cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Como Registrarme en Asterisk Interface wifi-Inside

Hola buenas..

Tengo 1 ASA5520 8.2, deseo que mis usuarios que están en la interface wifi se conecten al servidor Asterisk interface inside para que registren sus Softphones, No se cuales reglas aplicar para al fin..la seguridad de las interfaces son iguales a 100..actualmente en el log de trafico veo lo siguiente.

También desearía que estos usuarios usen mi servidor DNS local que esta en la Inside para que resuelvan..tampoco he dado como hacerlo..

Agradezco la orientación...

3 Jan 05 2003 21:10:51 Servidor_PBX 5060 portmap translation creation failed for udp src wifi:192.168.186.75/5060 dst inside:Servidor_PBX/5060
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas
Cisco Employee

Hola; 

Hola; 

Tienes que dejar la estatica del inside al wifi como la teniamos y agregar el global (inside) 1 interface. 

static (inside,wifi) 192.168.127.128 192.168.127.128 netmask 255.255.255.192

global (inside) 1 interface. 

Mike. 

Mike
27 RESPUESTAS
Cisco Employee

Intenta lo siguiente: 

Intenta lo siguiente: 

static (wifi, inside) 192.168.86.0 192.168.186.0 netmask 255.255.255.0 

Luego intenta de nuevo. 

Saludos. 

Mike. 

Mike
New Member

Hola buenas noches Maikol..

Hola buenas noches Maikol..

Mi red WIFI esta en este rango 192.168.186.65/26 y mi red INSIDE esta en el rango 192.168.127.129/26

Aunque adapte tu instruccion aun mis usuarios wifi no se registran al PBX que esta con la direccion 192.168.127.186

Quedo atento...

Cisco Employee

Ahh ok. 

Ahh ok. 

La estatica te quedo asi entonces? 

static (wife,inside) 192.168.186.65 192.168.186.65 netmask 255.255.255.192 

Si eso quedó configurado, me puedes mandar los logs cuando inicias una conexion? 

Mike. 

Mike
New Member

Hola..ingrese las lineas asi:

Hola..ingrese las lineas asi:

ciscoasa(config)# static (wifi,inside) 192.168.186.65 192.168.186.65 netmask 2$
global address overlaps with mask
ciscoasa(config)# static (wifi,inside) 192.168.186.64 192.168.186.64 netmask 2$
ciscoasa(config)#

Solo la ultima linea se recibio sin problemas.. pero no veo cambios..sigo con el mismo problem..

Cisco Employee

Hola;

Hola;

Te sigue saliendo el mismo error en los logs? Creo que tienes otro post abierto pero estoy casi seguro que si resuelves este se resuelven los dos. 

Mike. 

Mike
New Member

Si Igual..me sigue saliendo

Si Igual..me sigue saliendo el mismo Error que anoto al principio...

Cisco Employee

Puedes intentar hacer lo

Puedes intentar hacer lo siguiente, desde el CLI; 

packet-tracer input wifi udp 192.168.186.75 5060 <IP_servidor_PBX> 5060 

y darnos el resultado? 

Saludos. 

Mike. 

Mike
New Member

ciscoasa# packet-tracer input

ciscoasa# packet-tracer input wifi udp 192.168.186.75 5060 192.168.127.186 506$

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 192.168.127.128 255.255.255.192 inside

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: INSPECT
Subtype: inspect-sip
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect sip
service-policy global_policy global
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: DROP
Config:
nat (wifi) 1 0.0.0.0 0.0.0.0
match ip wifi any inside any
dynamic translation to pool 1 (No matching global)
translate_hits = 898, untranslate_hits = 0
Additional Information:

Result:
input-interface: wifi
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

ciscoasa#

New Member

He ingresado esto..

