Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco 886VA, Gigaset C610-IP: ausgehende Telefonate nicht möglich

Frage Netzwerke Voice over IP

Mitglied: core01

core01 (Level 1) - Jetzt verbinden

22.12.2013, aktualisiert 10.01.2014, 5661 Aufrufe, 15 Kommentare

Hallo Community,

ich habe einige Probleme, ein Siemens Gigaset C610 IP über den Cisco zum Laufen zu bringen, vielleicht kann mir ja jemand von euch weiterhelfen.

Folgender Aufbau ist vorhanden:

[T-Com VDSL 50 (über ISDN) mit VoIP]
|
[Cisco 886VA] -- Fe0, Fe1: [Cisco WAP321] (2x)
|
Fe2: [Siemens Gigaset C610 IP] -(...)- [DECT Mobilteil] (3x)

Der Router hat aktuell folgende Konfiguration [3]. Die ursprüngliche Konfiguration lehnt sich sehr an den hier vorhandenen Tutorial-Beitrag [2] an, die Access-List 102 habe ich momentan für die Fehlersuche derart reduziert.

Zum Problem:
Es ist problemlos möglich, die auf den drei Mobilteilen jeweils konfigurierten VoIP-Nummern von intern und extern anzurufen (eingehend).
Versuche ich jedoch, mit diesen nach extern (ausgehend) zu telefonieren, kommt eine Sprachansage (vermutlich von der Gigaset-Basis), dass ein Verbindungsaufbau derzeit nicht möglich ist.

Ich vermute, dass entweder eine Firewall-Regel, oder eine fehlende Routing-Regel [1] dafür verantwortlich sind, habe aber momentan keine Idee was hier noch fehlt.

Hat jemand eine Idee??

Vielen Dank und beste Grüße
core

[1] http://hilfe.telekom.de/hsp/cms/content/HSP/de/3378/faq-350884716
[2] http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
[3] Router-Konfiguration:

