ASA an CME über VPN

[ArnulfB]

Hi
Ich hab einen VPN Tunnel mit einer ASA an eine UC520 gebaut.
Jetzt würde ich gerne die POE Ports der ASA mit einem 7975 Telefon nutzen.

Das Problem ist, dass wir an der UC520 2 Vlans haben.
1 standard 192.168.100.0
100 phone 10.1.1.0

der Tunnel momentan funktioniert von der asa 192.168.168.0 zur uc520 192.168.100.0.

Wenn ich das telefon anstecke, dann erreicht es zwar den callmanager, aber der will dem telefon natürlich eine 10.1.1.x ip adresse geben und damit scheitert die konstruktion auch schon.

Wie kann man das realisieren?
Bisher weiß ich auch nicht wie ich von der ASA das Vlan 100 erreichen soll bzw. wie der callmanager dann das telefon über den Tunnel erreicht.

lg
Arnulf

 

[jhochwald]

Hi,

das sollte kein Problem sein. Ich habe es selbst zwar nicht mit einer ASA, sondern mit einem Cisco 870W gemacht, aber lt. Cisco Community Central sollte das auch mit einer ASA gehen.
Hier eine Anleitung.

Ich habe es wie folgt konfiguriert:

CME 7 (Auf Cisco 2811) <-> Cisco PIX 515E <-> INTERNET <-> Cisco 870W <-> Telefone
In meinem Fall Route ich auch zwei Netze (VLANs): 10 = Daten / 20 = Voice
Am Remote Ende (Mein Home Office) habe ich ein 7970 und ein 7920 (WLAN) laufen. Ich musste dann nur ein wenig an den Codecs fummel, denn zuhause ist mir die Bandbreite augegangen (ADSL mit wenig Upstream).

Hier war meine Lösung folgende: codec g729r8 dspfarm-assist Bei den Telefonen eintragen und schon wurde es deutlich besser ;-)

P.S.: Bevor ich auf den 2811 umgestiegen bin, ist dort auch ein UC520 gelaufen.

 

[ArnulfB]

Schaut interessant aus der Link.
Ich habe versucht dem zu folgen, habe aber nicht ganz den durchblick.

Ich habe einen ipsec tunnel konfiguriert und die verwenden dort ein easy vpn.
Entweder die cli befehle die aufgelistet sind sind nicht ganz vollständig oder ich sehe den Punkt einfach nicht.

Meine Konfig:
UC520: 192.168.100.0 vlan 1 / 10.1.1.0 vlan 100 ( phone )
ASA: 192.168.168.0 vlan 1

bei der ASA habe ich dhcp mit option 150 auf 192.168.100.1 (uc520 ) gestellt.
von der ASA aus ist vlan1 und vlan100 pingbar.
Der tunnel schickt mir also den trafik durch.

wenn ich jetzt mein Telefon an den poe der asa anstecke, dann registriert sich das telefon, aber es bekommt eine ip aus dem bereich 192.168.168.x.
und es steht unten ITS anstatt des labels unserer Firma.
ITS heißt integrated telephony service - warum das da steht ist mir unklar.
Es scheint aber alles zu funktionieren. sowohl voicebox als auch telefonieren.

ganz richtig kommts mir noch nicht vor - aber so funktioniert sogar der callconnector.
Die Frage die mich beschäftigt - ist das so richtig? und warum steht ITS am Telefon?

lg
Arnulf

 

[jhochwald]

Hallo,

was ich gemacht habe: Zwei VLANs auf meinem Router (in deinem Fall ASA) konfiguriert, die beide zu meinem CallManager geroutet werden. Die Adressen vergibt mein Router lokal, das du über Option 150 den UC angegeben hast, ist schon mal richtig.

Das ganze sieht bei mir so aus:

ip dhcp pool FRA_DATA
import all
network 172.16.30.0 255.255.255.0
option 150 ip 10.10.11.10
dns-server 172.16.30.1
default-router 172.16.30.1
domain-name data.hochwald.local
!
ip dhcp pool FRA_VOIP
import all
network 10.10.31.0 255.255.255.0
option 150 ip 10.10.11.10
domain-name voip.hochwald.local
dns-server 172.16.30.1
default-router 10.10.31.1

Die beiden Netze sind jeweils in einem eigenen VLAN:
interface Vlan30
description Client Data Network
no ip address
ip nat inside
ip virtual-reassembly
bridge-group 30
!
interface Vlan31
description VoIP Network
no ip address
ip nat inside
ip virtual-reassembly
bridge-group 31

Sobald der Tunnel steht, können sich die Telefone einbuchen und sind ganz normal erreichbar. In beiden Netzen (Im Datanetz verwende ich ein Softphone).
Wichtig ist natürlich, dass auf der anderen Seite auf der PIX (In deinem Fall ASA) die Rechte stimmen: Also deine beiden Netze auch auf dem UC zugreifen dürfen und auch das Routing entsprechend richtig ist.

