iptables + vpnc + Cisco IP-Telefon 7941

1209
asdfgg

Ich habe ein Linux-Gateway mit Kernel 2.6.39, das mit einem Cisco ASA 5500 mit vpnc verbunden ist. Ich verwende iptables mit Masquerading und Forwarding, um dem LAN Zugriff auf das mit dem VPN verbundene tun0-Gerät zu gewähren.

Mein Cisco IP-Telefon 7941 kann eine Verbindung zum Anrufmanager herstellen, aber ich bekomme nur Einwegaudio, wenn ein Anruf aufgebaut ist. tcpdump -i any auf meinem LAN-Gateway zeigt den RTP-Datenverkehr an, der von der IP-Adresse meines Telefons stammt, dann von NAT an die tun0-Adresse gesendet wird und schließlich über meine in esp gekapselte ext-Schnittstelle geht. "tcpdump" auf der Schnittstelle "tun0" zeigt nur den Verkehr an, der von der IP-Adresse "tun0 src" zum RTP-Ziel geleitet wird. Aus Sicht meines LAN wird der ausgehende RTTP-Verkehr korrekt übersetzt.

Das asa syslog zeigt jedoch meine LAN-IP-Adresse - nicht meine tun0-Adresse - an, die auf dem Remote-VPN-Server abgelegt wurde. Anregungen, wie Sie mit der Fehlerbehebung fortfahren können?

0
Outbound RTP-Stream ist also ungehindert? Wo hört der eingehende RTP-Stream auf? Möglicherweise gibt es dort eine Firewall, die eine Art Alg, Spi oder eine andere Form der Intrusion Detection-Einrichtung hat. Das andere häufige Problem mit Einweg-Audio ist ein Problem mit der Port-Triggerung oder einem schlechten NAT-Durchlauf. Vergewissern Sie sich, dass alle Ports auf dem gesamten Pfad geöffnet sind. MaQleod vor 12 Jahren 0
Outbound RTP ist in Ordnung. Sieht aus, als hätte RTP auf dem Telefonserver eine Src-IP, die nicht auf das Firmennetzwerk routbar ist, mit dem ich mich verbinde. siehe Protokoll unten. Anscheinend wird das IP-Telefon nicht richtig nat'ed, aber auf meinem Router zu Hause zeigt tcpdump, dass nat stattfindet. % ASA-4-402116: Das entkapselte innere Paket stimmt nicht mit der ausgehandelten Richtlinie in der Sicherheitszuordnung überein. Das Paket gibt sein Ziel als xxx.xxx, seine Quelle als MYHOMELANIP und sein Protokoll als 6 an. Die SA gibt ihren lokalen Proxy als 0.0.0.0/0.0.0.0/0/0/0 und ihr Remote-Proxy als MYVPN_PPPADDR / 255.255.255.255 / 0 an / 0. asdfgg vor 12 Jahren 0

1 Antwort auf die Frage

0
BurbertBlokenberg

Von http://docwiki.cisco.com/wiki/Cisco_Unified_Communications_--_One-Way_Audio :

"Eine häufige Ursache für One-Way- oder No-Way-Audio liegt vor, wenn Network Address Translation (NAT), Port Address Translation (PAT) oder Firewalls zwischen zwei Endpunkten vorhanden sind. Das SCCP-Protokoll bettet IP-Adressen in die Nutzdaten des IP-Pakets ein, um welche zu signalisieren IP-Adresse, an die RTP-Pakete gesendet werden sollen. Wenn das Gerät, das NAT oder PAT ausführt, diese Tatsache nicht kennt, werden die eingebetteten IP-Adressen nicht übersetzt. Daher führt dies zu unidirektionalem oder No-way-Audio. "

Verwenden Sie http://oisec.net/download/skinny/1.48/skinny-proxy.pl für Ihr Gateway. Er überwacht Port 2000 und leitet Anrufe von Ihrem IP-Telefon an den Anrufmanager weiter. Benutzen:

iptables -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 2000 -j REDIRECT --to-ports 2000

um den LAN-Verkehr auf Skinny-Proxy umzuleiten. Es klappt.

Verwandte Probleme