan noch nicht verwendet.
Ich habe inzwischen den Brekeke SIP-Server noch mal rausgeschmissen und durch den 3CX ersetzt. Beide sind aber nicht wirllich stabil gelaufen und nun habe ich Axon (http://www.nch.com.au/pbx/index.html) drauf. Läuft super und kann ich bisher empfehlen.
An der PIX habe ich nun folgendes geändert:
no access-list inbound permit udp host <IP von SIP-Proxy des Providers> interface outsideno static (inside,outside) udp <IP von SIP-Proxy des Providers> 5060 <IP von internem SIP Server> 5060 netmask 255.255.255.255 0 0 no static (inside,outside) udp interface 5060 <IP von SIP-Proxy des Providers> 5060 netmask 255.255.255.255 0 0Die komplette Config hänge ich zur Info mal unten an.
SIP-Verbindugen gehen immer noch raus und rein ohne Probleme. Nun tauchen folgende Meldungen auf:
106023: Deny udp src outside:<IP SIP-Server Provider>/18500 dst inside:<IP Interface outsinde>/1291 by access-group "inbound"und der alte Bekannte
305005: No translation group found for udp src inside:<IP SIP-Server Provider>/5060 dst outside:<IP Interface outsinde>/5060Irgendwie schient da noch die externe IP im Header zu stehen und macht mir jetzt intern Probleme
So und hier noch die aktuelle Konfiguration der PIX, VPN ist nur mal zum Test drin und wird momentan noch nicht verwendet.
PIX Version 6.3(3)interface ethernet0 autointerface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password XXXXX encryptedpasswd XXXXX encryptedhostname ciscopixdomain-name XXXXXclock timezone CEST 1clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00fixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesname 192.168.0.7 cosmoname 192.168.0.102 silvercoreaccess-list inside_access_in permit ip any any access-list inbound remark Mailserveraccess-list inbound permit tcp any interface outside eq smtp access-list inbound remark Webserveraccess-list inbound permit tcp any interface outside eq www access-list inbound remark TeamSpeak Serveraccess-list inbound permit udp any interface outside eq 8767 access-list inbound permit icmp any interface outside echo-reply access-list inbound permit icmp any interface outside unreachable access-list inbound permit icmp any interface outside time-exceeded access-list vpn_splitTunnelAcl permit ip any any access-list inside_outbound_nat0_acl permit ip any 192.168.0.192 255.255.255.224 access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.192 255.255.255.224 pager lines 24logging onlogging timestamplogging trap warningslogging host inside cosmoicmp permit any unreachable outsideicmp permit any time-exceeded outsideicmp deny any outsideicmp permit any echo-reply outsidemtu outside 1500mtu inside 1500ip address outside pppoe setrouteip address inside 192.168.0.1 255.255.255.0ip audit info action alarmip audit attack action alarmip local pool vpn_ip 192.168.0.201-192.168.0.210pdm location 192.168.0.0 255.255.0.0 insidepdm location silvercore 255.255.255.255 insidepdm location cosmo 255.255.255.255 insidepdm location xx.xx.xx.xx 255.255.255.255 outsidepdm location 192.168.0.2 255.255.255.255 insidepdm location xx.xx.xx.xx 255.255.255.255 outsidepdm logging notifications 100pdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 0 access-list inside_outbound_nat0_aclnat (inside) 1 192.168.0.0 255.255.255.0 0 0static (inside,outside) tcp interface smtp cosmo smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp interface www cosmo www netmask 255.255.255.255 0 0 static (inside,outside) udp interface 8767 cosmo 8767 netmask 255.255.255.255 0 0 access-group inbound in interface outsideaccess-group inside_access_in in interface insidetimeout xlate 0:05:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enablehttp 192.168.0.0 255.255.255.0 insideno snmp-server locationno snmp-server contactsnmp-server community snmp.ciscopix.localno snmp-server enable trapsfloodguard enablesysopt connection permit-ipseccrypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20crypto dynamic-map outside_dyn_map 20 set transform-set ESP-AES-256-SHAcrypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_mapcrypto map outside_map interface outsideisakmp enable outsideisakmp policy 20 authentication pre-shareisakmp policy 20 encryption aes-256isakmp policy 20 hash shaisakmp policy 20 group 5isakmp policy 20 lifetime 86400vpngroup vpn address-pool vpn_ipvpngroup vpn dns-server cosmo 192.168.0.1vpngroup vpn wins-server cosmovpngroup vpn default-domain XXX.XXvpngroup vpn split-tunnel vpn_splitTunnelAclvpngroup vpn idle-time 1800vpngroup vpn password telnet silvercore 255.255.255.255 insidetelnet timeout 5ssh timeout 5console timeout 0vpdn group pppoe_group request dialout pppoevpdn group pppoe_group localname XXXXXvpdn group pppoe_group ppp authentication chapvpdn username XXXXX password * dhcpd auto_config outsideterminal width 80
So, nun noch ein kleines Update.
Sobald die Internetverbindung vom Provider (leider keine Standleitung, nur DSL mit 24 Stunden-Trennung) getrennt wird Funktioiert der Verbindungsaufbau nicht mehr. Erst nach einem
Die 106023 und 305005 Meldungen treten nach wie vor auf, dann funktioniert aber wenigstens die Verbindung wider.
Bin momentan leider etwas ratlos. Ich habe noch folgende Anleitung gefunden http://wiki.wumarkus.com/index.php?title=Cisco_Pix_with_Asterisk nach der für alle verwendeten UDP-Ports noch ein static mapping erforderlich ist. Leider kann ich die Ports bei den Providern nicht auf ein erträgliches Maß reduzieren und bevor ich hunderte von Statics anlege versuche ich noch eine Alternative zu finden.
Grüße
Erik
Sobald die Internetverbindung vom Provider (leider keine Standleitung, nur DSL mit 24 Stunden-Trennung) getrennt wird Funktioiert der Verbindungsaufbau nicht mehr. Erst nach einem
reload an der PIX kann sich der interne SIP-Server wider bei den SIP-Servern der Provider anmelden.Die 106023 und 305005 Meldungen treten nach wie vor auf, dann funktioniert aber wenigstens die Verbindung wider.
Bin momentan leider etwas ratlos. Ich habe noch folgende Anleitung gefunden http://wiki.wumarkus.com/index.php?title=Cisco_Pix_with_Asterisk nach der für alle verwendeten UDP-Ports noch ein static mapping erforderlich ist. Leider kann ich die Ports bei den Providern nicht auf ein erträgliches Maß reduzieren und bevor ich hunderte von Statics anlege versuche ich noch eine Alternative zu finden.
Grüße
Erik
