.titleBar { margin-bottom: 5px!important; }

CISCO836 und kein VoIP über NAT!

Dieses Thema im Forum "Cisco" wurde erstellt von gogosch, 20 Feb. 2005.

  1. gogosch

    gogosch Mitglied

    Registriert seit:
    7 Juni 2004
    Beiträge:
    228
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo!
    habe einen CISCO836 DSL-Router der bis auf VoiP mit SIpgate ausgezeichnet funktioniert.
    Der ATA286 schreibt in den Syslog nur "Firewall is UDP blocked" obwohl alles "offen" ist.
    Wo ist der Fehler dass gerade UDP nicht outgoing genatted wird?
    Hier meine Config:
    Code:
    !
    version 12.3
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    service password-encryption
    !
    hostname R30219
    !
    no logging buffered
    enable secret 5 +++++++++++++.
    !
    username R30219 password 7 ************
    no aaa new-model
    ip subnet-zero
    !
    interface Ethernet0
     ip address 192.168.0.254 255.255.255.0
     ip nat inside
     ip tcp adjust-mss 1452
     no ip mroute-cache
    !
    interface BRI0
     no ip address
     shutdown
    !
    interface ATM0
     no ip address
     no ip mroute-cache
     atm vc-per-vp 64
     no atm ilmi-keepalive
     pvc 8/48
      encapsulation aal5mux ppp dialer
      dialer pool-member 1
     !
     dsl operating-mode annexb-ur2
    !
    interface FastEthernet1
     no ip address
     duplex auto
     speed auto
    !
    interface FastEthernet2
     no ip address
     duplex auto
     speed auto
    !
    interface FastEthernet3
     no ip address
     duplex auto
     speed auto
    !
    interface FastEthernet4
     no ip address
     duplex auto
     speed auto
    !
    interface Dialer1
     ip address negotiated
     ip access-group 111 in
     ip mtu 1492
     ip nat outside
     ip inspect myfw out
     encapsulation ppp
     ip tcp adjust-mss 1452
     dialer pool 1
     dialer remote-name redback
     dialer-group 1
     ppp authentication chap pap callin
     ppp chap hostname ***************
     ppp chap password 7 **************
     ppp pap sent-username ************* password 7 ***************
     hold-queue 224 in
    !
    ip nat translation tcp-timeout 7200
    ip nat pool net29 62.116.36.57 62.116.36.62 prefix-length 29
    ip nat inside source list 102 pool net29 overload
    ip nat inside source static tcp 192.168.0.11 25 62.116.36.57 25 extendable
    ip nat inside source static tcp 192.168.0.11 110 62.116.36.57 110 extendable
    ip nat inside source static tcp 192.168.0.11 80 62.116.36.57 80 extendable
    ip nat inside source static tcp 192.168.0.11 80 62.116.36.60 80 extendable
    ip nat inside source static tcp 192.168.0.11 80 62.116.36.61 80 extendable
    ip nat inside source static tcp 192.168.0.11 8887 62.116.36.57 8887 extendable
    ip nat inside source static tcp 192.168.0.11 8887 62.116.36.57 8888 extendable
    ip nat inside source static tcp 192.168.0.11 8887 62.116.36.60 8887 extendable
    ip nat inside source static tcp 192.168.0.11 8888 62.116.36.60 8888 extendable
    ip nat inside source static tcp 192.168.0.11 8887 62.116.36.61 8887 extendable
    ip nat inside source static tcp 192.168.0.11 8888 62.116.36.61 8888 extendable
    ip nat inside source static tcp 192.168.0.11 8887 62.116.36.62 8887 extendable
    ip nat inside source static tcp 192.168.0.11 8888 62.116.36.62 8888 extendable
    ip nat inside source static tcp 192.168.0.1 6697 62.116.36.57 6697 extendable
    ip nat inside source static tcp 192.168.0.52 62918 62.116.36.57 62918 extendable
    ip nat inside source static udp 192.168.0.11 53 62.116.36.58 53 extendable
    ip nat inside source static udp 192.168.0.11 53 62.116.36.59 53 extendable
    ip nat inside source static udp 192.168.0.11 53 62.116.36.57 53 extendable
    ip nat inside source static tcp 192.168.0.52 4662 62.116.36.57 4662 extendable
    ip nat inside source static tcp 192.168.0.52 4662 62.116.36.58 4662 extendable
    ip nat inside source static tcp 192.168.0.52 4662 62.116.36.59 4662 extendable
    ip nat inside source static tcp 192.168.0.52 4662 62.116.36.60 4662 extendable
    ip nat inside source static tcp 192.168.0.52 4662 62.116.36.61 4662 extendable
    ip nat inside source static tcp 192.168.0.52 4662 62.116.36.62 4662 extendable
    ip nat inside source static udp 192.168.0.49 5060 62.116.36.58 5060 extendable
    ip nat inside source static udp 192.168.0.49 5060 62.116.36.59 5060 extendable
    ip nat inside source static udp 192.168.0.49 5060 62.116.36.60 5060 extendable
    ip nat inside source static udp 192.168.0.49 5060 62.116.36.61 5060 extendable
    ip nat inside source static udp 192.168.0.49 5060 62.116.36.62 5060 extendable
    ip nat inside source static udp 192.168.0.49 5060 62.116.36.57 5060 extendable
    ip nat inside source static udp 192.168.0.49 5004 62.116.36.57 5004 extendable
    ip nat inside source static udp 192.168.0.49 5004 62.116.36.58 5004 extendable
    ip nat inside source static udp 192.168.0.49 5004 62.116.36.59 5004 extendable
    ip nat inside source static udp 192.168.0.49 5004 62.116.36.60 5004 extendable
    ip nat inside source static udp 192.168.0.49 5004 62.116.36.61 5004 extendable
    ip nat inside source static udp 192.168.0.49 5004 62.116.36.62 5004 extendable
    