01.
version 15.1 
02.
no service pad 
03.
service tcp-keepalives-in 
04.
service tcp-keepalives-out 
05.
service timestamps debug datetime msec localtime show-timezone 
06.
service timestamps log datetime msec localtime show-timezone 
07.
service password-encryption 
08.
09.
hostname XXXXXXXXXXXXXXXXXXXX 
10.
11.
boot-start-marker 
12.
boot-end-marker 
13.
14.
15.
security authentication failure rate 3 log 
16.
security passwords min-length 6 
17.
logging buffered 20480000 
18.
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
19.
enable password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
20.
21.
no aaa new-model 
22.
no process cpu extended history 
23.
no process cpu autoprofile hog 
24.
memory-size iomem 10 
25.
clock timezone CET 1 0 
26.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
27.
crypto pki token default removal timeout 0 
28.
29.
30.
no ip source-route 
31.
no ip gratuitous-arps 
32.
ip auth-proxy max-login-attempts 5 
33.
ip admission max-login-attempts 5 
34.
35.
36.
37.
ip dhcp excluded-address 192.168.100.1 192.168.100.99 
38.
ip dhcp ping packets 3 
39.
ip dhcp ping timeout 100 
40.
41.
ip dhcp pool local 
42.
 network 192.168.100.0 255.255.255.0 
43.
 default-router 192.168.100.1 
44.
 dns-server 192.168.100.1 
45.
 domain-name XXXXXXXXXXXXXXXXXXXX.local 
46.
47.
ip dhcp pool wap1 
48.
 host 192.168.100.11 255.255.255.0 
49.
 client-identifier 01XX.XXXX.XXXX.XX 
50.
 default-router 192.168.100.1 
51.
 dns-server 192.168.100.1 
52.
 client-name wap1 
53.
 domain-name XXXXXXXXXXXXXXXXXXXX.local 
54.
55.
ip dhcp pool wap2 
56.
 host 192.168.100.12 255.255.255.0 
57.
 client-identifier 01XX.XXXX.XXXX.XX 
58.
 default-router 192.168.100.1 
59.
 dns-server 192.168.100.1 
60.
 client-name wap2 
61.
 domain-name XXXXXXXXXXXXXXXXXXXX.local 
62.
63.
ip dhcp pool dect1 
64.
 host 192.168.100.21 255.255.255.0 
65.
 hardware-address XXXX.XXXX.XXXX 
66.
 default-router 192.168.100.1 
67.
 dns-server 192.168.100.1 
68.
 client-name dect1 
69.
 domain-name XXXXXXXXXXXXXXXXXXXX.local 
70.
71.
72.
ip cef 
73.
no ip bootp server 
74.
ip domain name XXXXXXXXXXXXXXXXXXXX.local 
75.
ip multicast-routing 
76.
ip inspect name Firewall tcp router-traffic 
77.
ip inspect name Firewall udp 
78.
ip ddns update method dyndns 
79.
 HTTP 
80.
  add http://XXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXX@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
81.
 interval maximum 1 0 0 0 
82.
83.
no ipv6 cef 
84.
85.
86.
license udi pid CISCO886VA-K9 sn XXXXXXXXXXXXXXXXXXXX 
87.
88.
89.
username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
90.
91.
92.
93.
94.
controller VDSL 0 
95.
 description DTAG VDSL 50 Leitung 
96.
97.
ip ssh version 2 
98.
99.
100.
101.
bridge irb 
102.
103.
104.
105.
106.
interface Ethernet0 
107.
 description VDSL Physical Interface 
108.
 no ip address 
109.
 no ip route-cache 
110.
111.
interface Ethernet0.7 
112.
 description VDSL Daten Verbindung 
113.
 encapsulation dot1Q 7 
114.
 no ip route-cache 
115.
 pppoe-client dial-pool-number 1 
116.
117.
interface BRI0 
118.
 no ip address 
119.
 encapsulation hdlc 
120.
 shutdown 
121.
 isdn termination multidrop 
122.
123.
interface ATM0 
124.
 no ip address 
125.
 shutdown 
126.
 no atm ilmi-keepalive 
127.
128.
interface FastEthernet0 
129.
 description Uplink wap1 
130.
 no ip address 
131.
 spanning-tree portfast 
132.
133.
interface FastEthernet1 
134.
 description Uplink wap2 
135.
 no ip address 
136.
 spanning-tree portfast 
137.
138.
interface FastEthernet2 
139.
 no ip address 
140.
 spanning-tree portfast 
141.
142.
interface FastEthernet3 
143.
 no ip address 
144.
 spanning-tree portfast 
145.
146.
interface Vlan1 
147.
 description Lokales Netzwerk 
148.
 no ip address 
149.
 bridge-group 1 
150.
 bridge-group 1 spanning-disabled 
151.
152.
interface Dialer0 
153.
 description DSL Einwahl Interface 
154.
 ip ddns update hostname XXXXXXXXXXXXXXXXXXXX.dyn.XXXXXXXXXXXXXXXXXXXX.net 
155.
 ip ddns update dyndns 
156.
 ip address negotiated 
157.
 ip access-group 102 in 
158.
 no ip redirects 
159.
 no ip unreachables 
160.
 no ip proxy-arp 
161.
 ip mtu 1492 
162.
 ip nat outside 
163.
 ip inspect Firewall out 
164.
 ip virtual-reassembly in 
165.
 encapsulation ppp 
166.
 dialer pool 1 
167.
 dialer-group 1 
168.
 no keepalive 
169.
 ppp authentication pap callin 
170.
 ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@t-online.de password 7 XXXXXXXXXXXXXXXXXXXX 
171.
 ppp ipcp dns request 
172.
 ppp ipcp mask request 
173.
 ppp ipcp route default 
174.
175.
interface BVI1 
176.
 description Lokales Netzwerk 
177.
 ip address 192.168.100.1 255.255.255.0 
178.
 ip nat inside 
179.
 ip virtual-reassembly in 
180.
 ip tcp adjust-mss 1452 
181.
182.
no ip forward-protocol nd 
183.
no ip http server 
184.
no ip http secure-server 
185.
186.
ip dns server 
187.
ip nat inside source list 101 interface Dialer0 overload 
188.
ip route 0.0.0.0 0.0.0.0 Dialer0 
189.
190.
ip access-list log-update threshold 1 
191.
access-list 1 permit any 
192.
access-list 101 permit ip 192.168.100.0 0.0.0.255 any 
193.
access-list 102 permit ip any any log 
194.
access-list 105 permit tcp any any eq 22 
195.
dialer-list 1 protocol ip list 101 
196.
no cdp run 
197.
198.
199.
200.
201.
bridge 1 protocol ieee 
202.
bridge 1 route ip 
203.
204.
line con 0 
205.
 exec-timeout 5 0 
206.
 login local 
207.
line aux 0 
208.
line vty 0 4 
209.
 access-class 105 in 
210.
 exec-timeout 30 0 
211.
 privilege level 15 
212.
 login local 
213.
 transport preferred ssh 
214.
 transport input ssh 
215.
216.
end
Mitglied: aqui
23.12.2013, aktualisiert um 11:46 Uhr
Bitte lasse den Unsinn mit externen Sites hier im Forum. In den FaQs steht wie du Konfigs über die (code) Tags hier problemlos in deinen Thread einbetten kannst ohne externe Sites mit Zwangswerbung !
Zurück zum Thema….

