AVM FritzBox Fon hinter Cisco 2621XM NAT keine Verbindung zu 1und1

[ck84 10]

Hallo, ich habe folgendes Problem, ich habe eine AVM FritzBox 7170 im LAN laufen. Mein Router ist ein Cisco 2621XM welcher NAT macht mit folgendem IOS: c2600-ik9o3s3-mz.123-19.bin

 

Das Problem ist, ich bekomme keine Verbindung von der FritzBox zum 1und1 VoIP Server. Andere VoIP Anbieter funktionieren ohne Probleme, nur 1und1 macht Probleme.

 

Ich habe etwas gelesen das man SIP ALG deaktivieren soll auf seinem Router, drücken wir es so aus, ich habe es nicht konfiguriert also sollte es deaktivirt sein. :)

 

Die Portweiterleitungen habe ich auch alle auf der Cisco eingerichtet:

UDP 5060 - 5069, 7077-7087, 10000

 

mit: ip nat inside source static udp DESTINATION PORT interface Dialer1 PORT

 

Jemand von euch schon einmal so ein Problem gehabt?

[czappb 10]

Das Problem könnte das UDP static NAT sein.

 

Falls du UDP eingehend mit Accesslisten regelst wirst du probleme bekommen das nicht alles zurück kommt, falls du einen overload benutzt (mehr interne als externe IPs)

 

Da UDP keine Sequencenummber oder so hat wird nur für die erste ausgehende Verbindung das mapping so umgesetzt, bei allen weiteren benutzt der Cisco irgendwelche Ports.

 

Das heißt nicht das UDP NAT nicht funktioniert, die Anfragen die dich über den Port erreichen werden schon zu dir intern weitergeleitet, nur halt die mit einem Nat nach extern gehen kommen zum großteil nicht von dem ursprünglichen sourceport

 

show ip nat translations | i udp

wird dir das zeigen.

 

Leider habe ich bisher auch noch keine vernünftige Lösung gefunden außer UDP auf die outside-NAT-IP zuzulassen.

 

Naja, kannst ja testen ob VoIP das auch hilft

[ck84 10]

Mal testen. Wäre schade wenn das nicht geht denn so ne FritzBox is ganz toll, nur absolut ned als Router geeignet wenn man viele clients dran hat .. die bricht dann immer irgendwann zusammen und das kanns nicht sein.

 

 

EDIT:

 

Aber warum funktioniert denn der andere VoIP anbieter?

[czappb 10]

Gute Frage aber evtl nutzt der eine Software die sich anders verhält.

 

falls du irgendwo Regeln für den Verkehr hast solltest du hier mal das logging aktivieren

(access-liste mit log hinter jeder zeile neu machen) und ggf. auch das logging für nat einschalten. so kannst du zumindest sehen was denn ggf. bei dir geblockt wird.

 

Falls der router nirgends etwas blockt (außer schrott - 135,...) würde es mich zumindest wundern.

[ck84 10]

Gibt es nicht eine Möglichkeit eine Art DMZ einzurichten? Weil dann könnte ich ja die Fritzbox hinter der Cisco betreiben und es würde so aussehen als ob die Fritzbox direkt im Internet klemmen würde. Das würde Alle Probleme lösen.

[czappb 10]

Naja DMZ...

DMZ würde normalerweise öffentliche IPs haben oder zumindest keinen overload (also mehr interne als externe).

 

Aber ein static NAT könnte das

ip nat inside source static 192.168.xxx.xxx interface DialerX

 

sollte fast das gleiche sein wie schon für die Box existiert (hoffe ich) alternativ können auch nur bestimmte UDP oder TCP-Ports umgeleitet werden

ip nat inside source static tcp 192.168.xxx.xxx 7000 interface DialerX 7000

(7000 ist hier der TCP-Port)

[xymos 10]

hi,

 

 

habe leider selbiges Problem

 

http://www.mcseboard.de/cisco-forum-allgemein-38/sip-funktioniert-ios-update-mehr-89327.html?highlight=xymos

 

teste mal das c2600-ik9o3s3-mz.123-13.bin

 

Alternativ solltest Du dir das mal durchlesen - vielleicht kommst Du damit weiter:

 

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122limit/122y/122yu11/ft_fwsip.pdf

 

Mich würde interssieren, ob es mit IOS 12.4 funzt - kannst Du das mal checken ?

Mein 2621 ( ohne XM ) kann das net mehr ;-(

 

 

-xymos.

[ck84 10]

Ich selber verwende das c2600-ik9o3s3-mz.123-19.bin Image und für 12.4 ist leider mein Flash zu klein und ich habe keine Lust den router per TFTP zu booten ;) werde mir mal den cisco Link ansehen.

[ck84 10]

OK, habe es eben mal mit oben genanntem IOS unt

ip nat inside source static FritzboxIP interface Dialer1

probiert .. hat aber nichts gebracht.

[czappb 10]

Also vielleicht gibts noch was zu finden wenn du die Konfig postest.

