nochmal Cisco 1720, IP Phone 7905G Sip und Firewall

[romeo310]

Moin nochmal,

in meinem Post unten drunter die Konfig ging nach einem reload des 1720.
Da mein IOS FW kann, habe ich diese jetzt konfiguriert. Das Prob an der Sache ist:

Telefon ist bei Sipgate im Status "OINLINE", wenn aber angerufen werden soll, kommt man nicht durch. Telefon eingestellt nach Anleitung von http://www.stefan.gofferje.net/de/mi...ip_sipgate.php Irgend eine Kleinigkeit fehlt....bin mit meinem CCNA erst bei Examen 3 :d

Kann nicht schwer sein, aber mir platz gleich de Kopp...please help !!!!

hier die Config mit FW:

!
version 12.3
..................................
!
ip cef
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect name FastEthernet_0 tcp
ip inspect name FastEthernet_0 udp
ip inspect name FastEthernet_0 cuseeme
ip inspect name FastEthernet_0 ftp
ip inspect name FastEthernet_0 h323
ip inspect name FastEthernet_0 rcmd
ip inspect name FastEthernet_0 realaudio
ip inspect name FastEthernet_0 smtp
ip inspect name FastEthernet_0 streamworks
ip inspect name FastEthernet_0 vdolive
ip inspect name FastEthernet_0 sqlnet
ip inspect name FastEthernet_0 tftp
ip audit po max-events 100
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
isdn switch-type basic-net3
!
username user password 7 pass
!
!
!
!
!
!
interface Ethernet0
description connected to Internet
no ip address
half-duplex
pppoe enable
pppoe-client dial-pool-number 4
no keepalive
!
interface FastEthernet0
description connected to EthernetLAN
ip address 192.168.0.1 255.255.255.0
ip access-group 102 in
ip nat inside
ip inspect FastEthernet_0 in
ip tcp adjust-mss 1452
speed auto
no keepalive
........................................................
interface Dialer4
description connected to Internet
ip address negotiated
ip access-group 101 in
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 4
dialer-group 2
ppp authentication chap pap callin
ppp chap hostname user
ppp chap password 7 pass
ppp pap sent-username user password 7 pass
!
router rip
version 2
passive-interface Dialer4
network 192.168.0.0
no auto-summary
!
ip local pool Cisco1720-Group-2 192.168.0.250 192.168.0.251
ip local pool Cisco1720-Group-3 192.168.0.252
ip nat inside source list 1 interface Dialer4 overload
ip nat inside source list 101 interface Dialer4 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer4
no ip http server
no ip http secure-server
!
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit udp any eq rip any eq rip
access-list 101 permit udp any eq 5060 host 192.168.0.8 eq 5060
access-list 101 permit udp any eq 5004 host 192.168.0.8 eq 5004
access-list 101 permit udp any eq 10000 host 192.168.0.8 eq 10000
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
.......................................
!
end




thx Leutz für Hilfe ( die ich wirklich brauchen kann !!!)

[Wurstbläser]

Hi romeo
angenommen Deine Port-weiterleitung funktioniert also- nur kurz:
5060 ist Dein VoIP Control Port ... ist ja normal.

Was sind 5004 und 10000 ?? Sollen das die Ports für den Bearer-Traffic sein?
Was ist denn dein Start-Media Port und Dein End-Media Port?

Hier scheint es bei einigen CISCO Modellen kleine Probleme mit den SIP-Images zu geben. So konnte ich bei meinem 7960 nur einige bestimmte Port-Kombination benutzen die man auf dem Telefon konfigurieren konnte 16384 bis 16388 z.B. Dann muss man also ALLE Ports weiterleiten. VoIP benutzt dann den ersten geraden Port, und den nächst-höher liegenden also z.B. 16384 und 16385! Zumindest scheint Deine Konfiguration dieser Methode ja nicht zu entsprechen ... [ich wollte also 16384 bis 16385 weiterleiten - diese Werte ließ das Image aber nicht zu - hab dann "gegoogelt" und bin so auf die 16388 gestoßen - das ließ sich konfigurieren. Unlogisch aber vermutlich nicht ganz so sauber Implementiert!]

Die Richtlinien dieses Forums möchten den Verweis auf andere Foren eigentlich vermeiden ... es scheint aber schon ein sehr spezielles VoIP Konfigurations-Problem zu sein. Die Art der Port Konfiguration sollte bei den Cisco-Modellen aber eigentlich vom Prinzip gleich sein ...

Gruss
Robert

PS: ich sehe gerade SIPGate, die Nummer 10000 zum testen kennst Du dann? Ich habe als DSL-Router selbst noch keinen CISCO laufen - deshalb kann ich Dir nicht meine Konfig posten. Habe also 5060 und vom Start-Media- bis zum End-Media-Port weitergeleitet: geht.

[romeo310]

Danke für die Antwort.

Habe mich jetzt soweit durchgefriemelt, dass mein Telefon während des Betriebs bei Sipgate als Online-Status erscheint.