Vergleiche deine Konfig mit diesem Tutorial hier:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...

Damit funktioniert VoIP zu diversen SIP Providern (T-Com, Sipgate) fehlerlos. Eine entsprechende Konfig sollte auch dein Problem im Handumdrehen lösen.
Tip: Die IP Konfig (vlan 1) deines lokalen LANs ist gelinge gesagt ungewähnlich. vlan1 ist das lokale IP Interface und das BVI Interface dient lediglich dazu den internen AP zu bridgen. Das solltest du ggf. umstellen.
Routing Regel ist ebenso Blödsinn, denn mit nur einem Internet Zugang hast du ja nur eine einzige Route zu deinem Provider. Ist wie immer hier die Firewall Regel oder die CBAC Konfig sofern du das überhaupt konfiguriert hast (was du aber solltest !) ACL 102 ist eher eine weihnachtliche Einladung zum Hacken. Damit machst du den Router offen wie ein Scheunentor. OK zum VoIP Testen temporär mag das OK sein für einen Produktivtraffic später aber nicht.
Wenn alle Stricke reissen schmeiss die Debugger Funktion an und checke WAS ggf. die VoIP Pakete blockt in der Konfig.
Bitte warten ..
Mitglied: core01
23.12.2013, aktualisiert um 15:16 Uhr
Hi,

zunächst sorry für das Auslagern der Config, inzwischen hab ich es in den Beitrag hinzu editiert.
(hatte das für übersichtlicher gehalten)

Zu dem BVI hab' ich mich nach dem Tipp noch mal informiert - und da ich das Modell ohne WLAN habe, dann auch entfernt, sowie mein Vlan1 angepasst:
01.
no interface BVI1 
02.
 
03.
no bridge 1 protocol ieee 
04.
no bridge 1 route ip  
05.
no bridge irb 
06.
 
07.
interface Vlan1  
08.
 
09.
 no bridge-group 1 
10.
 no bridge-group 1 spanning-disabled  
11.
 
12.
 ip address 192.168.100.1 255.255.255.0  
13.
 ip nat inside  
14.
 ip tcp adjust-mss 1452
Damit sehen die entsprechenden Abschnitte nun wie folgt aus:
01.
[...] 
02.
03.
ip cef 
04.
no ip bootp server 
05.
ip domain name XXXXXXXXXXXXXXXXXXXXXX.local 
06.
ip multicast-routing 
07.
ip inspect name Firewall tcp router-traffic 
08.
ip inspect name Firewall udp 
09.
ip ddns update method dyndns 
10.
 HTTP 
11.
  add http://XXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXX@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
12.
 interval maximum 1 0 0 0 
13.
14.
[...] 
15.
16.
interface Vlan1 
17.
 description Lokales Netzwerk 
18.
 ip address 192.168.100.1 255.255.255.0 
19.
 ip nat inside 
20.
 ip virtual-reassembly in 
21.
 ip tcp adjust-mss 1452 
22.
23.
[...] 
24.
25.
ip access-list log-update threshold 1 
26.
access-list 1 permit any 
27.
access-list 101 permit ip 192.168.100.0 0.0.0.255 any 
28.
access-list 102 permit ip any any log 
29.
access-list 105 permit tcp any any eq 22 
30.
dialer-list 1 protocol ip list 101 
31.
no cdp run 
32.
33.
[...]
Zwischenzeitlich habe ich auch noch einige Stunden mit der Telekom telefoniert, dort weiß man zwar "Es liegen Auffälligkeiten bei der Rufnummernkonfiguration vor." (soll wohl so dort angezeigt werden), Details könne man aber nicht einsehen. Am Problem selbst hat sich nichts geändert. Mit dem Gigaset-Support durfte ich auch telefonieren, laut ihnen ist meine Einstellung (der VoIP-Basis) aber richtig, und ich solle mich an die Telekom wenden ...