He ingresado esto..

static (inside,wifi) 192.168.127.128 192.168.127.128 netmask 255.255.255.192
static (wifi,inside) 192.168.186.64 192.168.186.64 netmask 255.255.255.192

Tengo este LOG ahora..luego de meter estar 2 arriba

6 Jan 09 2003 05:12:38 192.168.186.73 5060 Servidor_PBX Pre-allocate SIP Via UDP secondary channel for wifi:192.168.186.73/5060 to inside:Servidor_PBX from REGISTER message

ciscoasa# packet-tracer input wifi udp 192.168.186.73 5060 192.168.127.186 5060

Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 18513, using existing flow

Result:
input-interface: wifi
input-status: up
input-line-status: up
Action: allow

ciscoasa#

Cisco Employee

Hola; 

Hola; 

Perfecto! Si ya con eso se establecio la conexion y en este momento deberia funcionar. Ese Pre-allocate quiere decir que va a abrir puertos dinamicos de ser necesario para los flows de las llamadas. 

Que error genera al intentar registrarse ?

Saludos. 

Mike. 

Mike
New Member

Buen dia

Buen dia

Aun no veo intentos de registro en mi PBX para esos usuarios..

En el LOG del firewall sigue apareciendo la linea descrita anteriomente..pero no veo mas..

Que me faltara..aparentemente el Firewall ya enruta los requerimientos sip.. pero sera cuestion de puertos? UDP/TCP..

Quedo atento.no se que mas ver.!!!

Cisco Employee

Hola;

Hola;

No, ya para que funcione solo necesita eso. El telefono deberia registrar solo con 5060. Se pueden hacer mas pasos, como tomar el debug sip, intentar registrarse y ver la informacion.

Si quieres sacar el debug y ponerlo aca yo le puedo echar un vistazo. 

Mike. 

Mike
New Member

Solo veo estas lineas que

Solo veo estas lineas que salen seguidas en el Log del Firewall..pero en el servidor SIP no veo ninguna activida de intento..como si nada le llegara a este..

6 Jan 09 2003 20:52:02 192.168.186.78 5060 Servidor_PBX Pre-allocate SIP Via UDP secondary channel for wifi:192.168.186.78/5060 to inside:Servidor_PBX from REGISTER message
6 Jan 09 2003 20:52:02 192.168.186.78 5060 Servidor_PBX Pre-allocate SIP Via UDP secondary channel for wifi:192.168.186.78/5060 to inside:Servidor_PBX from REGISTER message
6 Jan 09 2003 20:52:02 192.168.186.78 5060 Servidor_PBX Pre-allocate SIP Via UDP secondary channel for wifi:192.168.186.78/5060 to inside:Servidor_PBX from REGISTER message
6 Jan 09 2003 20:52:02 192.168.186.78 5060 Servidor_PBX

Pre-allocate SIP Via UDP secondary channel for wifi:192.168.186.78/5060 to inside:Servidor_PBX from REGISTER

6 Jan 09 2003 20:52:02 192.168.186.78 5060 Servidor_PBX Pre-allocate SIP Via UDP secondary channel for wifi:192.168.186.78/5060 to inside:Servidor_PBX from REGISTER message
Cisco Employee

Hola; 

Hola; 

Podrias enviar la informacion con el debug en "255" debug sip 255. 

