IPSec H323 Probleme

[donos 10]

Hallo erst einmal, ich bin neu hier und hoffe eine Lösung zu meinem Problem zu finden.

 

Es geht um eine Swyx TK Anlage mit Abgesetztem Gate, das ganze in der Version 6.12.

Am Standort der Swyx ist eine ASA5510 und am Gate befindet sich eine Cisco 1812, letztere per VPN (Lan to Lan) angebunden.

Laut der TK Anlage kommt mit dem Gate keine H323 _Verbindung zu stande, also von ASA5510 nach eingehend 1812 geht kein H323 durch/rein.

 

-Was muss ich machen um (mit meinen Worten) den ganzen VPN Traffic ohne irghendeine Beschränkung von a nach b zu bekommen?

-Wo muss dies geschehen? Also an welcher Stelle des / der Router und an welchem der Router?

 

 

Da ich kein Cisco Crack bin, die Router auch nicht eingerichtet habe, ist die bitte es möglichst nachvollziehbar zu erklären. Bin kein *******, aber auch kein crack :-) Danke!!

 

Ich stelle extra die Konfig hier noch nicht online, wenn jemand wirklich helfen kann, möchte, dann wird dies nachgeholt. Oder ggf. demjenigen direkt gesendet.

Vorab schon einmal vielen Dank für eure Hilfe!!!!

Grüße don

 

########################

 

Also der Status hat sich geändert. Es steht nun fest, das die Aussage oben stimmt.

Von daher die Frage wie etc. ich dies freischalten kann?? Und das in beiden Richtungen, also auch auf beiden Routern.

[collapse 10]

Wo terminieren die VPNs ? auf der Firewall auf dem Router auf nem Software Server?

 

Bitte um ne beschreibung der Netzinfratstruktur

[Wordo 11]

Klink dich mim ASDM auf die ASA und aktiviere das Logging, so kannste schon mal irgendwelche Inspection-Fehler erkennen. Such auch nach "323" in der Config der ASA.

[donos 10]

Die 1812 kommt bei der ASA rein, wenn man so möchte stellt die ASA den "Hauptrouter" dar.

–

Das Logging auf der ASA ist aktiv, ich denke du meinst jenes im ASDM auf der ersten "Seite".

Jedoch sehe ich hier nichts bzgl. H323, folglich denke ich wird dies entweder:

-A: nicht geloggt (Muss dies extram ein / frei geschalten werden?

-B: blockt bereits die ASA den entsprechenden Traffic zur 1812

[Wordo 11]

Hast du schon mal den Capture Wizard bedient? Dann siehst du ob Pakete wirklich durchgehn odern nicht.

[donos 10]

Mhhh..Nein ich meine nicht, zumindest nicht bewust.

Kannst du kurz beschreiben wie bzw. wo dieser zu finden ist? Und was evtl. zu beachten ist?

[Wordo 11]

Im ASDM:

 

Wizards -> Packet Capture Wizard -> Next -> Source & Destination angeben -> Next -> Oben irgendwo steht dann "Start" -> Stop -> Dann "Get Capture

[donos 10]

also den Wizard habe ich gar nicht,

jedoch ist nun klar das die ports NICHT offen sind. Daher wäre die Frage wie kann ich diese in beide Richtungen öffnen, im IPSEC Tunnel?

[blackbox 10]

Hi,

 

die Ports im VPN Tunnel sind offen - die Pakete werden nur vom "Paket Inspection" nicht durchgelassen - da die nicht dem "Cisco H.323" entsprechen - habe ich bei Avaya Anlagen auch wenn die durch einen Tunnel gekoppelt werden.

 

Teste einfach :

 

policy-map global_policy

class inspection_default

no inspect h323 h225

no inspect h323 ras

[donos 10]

Hallo blackbox,

danke für den Tipp. Leider lässt sich dieser nicht durchführen, an folgender Meldung komm ich nicht vorbei :mad:

 

####1812ems(config-pmap)#class inspection_default

####% class map inspection_default not configured

####1812ems(config-pmap)#no inspect h323 h225

^

####% Invalid input detected at '^' marker.

Der Marker steht unter dem i von inspect, wird hier nur falsch dargestellt

[Wordo 11]

Du sollst das ja auf der ASA eingeben ;)

[donos 10]

ups....ok

Nur zum Verständniss.

Weshalb auf der ASA, wenn dort eingehend alles durch geht = Raus und rein

Aber auf seite der 1812 kommt mir nichts rein. Um das gehts mir, ausser ich versteh grad etwas nicht

[Wordo 11]

Wieso bist du dir da so sicher? Evtl wird durch NAT was verdreht, aber dann musst du schon beide Configs posten.

[donos 10]

Was mich meiner Meinung nach so sicher macht ist, mache ich einen Port scann auf die ASA, dann ist was benötigt wird offen, aus dem Netz (standort) der ASA auf die 1812 einen port scann los geschickt, bekomm ich nur blocked.

Ich teste von 1712 - 9090.

Sicher, ich nehm mal die relevanten Daten aus der Konmfig raus und Poste sie, denke da du damit bereits negativ Erfahrung gemacht hast wirst du es sicher eher sehen. Zumindest geht meine Hoffnung dahin. Bzgl. dem Port scann, ich denke ich lieg richtig und dreh mich nicht gerade im Kreis, "blind" geworden^^

 

Hier die Konfig der 1812,

1812.txt

[blackbox 10]

Der Port ist ja auch mit Inspect offen - nur es werden die Befehle überwacht und was nicht schön ist verworfen (aber nach aussen mit "alles OK" bestätigt) - auf dem Router solltest du falls du da eine Firewall Feature drauf hast auch die Inspects finden. Soviel von der 18er zur ASA.

 

Andere Richtung - wie du schreibst - wo alles Blocked ist - das hört sich eher nach nem Block auf der ASA an - kommt da was im Log - bzgl. was sagt das Logging auf dem 1800er wenn du das aufdrehst ?