CISCO836 und kein VoIP über NAT!

[gogosch]

Hallo!
habe einen CISCO836 DSL-Router der bis auf VoiP mit SIpgate ausgezeichnet funktioniert.
Der ATA286 schreibt in den Syslog nur "Firewall is UDP blocked" obwohl alles "offen" ist.
Wo ist der Fehler dass gerade UDP nicht outgoing genatted wird?
Hier meine Config:

!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname R30219
!
no logging buffered
enable secret 5 +++++++++++++.
!
username R30219 password 7 ************
no aaa new-model
ip subnet-zero
!
interface Ethernet0
 ip address 192.168.0.254 255.255.255.0
 ip nat inside
 ip tcp adjust-mss 1452
 no ip mroute-cache
!
interface BRI0
 no ip address
 shutdown
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/48
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode annexb-ur2
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer remote-name redback
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname ***************
 ppp chap password 7 **************
 ppp pap sent-username ************* password 7 ***************
 hold-queue 224 in
!
ip nat translation tcp-timeout 7200
ip nat pool net29 62.116.36.57 62.116.36.62 prefix-length 29
ip nat inside source list 102 pool net29 overload
ip nat inside source static tcp 192.168.0.11 25 62.116.36.57 25 extendable
ip nat inside source static tcp 192.168.0.11 110 62.116.36.57 110 extendable
ip nat inside source static tcp 192.168.0.11 80 62.116.36.57 80 extendable
ip nat inside source static tcp 192.168.0.11 80 62.116.36.60 80 extendable
ip nat inside source static tcp 192.168.0.11 80 62.116.36.61 80 extendable
ip nat inside source static tcp 192.168.0.11 8887 62.116.36.57 8887 extendable
ip nat inside source static tcp 192.168.0.11 8887 62.116.36.57 8888 extendable
ip nat inside source static tcp 192.168.0.11 8887 62.116.36.60 8887 extendable
ip nat inside source static tcp 192.168.0.11 8888 62.116.36.60 8888 extendable
ip nat inside source static tcp 192.168.0.11 8887 62.116.36.61 8887 extendable
ip nat inside source static tcp 192.168.0.11 8888 62.116.36.61 8888 extendable
ip nat inside source static tcp 192.168.0.11 8887 62.116.36.62 8887 extendable
ip nat inside source static tcp 192.168.0.11 8888 62.116.36.62 8888 extendable
ip nat inside source static tcp 192.168.0.1 6697 62.116.36.57 6697 extendable
ip nat inside source static tcp 192.168.0.52 62918 62.116.36.57 62918 extendable
ip nat inside source static udp 192.168.0.11 53 62.116.36.58 53 extendable
ip nat inside source static udp 192.168.0.11 53 62.116.36.59 53 extendable
ip nat inside source static udp 192.168.0.11 53 62.116.36.57 53 extendable
ip nat inside source static tcp 192.168.0.52 4662 62.116.36.57 4662 extendable
ip nat inside source static tcp 192.168.0.52 4662 62.116.36.58 4662 extendable
ip nat inside source static tcp 192.168.0.52 4662 62.116.36.59 4662 extendable
ip nat inside source static tcp 192.168.0.52 4662 62.116.36.60 4662 extendable
ip nat inside source static tcp 192.168.0.52 4662 62.116.36.61 4662 extendable
ip nat inside source static tcp 192.168.0.52 4662 62.116.36.62 4662 extendable
ip nat inside source static udp 192.168.0.49 5060 62.116.36.58 5060 extendable
ip nat inside source static udp 192.168.0.49 5060 62.116.36.59 5060 extendable
ip nat inside source static udp 192.168.0.49 5060 62.116.36.60 5060 extendable
ip nat inside source static udp 192.168.0.49 5060 62.116.36.61 5060 extendable
ip nat inside source static udp 192.168.0.49 5060 62.116.36.62 5060 extendable
ip nat inside source static udp 192.168.0.49 5060 62.116.36.57 5060 extendable
ip nat inside source static udp 192.168.0.49 5004 62.116.36.57 5004 extendable
ip nat inside source static udp 192.168.0.49 5004 62.116.36.58 5004 extendable
ip nat inside source static udp 192.168.0.49 5004 62.116.36.59 5004 extendable
ip nat inside source static udp 192.168.0.49 5004 62.116.36.60 5004 extendable
ip nat inside source static udp 192.168.0.49 5004 62.116.36.61 5004 extendable
ip nat inside source static udp 192.168.0.49 5004 62.116.36.62 5004 extendable

ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
!
!
end

LG
H.

 

[tom-tom]

ICh denke mal mit eienr Cisco IOS config werden hier die meisten nix anfangen können....

 

[gogosch]

ICh denke mal mit eienr Cisco IOS config werden hier die meisten nix anfangen können....

Danke vielmals!
Dein Posting war sehr hilfreich! :roll:
H.

 

[chaos2000]

@gogosch,

Hi,

habe mir gerade mal die IOS angeschaut; kann es sein das nur ei UDP Port für die Kommunikation bereit steht?