Kurzzeitig habe ich auch mal ebenso noch die ACL 101 auf "permit ip any any" gesetzt, das brachte aber ebenso keinen Erfolg.
Bitte warten ..
Mitglied: aqui
24.12.2013, aktualisiert um 12:07 Uhr
Mmmhhh ist schon komisch… Die ACL 101 kann es niemals sein, denn die bestimmt ja nur den outgoing Traffic und du sagst ja selber es sind ausschliesslich eingehende Calls, also wenn die Gigasets angerufen werden von extern.
D.h. eine SIP und RTP Session die von außen eingeht.
In der Beziehung kann es also nur einzig die ACL 102 sein, die eingehende SIP bzw. RTP Calls blockt. Allerdings hast du mit "ip any any" hier ja auch das Scheunentor voll aufgemacht, d.h. alles darf rein bei dir also auch SIP Calls des Provider Gateways. Du solltest also drauf achten das SIP (Port 5060 und 5061) durchkommen kann auf die lokale IP des Gigasets.
CBAC erlaubt allerdings nur eingehende Sessions wenn auch eine ausgehende existiert. Ggf. soltest du testweise mal CBAC deaktivieren oder das ACL Debugging einschalten um zu sehen WAS hängenbleibt.
Du solltest also deshalb testweise vom Dialer Interface mal die ACL 102 ganz weg nehmen und auch die Firewall Funktion (ip inspect) und dann nochmal die VoIP Funktion testen.
Nochwas… Das permit logging der ACL 102 ist unsinnig, denn damit wird dir jeder einzelne eingehende Call ins Log geschrieben. Das bewirkt zusätzliche CPU Last die unsinnig und überflüssig ist. Das "log" Statement bei der ACL 102 solltest du also besser wehlassen.
Du kannst immer diese ACL debuggen mit dem debug xyz Kommando was sinnvoller ist ( u all am Schluss dann aber nicht vergessen !)
Bitte warten ..
Mitglied: aqui
30.12.2013, aktualisiert um 13:09 Uhr
Gibt es einen aktuellen Status zu deinem Problem und hast du es lösen können ??
Wenn ja wäre ein entspr. Feedback hier mal ganz hilfreich für die Forums Community hier !!
Was du noch testen kannst (sofern noch nicht gelöst ?!) ist die CBAC Inspection anders zu konfigurieren:
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp


Ansonsten bitte
http://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: core01
30.12.2013 um 13:22 Uhr
Ich bin leider noch nicht zum ausprobieren gekommen - da ich gerade auf dem 30c3 in Hamburg bin.
Zum ebenfalls probieren hab ich auch noch ein direktes Forwarden der Ports per Config [1] gefunden, so als last-chance...

Viele Grüße,
core

[1] http://www.ifm.net.nz/cookbooks/nat.html
Bitte warten ..
Mitglied: aqui
30.12.2013, aktualisiert um 16:32 Uhr
Ist eigentlich unerheblich für dich denn mit deiner ACL 102 erlaubst du ja eh alles an eingehenden Verbindungen am Internet Port (Dialer) !!
access-list 102 permit ip any any log

Das hat den gleichen Effekt als wenn du mit no access-list 102 permit ip any any log diese ACL vom Dialer Interface vollkommen entfernen würdest, das erlaubt dann auch alles.

Eigentlich müsste das eine "deny"" Liste sein für korrekt konfiguriertes CBAC also müsste sie korrektermassen so lauten:
access-list 102 permit icmp any any administratively-prohibited
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any packet-too-big
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit udp any eq domain any
access-list 102 permit tcp any eq domain any
access-list 102 permit tcp any eq 5060
access-list 102 permit gre any any
access-list 102 deny ip any any log

Das o.a. greift also für dich bzw. deinen ACL 102 so nicht.
OK warten wir mal den Kongress ab und deine weiteren Tests
Bitte warten ..
Mitglied: core01
30.12.2013 um 18:10 Uhr
(ohne bisheriges Ausprobieren oder näheres Recherchieren) als Überlegung aber:

Die ACLs erlauben zwar den In-/Outbound Traffic. Woher weiß nun aber Inbound SIP Traffic, dass er innerhalb des Local LAN an das Device x.x.x.21 gehen soll?

Andererseits:
Die Probleme liegen ja nur bei Outbound Calls, eingehende Anrufe funktionieren ja...
Könnte aber maybe auch einfach nur bedeuten, dass STUN funktioniert?
Bitte warten ..
Mitglied: aqui
LÖSUNG 31.12.2013, aktualisiert 10.01.2014
Deshalb das oben erwähnte "inspect sip und rtsp" in der CBAC Firewall, denn das eröffnet intelligent alle benötigsten Ports. SIP nutzt dynamische Antwort Ports bzw. STUN Ports die dann auch geöffnet werden.
Vermutlich wird das dann dein Problem fixen...?! Wäre sehr interessant, denn das könnte man dann noch als Ergänzung in das o.a. 886va Tutorial aufnehmen für VoIP Anlagen die hinter der NAT Firewall betrieben werden.
Bitte warten ..
Mitglied: core01
07.01.2014, aktualisiert 10.01.2014
Hey,

ich bin nun endlich zum Testen gekommen.
Leider aber ohne das erhoffte Ergebnis, die beiden zusätzlichen Inspect-Anweisungen haben sich nicht ausgewirkt.