In meinem Fall funktioniert es Problemlos, sowohl mit EZVPN_REMOTE und mit IP/Sec.
Wichtig: Im meinem Fall kommt der Call Manager auch nicht an die telefone, da in beiden Fällen NAT eigeschaltet ist. Im Fall von EZVPN_REMOTE sehen meine Netze auf der PIX Seite sowieso nur eine Adresse kommen, da ist alles hinter einer NAT Adresse ;-)

 

[ArnulfB]

ganz klar ist mir deine konstruktion noch nicht.
sind vlan30 und vlan31 an der asa die gleichen wie an der uc ?
Ich meine sind die subnetze anders oder gleich?

bei mir sind es einfach andere subnetze die gegenseitig erreichbar sind.
woher weiß die asa, dass das telefon in vlan 31 kommt und die client pcs in vlan 30?

es funktioniert zwar bei mir, aber ich steig noch nicht ganz durch dabei

lg
Arnulf

 

[jhochwald]

In meinem Fall sind die Subnetze (VLANs) nicht gleich!

Netze im Büro:
interface Ethernet1.10
description Client Data Network Interface
vlan 10
nameif CLIENT_IF
security-level 100
ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1.11
description VoIP Network Interface
vlan 11
nameif VOICE_IF
security-level 95
ip address 10.10.11.1 255.255.255.0

Netze zuhause stehen ja in meinem Post von heute Morgen: Anders VLAN und andere Netze (IP).

 

[ArnulfB]

naja dann ist die konstruktion eh ähnlich der meinen.

ich frage mich dann nur noch wie legt die asa dann die beiden geräte in die speziellen Vlans???.
woher weiß die asa, dass vlan1 pc ist und vlan 100 ipphone ??.

hm ...
danke für deine hilfe.

lg
Arnulf

 

[jhochwald]

Hier ist das Zauberwort Routing.
Entweder über den NAT Table (wie bei mir), oder via Routingtable wenn die Netze ohne NAT geroutet werden.
Da die ASA ja die Netze (Sowohl IP, als auch VLAN) kennt, ist das ja kein Problem. Sonst wäre es ja unmöglich via einer Firewall (PIX/ASA, oder was auch immer), oder Router verschiedene Netze und/oder VLANs zu routen ;-) Und das würde ja dann keiner kaufen...

 

[ArnulfB]

Das finde ich jetzt sehr interessant.

Diese Frage beschäftigt mich etwas - wie erkennt meine uc520 wenn ein Telefon angesteckt wird und gibt das in Vlan100 oder ein PC und gibt das in Vlan1:

Hier mal Vlan100:

interface BVI100
description $FW_INSIDE$
ip address 10.1.1.1 255.255.255.0
ip access-group 104 in
ip nat inside
ip virtual-reassembly

interface Vlan100
no ip address
bridge-group 100
bridge-group 100 spanning-disabled

hier ein typisches interface:

interface FastEthernet0/1/7
switchport voice vlan 100
macro description cisco-phone

jedenfalls könnte es natürlich über access-lists geregelt werden:

access-list 104 remark auto generated by SDM firewall configuration
access-list 104 remark SDM_ACL Category=1
access-list 104 permit tcp 10.1.10.0 0.0.0.3 any eq 2000
access-list 104 permit udp 10.1.10.0 0.0.0.3 any eq 2000
access-list 104 deny ip 10.1.10.0 0.0.0.3 any
access-list 104 deny ip 85.x.x.x 0.0.0.15 any
access-list 104 deny ip host 255.255.255.255 any
access-list 104 deny ip 127.0.0.0 0.255.255.255 any
access-list 104 permit ip any any

eq 2000 scheint auf telefon hinzuweisen.

 

[jhochwald]

In deinem Fall darüber:
interface FastEthernet0/1/7
switchport voice vlan 100
macro description cisco-phone

Lese einfach mal die Anleitung bei Cisco. Da steht das ausführlich beschrieben drin

 

[jhochwald]

eq 2000 scheint auf telefon hinzuweisen.

Eigentlich nicht!

access-list 104 permit tcp 10.1.10.0 0.0.0.3 any eq 2000
access-list 104 permit udp 10.1.10.0 0.0.0.3 any eq 2000

Das sind Einträge für Ports. In diesem Fall SCCP aka Skinny. Das ist das VoIP Protokoll von Cisco.
Auf deinen Telefonen kann auch SIP laufen, dein Switch/FW kriegt das trotzdem hin.

 

[ArnulfB]

ja nachdem ich recht kürzlich erst cisco mache, bin ich noch nicht so fit die richtigen artikel zu finden.
Das ist für mich mal das schwierigste beim einstieg

das hier:
macro description cisco-phone
scheint ja dem switchport zu sagen, dass der port grundsätzlich phones annimmt und alles andere in vlan 1 gibt.
also bedeutet das wohl alles was phone ist in vlan100 sonst in vlanWhatever

naja muss mir mal nen artikel zu macro description suchen...
danke jedenfalls wird schon klarer die sache.

was und welche möglichkeiten es gibt die einzelnen geräte in verschieden vlans zu stecken muss ich mir auch unbedingt mal anschauen ...

lg
Arnulf