Hab dann auch noch mal ne Frage an dich. Mein 806 startet nicht mehr und meldet an der Konsole nur noch sowas wie software chrash und bootet von vorn mit selbiger prozedure....
Hast du eine Idee wie ich über die Konsole neu flashen kann?

 

[gogosch]

das sollte helfen:
Im rommon Mode:

rommon 1 > IP_ADDRESS=171.68.171.0
rommon 2 > IP_SUBNET_MASK=255.255.254.0
rommon 3 > DEFAULT_GATEWAY=171.68.170.3
rommon 4 > TFTP_SERVER=171.69.1.129
rommon 5 > TFTP_FILE=c800-nsy6-mw.bin
rommon 6 > tftpdnld
Näheres auch unter: http://www.cisco.com/en/US/products...figuration_guide_chapter09186a00801b34b0.html
H.

 

[gogosch]

@gogosch,

Hi,

habe mir gerade mal die IOS angeschaut; kann es sein das nur ei UDP Port für die Kommunikation bereit steht?

Stimmt habe nur einen Port (5004) "geforwarded" für den Fall, dass ich mal ohne STUN-Server arbeite.
Port-Forwarding wäre normalerweise nicht notwendig. Exact gleiche Port-Konfiguration läuft unter WinRoute einwandfrei.
Wie erwähnt, läuft alles ganz super (wie z.B. EDonkey, KaZaA, DNS, usw) bis auf SIP.
H.

 

[hedgeschredder]

Hallo,

warum werden mehrer IP-Adressen aus 62.166.36.56/29 genattet ? Dein outside interface Dialer1 erhält laut der config eine dynamische IP.

Die korrekte Syntax in diesem Fall lautet z. B. :

ip nat inside source static tcp 192.168.0.11 25 interface Dialer1 25 extendable

Da Du eine NAT pool verwendest ist sowieso nicht immer garantiert das das so funktioniert. Ich denke ein paar statische Zuordnungen extern <->intern könnte viel helfen.

Schreib mal genau was Du da machst.

 

[gogosch]

Syntax stimmt schon!
Ganz einfach, da ein statisches /29-Subnetz dynamisch zugewiesen wird, welches am CISCO im Pool terminiert. Dies funktioniert auch bestens. Sowohl in- als outgoing. so wird z. B. IP 57 bis 59 ingoing für die DNS-Resolution (Port53)verwendet. Outgoing werden die IPs random aus dem Pool vergeben.
Es sind alle Services (http, ftp, smtp, Webcam, usw) aus dem Internetz einwandfrei erreichbar. Nur SIP funktioniert nicht outgoing!
H.

 

[chaos2000]

das sollte helfen:
Im rommon Mode:

rommon 1 > IP_ADDRESS=171.68.171.0
rommon 2 > IP_SUBNET_MASK=255.255.254.0
rommon 3 > DEFAULT_GATEWAY=171.68.170.3
rommon 4 > TFTP_SERVER=171.69.1.129
rommon 5 > TFTP_FILE=c800-nsy6-mw.bin
rommon 6 > tftpdnld
Näheres auch unter: http://www.cisco.com/en/US/products...figuration_guide_chapter09186a00801b34b0.html
H.

Danke gogosch,

hat geklappt!!!

 

[gogosch]

Hallo!
Nach dem es trotz Einsatz von CISCO-Experten nicht möglich war, das SIP-Protokoll über NAT outbound zu routen, verticke ich den Router heute bei www.ebay.de.
H.

 

[brkai]

Hallo!
Nach dem es trotz Einsatz von CISCO-Experten nicht möglich war, das SIP-Protokoll über NAT outbound zu routen, verticke ich den Router heute bei www.ebay.de.
H.

hi,

nicht nötig!
du kannst das ganze statt mit den IOS-befehlen auch mit dem SDM konfigurieren.
das hier ist zwar quick and dirty und lässt sich noch verfeinern, aber läuft:

setzen wir mal voraus, deine NAT-Regel ist die 102, dort trägst du ein, daß UDP für die interne adresse auf der dein SIP-client läuft zu allen zielen erlaubt ist.
sieht dann wenn du dir die config anschaust so aus:
.......
permit udp host xxx.xxx.xxx.xxx any
.......

in deiner firewall-regel für den dialer1 inbound setzt du permit any any UDP (somit ist sichergestellt, daß kein RTP-packet gedroppt wird) und machst die windows-ports 137, 138, etc. per deny wieder zu, damit du wieder einigermaßen sicher bist.

sieht dann in etwa so aus:
........
deny udp any any eq netbios-ns log (5 matches)
deny udp any any eq netbios-ss log
deny udp any any eq netbios-dgm log
deny udp any any eq 445 log
.......... usw.
permit udp any any eq 5060 log (1820 matches)
permit udp any any (6394 matches)
.......

das ganze geht natürlich auch mit port-ranges, aber dafür müssen dann wieder IOS-befehle und telnet herhalten.

ein permit UDP any auf die IP des SIP-client habe ich mal eingetragen,
ist aber irgendwie nicht so richtg gut gelaufen ....

probs kann es mit einer conf dieser art eigentlich nur noch geben, wenn verschiedene clients VoIP nutzen sollen, aber dafür hat man ja nen asterisk laufen .....

cheers
kai