Cisco [1] schreibt in seiner Doku was zur SIP Firewall, das "ip inspect ..." kann ich jedoch nicht mehr auf ein einzelnes Interface legen (command unknown).

[1] http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_protocol_cbac_fw/c ...


Den Logging-Level für inzwischen so ziemlich alles angeschaltet, sieht es aktuell so aus:
- Telefon wurde vom Netz getrennt und wieder verbunden (erster Absatz)
- mehrere Versuche für einen Outbound Call

01.
Log Buffer (8192 bytes): 
02.
192.168.100.21, src_port:60281, dst_tableid:0, dst_addr:176.9.12.26, dst_port:80 
03.
Jan  7 22:55:25.032 CET: FIREWALL: Finding pregen session for src_tableid:0, src_addr:192.168.100.21, src_port:60281, dst_tableid:0, dst_addr:176.9.12.26, dst_port:80 
04.
... Edit (10. Jan.): der Übersicht halber entfernt, hat mit Lösung nichts zu tun ... 
05.
Jan  7 23:01:50.349 CET: FIREWALL sent a TCP pkt (192.168.100.122:53970) tcp flag:0x4 -> 173.194.35.161:80 seq 2892824903 ack 0 wnd 662, Vlan1 
06.
Jan  7 23:01:50.401 CET: FIREWALL: Finding pregen session for src_tableid:0, src_addr:192.168.100.11, src_port:4554, dst_tableid:0, dst_addr:192.168.100.255, dst_port:4554

Viele Grüße
core
Bitte warten ..
Mitglied: core01
10.01.2014, aktualisiert um 05:13 Uhr
Ich habe es nun endlich lösen können (sogar ohne Telekom...):

Mit der Firmware 15.1 (M4) ist es nicht möglich gewesen, ausgehende VoIP-Calls aufzubauen, zumindest an einem V-DSL 50/10 MBit Anschluss.
(außerdem lag die max. Datenrate bei 8.3/2.7 MBit)

Nach einem Upgrade auf die Version 15.4 (T) läuft alles einwandfrei, die Transferrate liegt bei 44/8.5 MBit, und VoIP-Calls laufen in alle Richtungen so wie es von Anfang an hätte sein sollen...

Lösung also für alle Telekom-Kunden:
Nutzt die Firmware >= 15.4

PS an dieser Stelle, die zum Download angebotene Modem-Firmware ist in der dort aktuellsten Version ÄLTER als die System-Firmware 15.4 - und funktioniert (zumindest bei der Telekom am o.g. Anschluss) NICHT! Hier also bei der embedded Firmware bleiben.

Auch an dich, aqui, noch mal vielen Dank - ob es auch ohne die ip inspect gehen würde hab ich nun mal nicht mehr getestet, allein da auch die dadurch ausführlicheren Log/Debug Meldungen in meinem Szenario doch ganz praktisch sind.


Viele Grüße
ein total genervter core
Bitte warten ..
Mitglied: aqui
10.01.2014, aktualisiert um 10:48 Uhr
Tip für dich noch:
Wenn du die Firewall mit CBAC aktiv hast kannst du auch SIP Inspection einschalten was die SIP Connections sicherer macht.
Das wird nicht wie du fälschlicherweise annimmst per Interface sondern logischerweise global gemacht, da es ja für die Firewall gilt !

Dazu muss aber eine entprechende Inbound ACL für den SIP Port UDP 5060 offen sein sonst funktioniert die SIP Inspection nicht !
Gemäß der im Cisco_886vaw_Tutorial vorgestellten Konfig musst du diese geingfügig anpassen:
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any (log)


Damit rennt dann auch sichere SIP Inspection ! Getestet hier mit der IOS Version 15.3.3(M) das ist das Stable Release.
Was interessant ist: Kommen Incoming SIP Call generiert der Router eine Log Message:
IPNAT SIP SDP: Trying to parse unsupported attribute at media level
Es funktioniert aber alles fehlerfrei. Siehst du mit deiner 15.4(T) diese Message auch ?? ("show logg" zeigt sie, mit "clear logg" kannst du das Log ggf. löschen)
Kurze Frage noch: Nutzt du einen Telekom VDSL Vollanschluss (Call and Surf) für den SIP bzw. Telefonie Zugang mit dem Cisco ?
Bitte warten ..
Mitglied: core01
10.01.2014, aktualisiert um 13:00 Uhr
Hi,

die sip-Regel habe ich bereits drin - deine genannte Log-Meldung kommt bei mir allerdings nicht.