Mike 

Mike
New Member

SIP::REGISTER received from

SIP::REGISTER received from wifi:192.168.186.68/5060 to inside:Asterisk/5060
Found port 5060
Via Port 5060
SIP::Found Expires, 3600 seconds
SIP::Found User-Agent
SIP::regex engine has reached end of packet
SIP::Found CSeq 897 REGISTER
SIP::Found URI in request line "sip:192.168.127.186" (19)
SIP::Found valid SIP URI: sip:1012@192.168.127.186
SIP::Found From addr "sip:1012@192.168.127.186" (24)
SIP::Found From addr tag "U-eG35hfp" (9)
SIP::Found valid SIP URI: sip:1012@192.168.127.186
SIP::Found To addr "sip:1012@192.168.127.186" (24)
SIP::Found Via branch "z9hG4bK.ZrcsaGojv" (17)
SIP::Found Via addr "SIP/2.0/UDP 192.168.186.68:5060;branch=z9hG4bK.ZrcsaGojv;rport" (62)
SIP::Found Max-Forwards 70
SIP::Found Call-ID 6O6JYJ7BX1 (10)
SIP::Found Expires, 3600 seconds
SIP::Found valid SIP URI: sip:1012@192.168.186.68
SIP::Found Contact sip:1012@192.168.186.68
SIP::State Machine: New Request '897 REGISTER' received on existing transaction, Deleting existing transaction
Deleted SIP Transaction
Call-ID: 6O6JYJ7BX1 (10)
CSeq: 897 REGISTER
Branch: z9hG4bK.ZrcsaGojv
Created SIP Transaction for wifi:192.168.186.68/5060 to inside:Asterisk/5060
Call-ID: 6O6JYJ7BX1 (10)
CSeq: 897 REGISTER
Branch: z9hG4bK.ZrcsaGojv
>>>> SIP::Payload not modified
SIP:: Forward 672 bytes, total 672
SIP::REGISTER received from wifi:192.168.186.68/37692 to inside:Asterisk/5060
Found port 37692
Via Port 37692
Found port 37692
SIP::Found Expires, 3600 seconds
SIP::Found User-Agent
SIP::regex engine has reached end of packet
SIP::Found CSeq 1 REGISTER
SIP::Found URI in request line "sip:192.168.127.186" (19)
SIP::Found valid SIP URI: sip:1015@192.168.127.186
SIP::Found From addr "sip:1015@192.168.127.186" (24)
SIP::Found From addr tag "z9hG4bK24383749" (15)
SIP::Found valid SIP URI: sip:1015@192.168.127.186
SIP::Found To addr "sip:1015@192.168.127.186" (24)
SIP::Found Via branch "z9hG4bK21669" (12)
SIP::Found Via addr "SIP/2.0/UDP 192.168.186.68:37692;rport;branch=z9hG4bK21669" (58)
SIP::Found Max-Forwards 70
SIP::Found Call-ID 602112575842@192.168.186.68 (27)
SIP::Found Expires, 3600 seconds
SIP::Found valid SIP URI: sip:1015@192.168.186.68:37692
SIP::Found Contact sip:1015@192.168.186.68:37692
SIP::Found Content-length 0
SIP::State Machine: New Request '1 REGISTER' received on existing transaction, Deleting existing transaction
Deleted SIP Transaction
Call-ID: 602112575842@192.168.186.68 (27)
CSeq: 1 REGISTER
Branch: z9hG4bK21669
Created SIP Transaction for wifi:192.168.186.68/37692 to inside:Asterisk/5060
Call-ID: 602112575842@192.168.186.68 (27)
CSeq: 1 REGISTER
Branch: z9hG4bK21669
SIP::Updating xlate timeout for 192.168.186.68/37692 to 1:00:00
>>>> SIP::Payload not modified
SIP:: Forward 395 bytes, total 395
SIP::REGISTER received from wifi:192.168.186.68/5060 to inside:Asterisk/5060
Found port 5060
Via Port 5060
SIP::Found Expires, 3600 seconds
SIP::Found User-Agent
SIP::regex engine has reached end of packet
SIP::Found CSeq 897 REGISTER
SIP::Found URI in request line "sip:192.168.127.186" (19)
SIP::Found valid SIP URI: sip:1012@192.168.127.186
SIP::Found From addr "sip:1012@192.168.127.186" (24)
SIP::Found From addr tag "U-eG35hfp" (9)
SIP::Found valid SIP URI: sip:1012@192.168.127.186
SIP::Found To addr "sip:1012@192.168.127.186" (24)
SIP::Found Via branch "z9hG4bK.ZrcsaGojv" (17)
SIP::Found Via addr "SIP/2.0/UDP 192.168.186.68:5060;branch=z9hG4bK.ZrcsaGojv;rport" (62)
SIP::Found Max-Forwards 70
SIP::Found Call-ID 6O6JYJ7BX1 (10)
SIP::Found Expires, 3600 seconds
SIP::Found valid SIP URI: sip:1012@192.168.186.68
SIP::Found Contact sip:1012@192.168.186.68
SIP::State Machine: New Request '897 REGISTER' received on existing transaction, Deleting existing transaction
Deleted SIP Transaction
Call-ID: 6O6JYJ7BX1 (10)
CSeq: 897 REGISTER
Branch: z9hG4bK.ZrcsaGojv
Created SIP Transaction for wifi:192.168.186.68/5060 to inside:Asterisk/5060
Call-ID: 6O6JYJ7BX1 (10)
CSeq: 897 REGISTER
Branch: z9hG4bK.ZrcsaGojv
>>>> SIP::Payload not modified
SIP:: Forward 672 bytes, total 672

Cisco Employee

Ok, Todo se ve bien ahi, lo

Ok, Todo se ve bien ahi, lo que pasa es que el telefono como que intenta enviar un nuevo request, tal vez porque ve que no le ha llegado nada... 

