8
Cisco ISR 1921 - QSC centraflex
Hallo,
ich habe hier einen Cisco ISR 1921 Router, frisch konfiguriert auf die nötigsten Dienste (DHCP, DNS, WAN). Funktioniert soweit alles problemlos. Allerdings habe ich nun das Problem, dass unsere VoIP-Telefone (Aastra 6739i) keinen Zugriff mehr auf die QSC-Server bekommen.
QSC hat uns die Ports, die geöffnet werden müssen, mitgeteilt. Das Problem ist, dass ich noch keine Ahnung habe, wie ich den Cisco dahingehend konfigurieren muss. Ich verwende die CLI.
Kann jemand helfen? Gern poste ich auch die Ports.
ich habe hier einen Cisco ISR 1921 Router, frisch konfiguriert auf die nötigsten Dienste (DHCP, DNS, WAN). Funktioniert soweit alles problemlos. Allerdings habe ich nun das Problem, dass unsere VoIP-Telefone (Aastra 6739i) keinen Zugriff mehr auf die QSC-Server bekommen.
QSC hat uns die Ports, die geöffnet werden müssen, mitgeteilt. Das Problem ist, dass ich noch keine Ahnung habe, wie ich den Cisco dahingehend konfigurieren muss. Ich verwende die CLI.
Kann jemand helfen? Gern poste ich auch die Ports.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 213634
Url: https://administrator.de/contentid/213634
Printed on: April 24, 2024 at 23:04 o'clock
8 Comments
Latest comment
Arbeitest du mit CBNAC Accesslisten am Router (Firewall Funktion) ?? Oder nur mit einfachem NAT ??
Solange du nicht die aktuelle Einstellung des WAN Ports und der verwendeten NAT Dunktion pstest wird dir keiner die Frage beantworten können
Wenn du nur simples NAT ohne CBNAC machst, dann reicht es eigentlich wenn die Aastra Anlage für STUN konfiguriert ist:
http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
STUN sorgt dafür das die VoIP Ports automatisch über eine NAT Firewall gelangen.
Kann die Aastra Anlage (oder der SIP Provider) kein STUN, was sehr ungewöhnlich wäre, dann musst du mit statischem Port Forwarding arbeiten, wie es hier am Beispiel eines Web Servers hinter einer NAT Firewall exemplarisch erklärt ist:
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_configuration_e ...
Solange du nicht die aktuelle Einstellung des WAN Ports und der verwendeten NAT Dunktion pstest wird dir keiner die Frage beantworten können
Wenn du nur simples NAT ohne CBNAC machst, dann reicht es eigentlich wenn die Aastra Anlage für STUN konfiguriert ist:
http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
STUN sorgt dafür das die VoIP Ports automatisch über eine NAT Firewall gelangen.
Kann die Aastra Anlage (oder der SIP Provider) kein STUN, was sehr ungewöhnlich wäre, dann musst du mit statischem Port Forwarding arbeiten, wie es hier am Beispiel eines Web Servers hinter einer NAT Firewall exemplarisch erklärt ist:
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_configuration_e ...
Momentan nur mit einfachem NAT. Das Aastra Telefon wurde laut QSC vorkonfiguriert ausgeliefert und soll sich automatisch beim Provider anmelden. Das ist bisher noch nicht geschehen. Ich glaube aber, dass ein Mitarbeiter von QSC gesagt hat, dass kein STUN verwendet wird. Ebenso darf laut QSC kein ALG auf dem Router aktiviert sein.
Das ist per se schon mal ziemlich schlecht...
Normalerweise macht heute kein Voice Provider mehr eine Konfiguration OHNE die STUN Funktionalität, da sonst ein Überwinden der allseits verbreiteten NAT Router und Firewalls unverhältnismässig schwer und auch mit einer Security Einbusse verbunden ist.
SIP/RTP bei Voice benutzt dynamische Ports beim Verbindungsaufbau. Ohne STUN würde das eine Port Öffnung der Firewall für einen massiv großen Bereich erzwingen der natürlich ein erhebliches Sicherheitsrisiko darstellt.
Kläre also nochmal ganz genau ob die das wirklich Ernst meinen ohne STUN zu arbeiten !!!
Wenn du nur NAT machst musst du nichts machen und auch nichts wenn du CBNAC aktiv hast mit der Firewall sofern dann STUN aktiv ist.