Der Anschluss ist, soweit ich weiß, ein Telekom VDSL Call & Surf Comfort (OHNE Entertain) 50 MBit und ohne Speed-Option (also 10 MBit Upload), sowie kein Fastlink.
(mit dynamischer IP, und kein Business-Kunden-Zugang)

Anbei (auch für alle, die hier später wie ich über Google landen...) meine aktuelle, funktionierende (!) Konfiguration:
(Hinweis: die ACL 111 aus dem Tutorial ist bei mir die 102)

Wobei die Access-Listen nun, wo man auch endlich ordentlich testen kann, dann noch nähere Pflege erfahren werden.

01.
version 15.4 
02.
no service pad 
03.
service tcp-keepalives-in 
04.
service tcp-keepalives-out 
05.
service timestamps debug datetime msec localtime show-timezone 
06.
service timestamps log datetime msec localtime show-timezone 
07.
service password-encryption 
08.
09.
hostname XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
10.
11.
boot-start-marker 
12.
boot system flash:c880data-universalk9-mz.154-1.T.bin 
13.
boot-end-marker 
14.
15.
16.
security authentication failure rate 3 log 
17.
security passwords min-length 6 
18.
logging userinfo 
19.
logging buffered 8192 
20.
no logging console 
21.
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
22.
enable password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
23.
24.
no aaa new-model 
25.
no process cpu extended history 
26.
no process cpu autoprofile hog 
27.
memory-size iomem 10 
28.
clock timezone CET 1 0 
29.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
30.
31.
32.
no ip source-route 
33.
no ip gratuitous-arps 
34.
35.
36.
37.
ip dhcp excluded-address 192.168.100.1 192.168.100.99 
38.
ip dhcp ping packets 3 
39.
ip dhcp ping timeout 100 
40.
41.
ip dhcp pool local 
42.
 network 192.168.100.0 255.255.255.0 
43.
 default-router 192.168.100.1 
44.
 dns-server 192.168.100.1 
45.
 domain-name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local 
46.
47.
ip dhcp pool wap1 
48.
 host 192.168.100.11 255.255.255.0 
49.
 client-identifier 014c.4e35.5774.70 
50.
 default-router 192.168.100.1 
51.
 dns-server 192.168.100.1 
52.
 client-name wap1 
53.
 domain-name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local 
54.
55.
ip dhcp pool wap2 
56.
 host 192.168.100.12 255.255.255.0 
57.
 client-identifier 014c.4e35.5774.b8 
58.
 default-router 192.168.100.1 
59.
 dns-server 192.168.100.1 
60.
 client-name wap2 
61.
 domain-name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local 
62.
63.
ip dhcp pool dect1 
64.
 host 192.168.100.21 255.255.255.0 
65.
 hardware-address 7c2f.806b.845e 
66.
 default-router 192.168.100.1 
67.
 dns-server 192.168.100.1 
68.
 client-name dect1 
69.
 domain-name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local 
70.
71.
72.
73.
no ip bootp server 
74.
ip domain name XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.local 
75.
ip multicast-routing 
76.
ip inspect name Firewall tcp router-traffic 
77.
ip inspect name Firewall udp 
78.
ip inspect name Firewall sip 
79.
ip inspect name Firewall rtsp 
80.
ip inspect name Firewall ftp 
81.
ip inspect name Firewall icmp 
82.
ip inspect name Firewall pptp 
83.
ip ddns update method dyndns 
84.
 HTTP 
85.
  add http://XXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXX@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
86.
 interval maximum 1 0 0 0 
87.
88.
ip cef 
89.
login block-for 120 attempts 3 within 60 
90.
login delay 1 
91.
login on-failure log 
92.
login on-success log 
93.
no ipv6 cef 
94.
95.
96.
vpdn enable 
97.
98.
vpdn-group 1 
99.
 ! Default PPTP VPDN group 
100.
 description Default PPTP VPDN group 
101.
 accept-dialin 
102.
  protocol pptp 
103.
  virtual-template 1 
104.
105.
license udi pid CISCO886VA-K9 sn XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
106.
107.
108.
username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
109.
username remote password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
110.
111.
112.
113.
114.
115.
controller VDSL 0 
116.
 description DTAG VDSL 50 Leitung 
117.
no cdp run 
118.
119.
ip ssh version 2 
120.
121.
122.
123.
124.
125.
126.
127.
128.
129.
130.
interface Ethernet0 
131.
 description VDSL Physical Interface 