    ip classless
    ip route 0.0.0.0 0.0.0.0 Dialer1
    no ip http server
    no ip http secure-server
    !
    access-list 23 permit 192.168.0.0 0.0.0.255
    access-list 102 permit ip 192.168.0.0 0.0.0.255 any
    access-list 111 permit ip any any
    dialer-list 1 protocol ip permit
    !
    line con 0
     exec-timeout 120 0
     no modem enable
     stopbits 1
    line aux 0
    line vty 0 4
     access-class 23 in
     exec-timeout 120 0
     login local
     length 0
    !
    scheduler max-task-time 5000
    !
    !
    end
    
    LG
    H.
     
  2. tom-tom

    tom-tom Neuer User

    Registriert seit:
    18 Okt. 2004
    Beiträge:
    163
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ICh denke mal mit eienr Cisco IOS config werden hier die meisten nix anfangen können....
     
  3. gogosch

    gogosch Mitglied

    Registriert seit:
    7 Juni 2004
    Beiträge:
    228
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke vielmals!
    Dein Posting war sehr hilfreich! :roll:
    H.
     
  4. chaos2000

    chaos2000 Aktives Mitglied

    Registriert seit:
    22 Aug. 2004
    Beiträge:
    2,028
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    LE
    @gogosch,

    Hi,

    habe mir gerade mal die IOS angeschaut; kann es sein das nur ei UDP Port für die Kommunikation bereit steht?

    Hab dann auch noch mal ne Frage an dich. Mein 806 startet nicht mehr und meldet an der Konsole nur noch sowas wie software chrash und bootet von vorn mit selbiger prozedure....
    Hast du eine Idee wie ich über die Konsole neu flashen kann?
     
  5. gogosch

    gogosch Mitglied

    Registriert seit:
    7 Juni 2004
    Beiträge:
    228
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  6. gogosch

    gogosch Mitglied

    Registriert seit:
    7 Juni 2004
    Beiträge:
    228
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Stimmt habe nur einen Port (5004) "geforwarded" für den Fall, dass ich mal ohne STUN-Server arbeite.
    Port-Forwarding wäre normalerweise nicht notwendig. Exact gleiche Port-Konfiguration läuft unter WinRoute einwandfrei.
    Wie erwähnt, läuft alles ganz super (wie z.B. EDonkey, KaZaA, DNS, usw) bis auf SIP.
    H.
     