Erzwingen die wirklich einen Konfig ohne STUN kommst du um ein statisches Port Forwarding nicht herum bei NAT, das ist dann klar.
Also...wasserdicht klären bevor wir ins Eingemachte gehen.
Normalerweise macht heute kein Voice Provider mehr eine Konfiguration OHNE die STUN Funktionalität, da sonst ein Überwinden der allseits verbreiteten NAT Router und Firewalls unverhältnismässig schwer und auch mit einer Security Einbusse verbunden ist.
SIP/RTP bei Voice benutzt dynamische Ports beim Verbindungsaufbau. Ohne STUN würde das eine Port Öffnung der Firewall für einen massiv großen Bereich erzwingen der natürlich ein erhebliches Sicherheitsrisiko darstellt.
Kläre also nochmal ganz genau ob die das wirklich Ernst meinen ohne STUN zu arbeiten !!!
Wenn du nur NAT machst musst du nichts machen und auch nichts wenn du CBNAC aktiv hast mit der Firewall sofern dann STUN aktiv ist.
Erzwingen die wirklich einen Konfig ohne STUN kommst du um ein statisches Port Forwarding nicht herum bei NAT, das ist dann klar.
Also...wasserdicht klären bevor wir ins Eingemachte gehen.
Das habe ich als Antwort erhalten:
Sehr geehrte Damen und Herren,
zur Nutzung des VoIP-Portals müssen folgende Ports geöffnet werden:
Für die Nutzung des Leistungsmerkmals Callmanager und die Zusatzleistung „Zentraler Vermittlungsplatz“ (Attendant Console) gelten folgende Vorrausetzungen:
Folgende Ports müssen geöffnet werden:
Für Signalisierung und Transport müssen folgende Ports geöffnet werden:
Für den Einsatz der VoIP-Telefonendgeräte und anderer Hardware müssen folgende Ports geöffnet werden:
und der udp NAT timeout muss min. 300s betragen.
Die Kommunigation zur IP Range 212.202.32.0 /24 ( Ipfonie Centraflex TK Anlage ) muss gewährleistet sein. \\
Die Kommunikation zu der IP 72.48.119.220 (Aastra Redirector) oder / und der IP 80.237.155.31 (Snom Redirector ) oder / und der IP 133.162.248.253 ( Panasonic Redirector ) ebenfalls.
Sehr geehrte Damen und Herren,
zur Nutzung des VoIP-Portals müssen folgende Ports geöffnet werden:
- http Port 80/TCP
- https Port 443/TCP
Für die Nutzung des Leistungsmerkmals Callmanager und die Zusatzleistung „Zentraler Vermittlungsplatz“ (Attendant Console) gelten folgende Vorrausetzungen:
- ActiveX muss zugelassen sein
- Java Client ist zwingend notwendig
Folgende Ports müssen geöffnet werden:
- cpp Port 2205/TCP
- cap Port 2206/TCP
- acap Port 2207/TCP
Für Signalisierung und Transport müssen folgende Ports geöffnet werden:
- rtp Portrange /UDP & TCP dynamischer Highport
- sip Port 5060 & 5061 /UDP & TCP
Für den Einsatz der VoIP-Telefonendgeräte und anderer Hardware müssen folgende Ports geöffnet werden:
- ntp Port 123/UDP
- dns Port 53/UDP & TCP
- tftp Port 69/UDP & TCP
und der udp NAT timeout muss min. 300s betragen.
Die Kommunigation zur IP Range 212.202.32.0 /24 ( Ipfonie Centraflex TK Anlage ) muss gewährleistet sein. \\
Die Kommunikation zu der IP 72.48.119.220 (Aastra Redirector) oder / und der IP 80.237.155.31 (Snom Redirector ) oder / und der IP 133.162.248.253 ( Panasonic Redirector ) ebenfalls.
Folgender Stand:
wie ich erfahren habe, SOLLEN sich die Telefone eine Konfiguration vom QSC-Server ziehen, sobald diese das erste Mal am Netz sind und Zugang ins Internet haben. Leider ist das hier nicht der Fall gewesen.
Jetzt habe ich mir mal die Weboberfläche des Aastras angeschaut. Dort war leider überhaupt nichts unter den verschiedenen Punkten (z.B. Global SIP und die dazugehörigen Account-Daten usw.) eingetragen.