132.
 no ip address 
133.
 no ip route-cache 
134.
135.
interface Ethernet0.7 
136.
 description VDSL Daten Verbindung 
137.
 encapsulation dot1Q 7 
138.
 no ip route-cache 
139.
 pppoe enable group global 
140.
 pppoe-client dial-pool-number 1 
141.
142.
interface BRI0 
143.
 no ip address 
144.
 encapsulation hdlc 
145.
 shutdown 
146.
 isdn termination multidrop 
147.
148.
interface ATM0 
149.
 no ip address 
150.
 shutdown 
151.
 no atm ilmi-keepalive 
152.
153.
interface FastEthernet0 
154.
 description Uplink wap1 
155.
 no ip address 
156.
 spanning-tree portfast 
157.
158.
interface FastEthernet1 
159.
 description Uplink wap2 
160.
 no ip address 
161.
 spanning-tree portfast 
162.
163.
interface FastEthernet2 
164.
 description Uplink dect1 
165.
 no ip address 
166.
 spanning-tree portfast 
167.
168.
interface FastEthernet3 
169.
 no ip address 
170.
 shutdown 
171.
 spanning-tree portfast 
172.
173.
interface Virtual-Template1 
174.
 description PPTP Einwahl Interface fuer VPN Zugang 
175.
 ip unnumbered Vlan1 
176.
 peer default ip address pool pptp_dialin 
177.
 no keepalive 
178.
 ppp encrypt mppe 128 required 
179.
 ppp authentication ms-chap-v2 
180.
181.
interface Vlan1 
182.
 description Lokales Netzwerk 
183.
 ip address 192.168.100.1 255.255.255.0 
184.
 ip nat inside 
185.
 ip virtual-reassembly in 
186.
 ip tcp adjust-mss 1452 
187.
188.
interface Dialer0 
189.
 description DSL Einwahl Interface 
190.
 ip ddns update hostname XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.dyn.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.net 
191.
 ip ddns update dyndns 
192.
 ip address negotiated 
193.
 ip access-group 102 in 
194.
 no ip redirects 
195.
 no ip unreachables 
196.
 no ip proxy-arp 
197.
 ip mtu 1492 
198.
 ip nat outside 
199.
 ip inspect Firewall out 
200.
 ip virtual-reassembly in 
201.
 encapsulation ppp 
202.
 dialer pool 1 
203.
 dialer-group 1 
204.
 no keepalive 
205.
 ppp authentication pap callin 
206.
 ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@t-online.de password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
207.
 ppp ipcp dns request 
208.
 ppp ipcp mask request 
209.
 ppp ipcp route default 
210.
211.
ip local pool pptp_dialin 192.168.100.80 192.168.100.99 
212.
no ip forward-protocol nd 
213.
no ip http server 
214.
no ip http secure-server 
215.
216.
ip dns server 
217.
ip nat log translations syslog 
218.
ip nat inside source list 101 interface Dialer0 overload 
219.
ip route 0.0.0.0 0.0.0.0 Dialer0 
220.
221.
222.
ip access-list log-update threshold 1 
223.
dialer-list 1 protocol ip list 101 
224.
225.
access-list 1 permit any 
226.
access-list 101 remark Traffic allowed to access the Internet from inside the network 
227.
access-list 101 permit ip 192.168.100.0 0.0.0.255 any 
228.
access-list 102 remark Traffic allowed to enter the router from the Internet 
229.
access-list 102 permit gre any any 
230.
access-list 102 permit ip any any 
231.
access-list 105 remark Traffic allowed to access the router management CLI 
232.
access-list 105 permit tcp any any eq 22 
233.
234.
235.
line con 0 
236.
 exec-timeout 5 0 
237.
 login local 
238.
 no modem enable 
239.
line aux 0 
240.
line vty 0 4 
241.
 access-class 105 in 
242.
 exec-timeout 30 0 
243.
 privilege level 15 
244.
 login local 
245.
 transport preferred ssh 
246.
 transport input ssh 
247.
248.
ntp server ptbtime1.ptb.de 
249.
ntp server ptbtime2.ptb.de 
250.
ntp server ptbtime3.ptb.de 
251.
252.
end
Viele Grüße
core
Bitte warten ..
Mitglied: aqui
10.01.2014, aktualisiert um 13:27 Uhr
Danke fürs Feedback ! Kleine Anmerkung zu deiner ACL 102 die, mit Verlaub gesagt, eigentlich totaler Blödsinn ist, sorry !! Warum....?
  • Eine Accessliste wird der Reihe nach abgearbeitet vom Router dabei gilt immer "First Match wins" ! Reihenfolge in der ACL ist also sehr wichtig !
Was deine ACL 102 macht ist folgendes:
  • Eingehende externe Verbindungen ohne interne NAT Session ID fürs IP Protokoll 47 GRE (Teil von PPTP) erlauben
  • Alle irgendwie gearteten eingehenden externen Verbindungen ohne interne NAT Session ID generell erlauben.