  7. hedgeschredder

    hedgeschredder Neuer User

    Registriert seit:
    6 Jan. 2005
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    warum werden mehrer IP-Adressen aus 62.166.36.56/29 genattet ? Dein outside interface Dialer1 erhält laut der config eine dynamische IP.

    Die korrekte Syntax in diesem Fall lautet z. B. :

    ip nat inside source static tcp 192.168.0.11 25 interface Dialer1 25 extendable

    Da Du eine NAT pool verwendest ist sowieso nicht immer garantiert das das so funktioniert. Ich denke ein paar statische Zuordnungen extern <->intern könnte viel helfen.

    Schreib mal genau was Du da machst.
     
  8. gogosch

    gogosch Mitglied

    Registriert seit:
    7 Juni 2004
    Beiträge:
    228
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Syntax stimmt schon!
    Ganz einfach, da ein statisches /29-Subnetz dynamisch zugewiesen wird, welches am CISCO im Pool terminiert. Dies funktioniert auch bestens. Sowohl in- als outgoing. so wird z. B. IP 57 bis 59 ingoing für die DNS-Resolution (Port53)verwendet. Outgoing werden die IPs random aus dem Pool vergeben.
    Es sind alle Services (http, ftp, smtp, Webcam, usw) aus dem Internetz einwandfrei erreichbar. Nur SIP funktioniert nicht outgoing!
    H.
     
  9. chaos2000

    chaos2000 Aktives Mitglied

    Registriert seit:
    22 Aug. 2004
    Beiträge:
    2,028
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    LE
    Danke gogosch,

    hat geklappt!!!
     
  10. gogosch

    gogosch Mitglied

    Registriert seit:
    7 Juni 2004
    Beiträge:
    228
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo!
    Nach dem es trotz Einsatz von CISCO-Experten nicht möglich war, das SIP-Protokoll über NAT outbound zu routen, verticke ich den Router heute bei www.ebay.de.
    H.
     
  11. brkai

    brkai Neuer User

    Registriert seit:
    20 Apr. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hi,

    nicht nötig!
    du kannst das ganze statt mit den IOS-befehlen auch mit dem SDM konfigurieren.
    das hier ist zwar quick and dirty und lässt sich noch verfeinern, aber läuft:

    setzen wir mal voraus, deine NAT-Regel ist die 102, dort trägst du ein, daß UDP für die interne adresse auf der dein SIP-client läuft zu allen zielen erlaubt ist.
    sieht dann wenn du dir die config anschaust so aus:
    .......
    permit udp host xxx.xxx.xxx.xxx any
    .......

    in deiner firewall-regel für den dialer1 inbound setzt du permit any any UDP (somit ist sichergestellt, daß kein RTP-packet gedroppt wird) und machst die windows-ports 137, 138, etc. per deny wieder zu, damit du wieder einigermaßen sicher bist.

    sieht dann in etwa so aus:
    ........
    deny udp any any eq netbios-ns log (5 matches)
    deny udp any any eq netbios-ss log
    deny udp any any eq netbios-dgm log
    deny udp any any eq 445 log
    .......... usw.
    permit udp any any eq 5060 log (1820 matches)
    permit udp any any (6394 matches)
    .......

    das ganze geht natürlich auch mit port-ranges, aber dafür müssen dann wieder IOS-befehle und telnet herhalten.

    ein permit UDP any auf die IP des SIP-client habe ich mal eingetragen,
    ist aber irgendwie nicht so richtg gut gelaufen ....

    probs kann es mit einer conf dieser art eigentlich nur noch geben, wenn verschiedene clients VoIP nutzen sollen, aber dafür hat man ja nen asterisk laufen .....

    cheers
    kai