4(bzw. X) Augen sehen immer mehr als 2 ;)

EDIT:

Natürlich nur für X > 2

[ck84 10]

!
! Last configuration change at 00:04:20 UTC Mon Mar 1 1993 by root
!
version 12.3
service tcp-keepalives-in
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
service pt-vty-logging
service sequence-numbers
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no aaa new-model
ip subnet-zero
ip cef
!
!
ip domain name wueI.poessinger.org
ip name-server 194.145.151.161
ip name-server 132.187.1.1
ip dhcp excluded-address 172.16.1.111 172.16.1.254
ip dhcp excluded-address 172.16.10.111 172.16.10.254
ip dhcp excluded-address 172.16.1.1 172.16.1.100
ip dhcp excluded-address 172.16.10.1 172.16.10.100
!
ip dhcp pool VLAN10
  network 172.16.1.0 255.255.255.0
  next-server 172.16.1.1 
  netbios-name-server 172.16.1.3 
  netbios-node-type b-node
  default-router 172.16.1.254 
!
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
request-dialin
 protocol pppoe
!
ipv6 unicast-routing
ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
class-map match-any lan
 match access-group name lan
!
!
policy-map voip
 class lan
  priority 130
  set precedence 7
!
! 
!
!
!
!
interface Tunnel10
description IPv6 uplink
no ip address
shutdown
ipv6 address 
ipv6 enable
tunnel source Dialer1
tunnel destination 
tunnel mode ipv6ip
!
interface FastEthernet0/0
description VLAN10 LAN
ip address 172.16.1.254 255.255.255.0
ip access-group 100 in
ip access-group 100 out
ip nat inside
speed 100
full-duplex
ipv6 address 
ipv6 enable
!
interface Serial0/0
no ip address
shutdown
no fair-queue
!
interface FastEthernet0/1
description uplink DTAG.DE
bandwidth 6016
no ip address
ip access-group 100 in
ip access-group 100 out
ip directed-broadcast
ip nat outside
load-interval 30
speed 100
full-duplex
pppoe enable
pppoe-client dial-pool-number 1
no cdp enable
service-policy output voip
!
interface BRI1/0
no ip address
encapsulation hdlc
shutdown
!
interface BRI1/1
no ip address
encapsulation hdlc
shutdown
!
interface BRI1/2
no ip address
encapsulation hdlc
shutdown
!
interface BRI1/3
no ip address
encapsulation hdlc
shutdown
!
interface Dialer1
description DSL Dialup 6016/576 kbit
bandwidth 6016
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
no ip split-horizon
ip tcp adjust-mss 1452
no ip mroute-cache
shutdown
dialer pool 1
dialer-group 1
keepalive 30000
priority-group 1
no cdp enable
ppp authentication pap callin

ppp ipcp dns accept
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static 172.16.1.200 interface Dialer1
no ip http server
ip http authentication local
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
!
ip access-list extended lan
permit tcp any eq 5060 any
permit tcp any eq 5061 any
access-list 1 permit any
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 99 permit 172.16.1.1
access-list 100 permit icmp any any
access-list 100 permit ip any any
access-list 115 permit icmp any any
access-list 115 permit tcp any any eq ftp
access-list 115 permit tcp any any eq smtp
access-list 115 permit udp any any eq domain
access-list 115 permit tcp any any eq www
access-list 115 permit tcp any any eq pop3
access-list 115 permit tcp any any eq 443
access-list 115 permit ip any 172.16.1.0 0.0.0.255
access-list 115 permit tcp any any eq 5190
dialer-list 1 protocol ip permit
priority-list 1 protocol ip high list 110
priority-list 1 interface Dialer1 medium
ipv6 route ::/0 
!
snmp-server community nobus RO
snmp-server chassis-id 
no call rsvp-sync
!
!
!

!
line con 0
line aux 0
login local
transport input all
telnet speed 9600 9600
line vty 0 4
login local
!
ntp clock-period 17180184
ntp source Dialer1
ntp master
ntp server 192.53.103.103
ntp server 130.149.17.8
!
end

[czappb 10]

OK, ich muss sagen ich sehe nichts das wirklich die Funktion behindern dürfte.

jedoch ein paar Dinge könntest du prüfen - konstruktiv gemeint.

 

Generell:

-Accesslists für das Management(telnet,ssh,http,snmp,...) z.B. für ACL Nummer 2 sähe das aus:

ip http access-class 2 in
snmp-server community nobus RO 2
line vty 0 4
access-class 2 in

 

-Accesslist ist nur die Nummer 1 wirklich aktiv, den Rest könnte man entfernen.

brauchst du das "any" wirklich in ACL1?

 

 

 

policy-map voip
 class lan
  priority 130

Class Voip soll maximal 130KBit/s benutzen, Absicht?

 

 

interface FastEthernet0/1
description uplink DTAG.DE
pppoe enable
pppoe-client dial-pool-number 1
speed 100
full-duplex
no cdp enable
load-interval 30

Das sollte für Fa0/1 reichen, denn:

 

service-policy output voip - Bringt dir auf PPTP-getunnelten Paketen nix, sollte auf Dialer1

ip nat outside - hat nichtmal eine IP, kann kein NAT outside sein

bandwidth 6016 - zieht um auf den Dialer1

ip access-group 100 in - es läuft eh nur PPTP...

ip access-group 100 out - es läuft eh nur PPTP...

ip directed-broadcast - kein ip

 

daher kommt dann zu dialer1 hinzu

interface Dialer1
service-policy output voip

shutdown - vom testen nehme ich an

[ck84 10]

Ja, shutdown vom testen. 130BBit für VoIP weil eh maximal 2 Gespräche gleichzeitig und halt einfach noch bischen Luft dazwischen.

[czappb 10]

130BBit für VoIP weil eh maximal 2 Gespräche gleichzeitig und halt einfach noch bischen Luft dazwischen.

 

 

 

Also das sichert so keine Bandbreite von 130KBit/s zu, sondern es beschränkt die class-map auf eine maximale Bandbreite von 130KBit/s.

Ich vermute das ist nicht das was du erreichen wolltest, oder?

[ck84 10]

ne, ich wollte eine fest zugesicherte bandbreite von 130KBit/s für die VoIP gespräche