Hallo Leute,
nach langen hin und her bin ich jetzt mit meinem Latein am Ende.
Folgende Ausgangssituation:
Eine Fritz Box ATA hängt an einem Cisco 1712 Router. Der Router ist mit einem externem DSL-Modem (Telekom) verbunden. Provider ist 1und1.
Das was geht:
In der Fritz-Box sind zwei Rufnummern eingetragen. Die erste ist eine orginale Festnetznummer und die zweite ist eine "geographische" Voip-Nummer von 1und1. Beide Nummern sind korrekt beim Provider für DSL-Telefonie eingerichtet.
Das registrieren der Nummern bei 1und1 klappt anstandslos. Auch kann über beide Nummern jemand angewählt und ein Gepräch geführt werden. Wählt ein Anrufer die originale Festnetznummer wird diese auch korrekt über den Router zu ATA durchgestellt und man kann sich unterhalten.
Das was nicht geht:
Wählt ein Anrufer die "georgaphische" Voip-Nummer passiert nichts. (siehe weiter unten)
Was bisher geschah:
Da ich mit dem Netzwerk sehr gut zurechtkomme, habe ich als erstes an sämtlich möglichen Schnittstellen per tcpdump mitgeloggt.
Ergebniss:
Der Anruf (die Pakete) kommt tadellos vor dem Router an. (Port 5060)
Der Anruf (die Pakete) wird tadellos vom Router zur ATA übergeben. (Port 5060)
Die ATA reagiert in keiner Weise. (Log per Telnet = 0 / Sicht- und Hörkontrolle =0)
So, tausche ich nun den Cisco gegen einen Linux-Router funktioniert alles einwandfrei. Was habe ich gemacht? Mitgeloggt.
Ergebnis:
Der Anruf (Pakete) kommt exakt genau so beim Linux-Router an und wird auch genauso weitergereicht wie beim Cisco. Der einzige Unterschied zwischen Linux und Cisco lag beim MTU-Wert. Den habe ich ohne Erfolg geändert.
Das Fazit:
Das Problem scheint beim Router zu liegen. (oder bei dem, der davor sitzt
)
Die Frage:
Wer von euch kennt dieses Problem und hat einen Lösungsansatz parat.
Hier meine Config vom Router:
-- Edit by RB - Konfiguration in Code-Tags eingebunden (zum Problem kann ich leider nix sagen...)
nach langen hin und her bin ich jetzt mit meinem Latein am Ende.
Folgende Ausgangssituation:
Eine Fritz Box ATA hängt an einem Cisco 1712 Router. Der Router ist mit einem externem DSL-Modem (Telekom) verbunden. Provider ist 1und1.
Das was geht:
In der Fritz-Box sind zwei Rufnummern eingetragen. Die erste ist eine orginale Festnetznummer und die zweite ist eine "geographische" Voip-Nummer von 1und1. Beide Nummern sind korrekt beim Provider für DSL-Telefonie eingerichtet.
Das registrieren der Nummern bei 1und1 klappt anstandslos. Auch kann über beide Nummern jemand angewählt und ein Gepräch geführt werden. Wählt ein Anrufer die originale Festnetznummer wird diese auch korrekt über den Router zu ATA durchgestellt und man kann sich unterhalten.
Das was nicht geht:
Wählt ein Anrufer die "georgaphische" Voip-Nummer passiert nichts. (siehe weiter unten)
Was bisher geschah:
Da ich mit dem Netzwerk sehr gut zurechtkomme, habe ich als erstes an sämtlich möglichen Schnittstellen per tcpdump mitgeloggt.
Ergebniss:
Der Anruf (die Pakete) kommt tadellos vor dem Router an. (Port 5060)
Der Anruf (die Pakete) wird tadellos vom Router zur ATA übergeben. (Port 5060)
Die ATA reagiert in keiner Weise. (Log per Telnet = 0 / Sicht- und Hörkontrolle =0)
So, tausche ich nun den Cisco gegen einen Linux-Router funktioniert alles einwandfrei. Was habe ich gemacht? Mitgeloggt.
Ergebnis:
Der Anruf (Pakete) kommt exakt genau so beim Linux-Router an und wird auch genauso weitergereicht wie beim Cisco. Der einzige Unterschied zwischen Linux und Cisco lag beim MTU-Wert. Den habe ich ohne Erfolg geändert.
Das Fazit:
Das Problem scheint beim Router zu liegen. (oder bei dem, der davor sitzt
)Die Frage:
Wer von euch kennt dieses Problem und hat einen Lösungsansatz parat.
Hier meine Config vom Router:
Code:
!version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxxxxx
!
logging queue-limit 100
logging buffered 96000 debugging
enable secret 5 $1$rWis$j.FMqAXQzDixCd2Ta/wWG1
!
username xxxxxx privilege 15 password 0 xxxxxx
username xxxxxx password 0 xxxxxx
clock timezone PCTimeZone 1
clock summer-time PCTimeZone date Mar 30 2003 2:00 Oct 26 2003 3:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authentication enable default enable
aaa authentication ppp default local
aaa authentication ppp vpdn local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
!
!
ip domain name xxxxxx
ip name-server 192.168.0.99
ip name-server 194.25.2.129
ip name-server 217.237.151.33
!
!