Dann habe ich mir das QSC Administrationsportal angeschaut. Dort war ein neuer Eintrag für das entsprechende Astra inklusive der Seriennummer und der richtigen MAC-Adresse vorhanden.
Ich kenne es noch von nfon, dass man dort ebenfalls die MAC-Adressen der Gertäte eintragen musste und diese sich anschließend nach kurzer Wartezeit selbst konfiguriert haben (wohl mithilfe einer Konfigurationsdatei auf einem Remote-Server).
Nun habe ich mal die entsprechenden SIP-Accountdaten selbst im Aastra eingetragen, so wie ich es auch für ein Softphone Client machen muss. Ich habe weder irgendwelche NAT-Regeln eingetragen oder geändert oder etwas an der Firewall des Cisco 1921 eingestellt.
Die Konsequenz war, dass ich nun die dem Telefon zugewiesene Telefonnummer (im Administrations-Portal wurde dies durch QSC vorgenommen) anrufen kann und das Aastra klingelt. Ein Telefonat kommt ebenfalls zustand. Die Sprachqualität ist gut.
Allerdings kann ich nicht nach außen telefonieren.
Hat jemand eine Idee?
wie ich erfahren habe, SOLLEN sich die Telefone eine Konfiguration vom QSC-Server ziehen, sobald diese das erste Mal am Netz sind und Zugang ins Internet haben. Leider ist das hier nicht der Fall gewesen.
Jetzt habe ich mir mal die Weboberfläche des Aastras angeschaut. Dort war leider überhaupt nichts unter den verschiedenen Punkten (z.B. Global SIP und die dazugehörigen Account-Daten usw.) eingetragen.
Dann habe ich mir das QSC Administrationsportal angeschaut. Dort war ein neuer Eintrag für das entsprechende Astra inklusive der Seriennummer und der richtigen MAC-Adresse vorhanden.
Ich kenne es noch von nfon, dass man dort ebenfalls die MAC-Adressen der Gertäte eintragen musste und diese sich anschließend nach kurzer Wartezeit selbst konfiguriert haben (wohl mithilfe einer Konfigurationsdatei auf einem Remote-Server).
Nun habe ich mal die entsprechenden SIP-Accountdaten selbst im Aastra eingetragen, so wie ich es auch für ein Softphone Client machen muss. Ich habe weder irgendwelche NAT-Regeln eingetragen oder geändert oder etwas an der Firewall des Cisco 1921 eingestellt.
Die Konsequenz war, dass ich nun die dem Telefon zugewiesene Telefonnummer (im Administrations-Portal wurde dies durch QSC vorgenommen) anrufen kann und das Aastra klingelt. Ein Telefonat kommt ebenfalls zustand. Die Sprachqualität ist gut.
Allerdings kann ich nicht nach außen telefonieren.
Hat jemand eine Idee?
Und genau das ist völlig widersinnig. Wenn es ein NAT Problem wäre könntest du nicht reintelefonieren was ja aber fehlerfrei klappt.
Raus initiiert das Telefon ja selber
Sind alle IP Daten korrekt im Telefon ??
IP, Maske, Gateway, DNS, SIP Server usw. ??
Kannst du mit dem Telefon intern telefonieren ?
Am besten du snifferst den Sessionaufbau des Telefons mal mit einem Wireshark mit ! Da siehst du dann sofort wo es klemmt !
Raus initiiert das Telefon ja selber
Sind alle IP Daten korrekt im Telefon ??
IP, Maske, Gateway, DNS, SIP Server usw. ??
Kannst du mit dem Telefon intern telefonieren ?
Am besten du snifferst den Sessionaufbau des Telefons mal mit einem Wireshark mit ! Da siehst du dann sofort wo es klemmt !
Danke für die Antwort, du hast Recht
Das Thema hat sich erledigt. Die Einstellungen auf den Geräten waren fehlerhaft. Nach dem Zurücksetzen auf Werkseinstellungen funktioniert es jetzt problemlos.
Das Thema hat sich erledigt. Die Einstellungen auf den Geräten waren fehlerhaft. Nach dem Zurücksetzen auf Werkseinstellungen funktioniert es jetzt problemlos.
Alles wird gut... 