Du merkst sicher selber wie unsinnig diese Regel ist, denn warum erlaubst du speziell GRE wenn du so oder so generell danach alles IP artige erlaubst ?! Das ist unsinnig.
Die Firewall ist eine CBAC Firewall wenn du Inspection nutzt. D.h. eine inbound ACL sollte ALLES verbieten um den Router nicht angreifbar zu machen.
Die Cisco Firewall sorgt dann dafür das alles was in der Inspection definiert wird dynamsich die ACL öffnet wenn interne Sessions nach extern gehen.
D.h. die Firewall macht also nur das temporär auf was intern auch gebraucht wird. Genau deshalb auch am Ende der WAN Port ACL immer ein deny any any.
Deine derzeitige ACL 102 öffnet den Router generell weit wie ein Scheunentor !!!
Mach den ct' Angriffstest und der sollte dir die Augen öffnen:
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Deine ACL ist also vollkommen überflüssig am Dialer Port denn sie erlaubt eh alles. Das gleiche erreichst du auch wenn du die ACL gleich ganz weglässt !
Die korrekte ACL hat folgende Statements:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
Das erlaubt eingehende ICMP Steuerpakete die für den IP Paketflow wichtig sind. Ansonsten würden diese ICMPs geblockt werden da sie einen anderen Type entsprechen als die Types echo und echo request (Ping)
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
Erlaubt vom Router initierte DNS Requests (denk dran der Router ist DNS Proxy hier !), denn alles was vom Router bzw. dessen IP "direkt" kommt, unterliegt nicht dem Inspection Prozess und der dynamischen Firewall !
Würdest du dann DNS Requests vom Router senden (was er tut da er Proxy ist), würde die Firewall die Antworten vom DNS Server blocken, da die dynamische ACL Öffnung (CBAC) nur von inbound gerouteten Sessions aus dem lokalen LAN getriggert wird ! DNS nutzt TCP und UDP
access-list 111 permit udp any eq 5060 any
Erlaubt eingehende SIP Calls wenn dein hinter dem NAT gelegenes VoIP Gerät angerufen wird ohne bestehende SIP outbound Session.
access-list 111 permit gre any any
Erlaubt von außen eingehende PPTP VPN Sessions
access-list 111 deny ip any any (log)
DAS ist hier das wichtigste Stament, denn es BLOCKT ALLES was sonst noch von außen rein will auf dein Router oder lokales LAN ! Das ist ja der tiefere Sinn einer Firewall. Das optional "log" Stament würde noch alle Angreifer mitloggen die versuchen im Router einzubrechen oder versuchen aufs lokale LAN zuzugreifen.
Solltest du spaßeshalber mal für einen Tag aktivieren damit du mal siehst was so einprasselt auf den Router...und nicht nur deinen !!
Fazit: Dein Router ist vollkommen offen so mit deiner ACL 102 zum Internet ! Das solltest du besser ganz schnell fixen !!

Bei NTP (Time Protokoll) müsstes du auf deinem Router auch noch "access-list 111 permit udp any eq ntp any" konfigurieren sonst bleiben auch NTP Updates des Routers selber (clock) hängen.

Was noch offen ist an Fragen:
  • Nutzt du einen Telekom VDSL Vollanschluss (Call and Surf) für den SIP bzw. Telefonie Zugang mit dem Cisco ?
  • Siehst du wenn du die Firewall "richtig" konfigurierst ggf. auch die o.a. Log Message ?
Bitte warten ..
Mitglied: starbuck33
26.04.2014 um 19:12 Uhr
Hatte genau das gleiche Problem (IPNAT SIP SDP: Trying to parse unsupported attribute at media level) - außerdem wurde kein voice übertragen.

Das ganze hat sich mit einem einfachen 'no ip nat service sip udp port 5060' gelöst. Meldungen traten nicht mehr auf, voice wird übertragen, alles schön
Bitte warten ..
Mitglied: aqui
26.04.2014 um 22:34 Uhr
Super ! Danke für das Feedback.
Hier ist es so das die Log Meldung mit jedem Call auftritt. Voice funktioniert aber fehlerlos nur diese Messages die einem das Syslog vollmüllen nerven schon gewaltig...
Mal sehen...gleich mal testen ob ein no ip nat service sip udp port 5060 dem Spuk endlich ein Ende bereitet !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
Std. Konfig Cisco 886VA-W (16)

Frage von oce zum Thema Router & Routing ...

DSL, VDSL
Cisco 886VA-K9 - VDSL100 - G.Vectoring - G.993.5 (11)

Frage von Bernhard-B zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...