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 sip timeout 30
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 tcp
ip audit notify log
ip audit po max-events 100
ip address-pool dhcp-pool
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group xxxxxx
key 0 xxxxxx
dns 194.25.2.129
wins 192.168.0.100
domain xxxxxx
pool ippool
acl 150
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface BRI0
no ip address
no cdp enable
!
interface FastEthernet0
description $ETH-WAN$port/www
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
no cdp enable
!
interface FastEthernet1
description port1/dhcp
switchport access vlan 4
switchport trunk native vlan 4
no ip address
no cdp enable
!
interface FastEthernet2
description port2/kassen
no ip address
no cdp enable
!
interface FastEthernet3
description port3/nw3
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet4
description port4/win98
switchport access vlan 3
no ip address
no cdp enable
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group sdm_dialer0_in in
ip mtu 1452
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username xxxxxx password 0 xxxxxx
crypto map clientmap
!
interface Vlan4
description dhcp
ip address 172.16.0.1 255.255.255.0
ip access-group sdm_vlan4_in in
ip nat inside
!
interface Vlan3
description Netzwerk3
ip address 192.168.3.1 255.255.255.0
ip access-group sdm_vlan3_in in
ip nat inside
ip inspect DEFAULT100 in
!
interface Vlan2
description $FW_INSIDE$netzwerk2
ip address 192.168.1.1 255.255.255.0
ip access-group 103 in
ip nat inside
ip inspect DEFAULT100 in
!
interface Vlan1
description $FW_INSIDE$netzwerk1
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip inspect DEFAULT100 in
ip tcp adjust-mss 1452
!
ip local pool ippool 192.168.101.100
ip nat pool ippool 192.168.101.100 192.168.101.100 netmask 255.255.255.0
ip nat inside source static udp 172.16.0.31 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.0.12 5900 interface Dialer0 5900
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 172.16.0.0 255.255.255.0 Vlan4
ip route 192.168.0.0 255.255.255.0 Vlan1
ip route 192.168.0.0 255.255.255.0 FastEthernet0
ip route 192.168.1.0 255.255.255.0 Vlan2
ip http server
ip http authentication local
ip http secure-server
!
!
!
ip access-list extended UNKNOWN
ip access-list extended archive
ip access-list extended configure
ip access-list extended default-domain
ip access-list extended dns-servers
ip access-list extended exec
ip access-list extended group-lock
ip access-list extended idletime
ip access-list extended inacl
ip access-list extended ios_web_exec
ip access-list extended key-exchange
ip access-list extended protocol
ip access-list extended save-password
ip access-list extended sdm_dialer0_in
remark SDM_ACL Category=1
remark VoIP zulassen
permit udp any any gt 1024 log
remark VNC zulassen
permit tcp any any eq 5900 log
remark udp 137-139 für IP 192.168.x.x
permit udp 192.168.0.0 0.0.255.255 range netbios-ns netbios-ss 192.168.0.0 0.0.255.255 log
remark Abgleich xxxxxx
permit tcp any any eq 4701 log
remark abgleich xxxxxx
permit udp any any eq 4701
permit ahp any any
permit esp any any
remark ziel 4500 udp
permit udp any any eq non500-isakmp
remark quelle 4500 udp
permit udp any eq non500-isakmp any
remark ziel 4500 tcp
permit tcp any any eq 4500
permit tcp any any eq 500
permit udp any any eq isakmp
permit icmp any any unreachable log
permit icmp any any time-exceeded log
permit icmp any any parameter-problem log
permit icmp any any echo-reply
permit icmp any any echo log
permit tcp any eq 5003 any
permit tcp any eq domain any log
permit udp any eq domain any log
permit tcp any eq ftp-data any
permit tcp any eq ftp any
permit gre any any
permit tcp any eq 1723 any
permit tcp any eq 443 any log
permit tcp any eq smtp any
permit tcp any eq pop3 any
permit tcp any eq www any log
deny tcp any any log
deny udp any any log
deny icmp any any log
deny ip any any log
ip access-list extended sdm_vlan3_in
remark SDM_ACL Category=1
permit ip any any
ip access-list extended sdm_vlan4_in
remark SDM_ACL Category=1
permit tcp any any log
permit udp any any log
permit icmp any any log
remark alles erlauben
permit ip any any log
ip access-list extended service
ip access-list extended timeout
ip access-list extended tunnel-password
ip access-list extended vpn100
remark Nat regel für vpn
remark SDM_ACL Category=2
permit ip host 192.168.0.23 host 192.168.101.100
ip access-list extended wins-servers
logging 192.168.3.12
access-list 100 remark allgem.www
access-list 100 remark SDM_ACL Category=2
access-list 100 deny tcp host 192.168.0.12 host 192.168.101.100
access-list 100 deny udp host 192.168.0.12 host 192.168.101.100
access-list 100 deny icmp host 192.168.0.12 host 192.168.101.100
access-list 100 deny ip host 192.168.0.12 host 192.168.101.100
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 permit tcp any any
access-list 101 permit udp any any
access-list 101 permit icmp any any
access-list 101 permit ip any any
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 103 permit udp any any range netbios-ns netbios-ss
access-list 103 permit ip 192.168.1.0 0.0.0.255 any
access-list 103 permit ip any any
access-list 150 remark vpn_client_zugriff
access-list 150 remark SDM_ACL Category=1
access-list 150 remark zugriff_auf _ip_erlaubt
access-list 150 permit ip 192.168.0.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
!
route-map SDM_RMAP_4 permit 1
match ip address vpn100
!
route-map SDM_RMAP_1 permit 1
match ip address 100
!
route-map SDM_RMAP_2 permit 1
match ip address 100
!
route-map SDM_RMAP_3 permit 1
match ip address vpn100
!
radius-server authorization permit missing Service-Type
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
line vty 5 15
privilege level 15
transport input telnet ssh
!
no scheduler allocate
!
end-- Edit by RB - Konfiguration in Code-Tags eingebunden (zum Problem kann ich leider nix sagen...)