Auf dem Telefon sehe ich auch das kleine Telefon, dass die Verbindung anzeigt.

Wähle ich nun meine SIP Nummer, kommt nicht mehr die Ansage, "momentan nicht erreichbar", es bleibt kurz still und dann kommt der Ton, wenn sein Gegenüber aufgelegt hat !

bin schon auf folgenden abwegen:

conf te

ip inspect name sip sip

interface FasteEthernet0
ip inspect sip in

exit

interface Dialer4
ip inspect sip in
ip access-group 101 in

Irgendwie schlägt aber die Anfrage von Sipgate zu meinem Telefon nicht durch.

Das muss irgend so ein sch..... kleiner Part sein ! Flippe bald aus und mir raucht der Kopp !

Wäre schön, wenn hier noch der ein oder andere mal seine Ideen preisgeben könnte !


Cya und thx


romeo310

[romeo310]

Ich habs geschafft...ist die config in Ordnung, oder kann man nochwas verbessern ???
Möchte das Teil so dicht wie möglich haben ! Prob war nur der Eintrag ip inspect name sip sip, router reload, !!!!!! dannach erst das Telefon booten !!!!!!

........und peng ! Geht !

Teil 1 der Config:


!
version 12.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Cisco1720
!
boot-start-marker
boot-end-marker
!
enable password 7 pass
memory-size iomem 25
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
ip name-server 192.168.0.1
!
ip cef
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect name FastEthernet_0 tcp
ip inspect name FastEthernet_0 udp
ip inspect name FastEthernet_0 cuseeme
ip inspect name FastEthernet_0 ftp
ip inspect name FastEthernet_0 h323
ip inspect name FastEthernet_0 rcmd
ip inspect name FastEthernet_0 realaudio
ip inspect name FastEthernet_0 streamworks
ip inspect name FastEthernet_0 vdolive
ip inspect name FastEthernet_0 sqlnet
ip inspect name FastEthernet_0 tftp
ip inspect name sip sip
ip audit po max-events 100
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
isdn switch-type basic-net3
!
username user password 7 pass
!
!
!
!
interface BRI0
description connected to Dial-inPCs(ISDN)
no ip address
ip nat inside
encapsulation ppp
dialer rotary-group 2
dialer-group 1
isdn switch-type basic-net3
isdn point-to-point-setup
no cdp enable
!
interface Ethernet0
description connected to Internet
no ip address
half-duplex
pppoe enable
pppoe-client dial-pool-number 4
no keepalive
!
interface FastEthernet0
description connected to EthernetLAN
ip address 192.168.0.1 255.255.255.0
ip access-group 102 in
ip nat inside
ip tcp adjust-mss 1452
speed auto
full-duplex
no keepalive
!
interface Async5
description connected to Dial-inPCs(modem)
ip unnumbered FastEthernet0
ip nat inside
encapsulation ppp
ip tcp header-compression passive
dialer in-band
dialer rotary-group 3
dialer-group 1
async mode dedicated
!
interface Dialer2
description connected to Dial-inPCs(ISDN)
ip unnumbered FastEthernet0
ip access-group 101 in
ip nat inside
encapsulation ppp
no ip split-horizon
dialer in-band
dialer-group 1
peer default ip address pool Cisco1720-Group-2
no cdp enable
ppp authentication chap pap callin
ppp multilink
!
interface Dialer3
description connected to Dial-inPCs(modem)
ip unnumbered FastEthernet0
ip access-group 100 in
ip nat inside
encapsulation ppp
ip tcp header-compression passive
dialer in-band
dialer-group 1
peer default ip address pool Cisco1720-Group-3
no cdp enable
ppp authentication chap

[romeo310]

der zweite Teil :

interface Dialer4
description connected to Internet
ip address negotiated
ip access-group 104 in
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 4
dialer-group 2
ppp authentication chap pap callin
ppp chap hostname user
ppp chap password 7 pass
ppp pap sent-username user password 7 pass
!
router rip
version 2
passive-interface Dialer4
network 192.168.0.0
no auto-summary
!
ip local pool Cisco1720-Group-2 192.168.0.250 192.168.0.251
ip local pool Cisco1720-Group-3 192.168.0.252
ip nat inside source list 1 interface Dialer4 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer4
no ip http server
no ip http secure-server
!
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 100 permit udp any eq rip any eq rip
access-list 101 permit udp any eq rip any eq rip
access-list 102 permit ip any any
access-list 103 deny ip any any
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
snmp-server location Germany
snmp-server contact Kontakt

line con 0
exec-timeout 0 0
password 7 pass
login
line aux 0
modem InOut
transport input all
autoselect ppp
stopbits 1
speed 38400
flowcontrol hardware
line vty 0 4
login
!
end

Mir kommt das mit der Access-list von Dialer4 nicht so geheuer vor, aber ich finde momentan keine Sicherheitslücken ! sygate Online Scan sagt alles Closed !

THX schon mal für Antworten !