Puedes tomar capturas?

capture wifi interface wifi match ip 192.168.186.64 255.255.255.192 192.168.127.128 255.255.255.192

capture inside interface inside match ip 192.168.186.64 255.255.255.192 192.168.127.128 255.255.255.192

Una vez que tengas esto desde un computador donde tengas acceso a ASDM, abre un browser y escribe:

https://<asdm_ip>/capture/wifi/pcap 

Esa es la captura en pcap para verlo con wireshark, has lo mismo con el del inside 

https://<asdm_ip>/capture/inside/pcap 

Como no veo nada en los debugs y se ve como que paquetes no estuvieran pasando la idea de las capturas es ver cuales son los paquetes que no pasan (si eso fuera el problema). 

Es importante que cuando pongas las capturas en las interfaces, hagas un clear capture all y despues intentes registrarte, despues de eso baja las capturas. 

Intenta esto de dos maneras, con el inspection de SIP y sin el. 

Mike. 

Mike
New Member

Pues la verdad yo no veo nada

Pues la verdad yo no veo nada raro en los Logs.. veo que intenta varias veces el registro..es decir se queda como en un bucle ahí..nada de errores..

Anexo los 2 logs..para ver en Wireshark

Cisco Employee

Si; 

Si; 

Viendo las capturas no se ve nada raro.Se ve el register del cliente pero nada de vuelta por parte del Asterisk. 

Desde el Asterisk puedes hacer ping hacia la interfaz de wifi? Si pusiste el capture como lo puse en el post de arriba, pues quiere decir que a la interfaz del inside no le esta llegando paquetes por parte del servidor. 

Mike. 

Mike
New Member

Bueno el servidor Asterisk se

Bueno el servidor Asterisk se encuentra en la Interface INSIDE, en esta interfaces se encuentran varios teléfonos cisco 7911/7970G/9971 , 2 GrandStream , 1 Cisco2901 que me hace de Gateway hacia la PSTN con 1 tarjeta 4xFXO todos estos equipos funcionan sin problemas se registran y andan...

Con la duda que tengo en estos momentos, cambie 1 AP(wifi) a la interface inside para salir de dudas que fueran los Softphone que tuvieran algún problema.para ingresar los equipos móviles...apenas ingresaron estas tabletas.. de una se registraron sus Softphones al Asterisk..

Así que básicamente este hilo se reduciría a poder publicar este servidor ASTERISK en la interface WIFI.. adicional me ayudaría a publicar el servidor DNS local a estos usuarios..que es el otro Post que tengo aqui colgado..

Interface INSIDE y WIFI con iguales niveles de seguridad de 100

Ya estoy a punto de rendirme..!!! o de volver a reconfigurar el ASA5520 8.2(5), he estado borrándole lineas que no tienen ninguna función..

Sigo en la juega a ver...

Cisco Employee

Si, correcto, lo que pasa es

Si, correcto, lo que pasa es que en las capturas no vi trafico del Asterisk hacia la interfaz de Wifi... si vi paquetes desde el Wifi al inside, pero no de vuelta..... podemos hacer algo para probar la teoria... 

Quita, la estatica (wifi,inside) y pon un global (inside) 1 interface. 

Intenta de nuevo. 

Mike. 

Mike
New Member

Al hacer lo que me dices.

Al hacer lo que me dices..ahora tengo estos logs

5 Jan 28 2016 17:33:38 Asterisk 5060 Asymmetric NAT rules matched for forward and reverse flows; Connection for udp src wifi:192.168.186.68/5060 dst inside:Asterisk/5060 denied due to NAT reverse path failure
5 Jan 28 2016 17:33:37 Asterisk 5060 Asymmetric NAT rules matched for forward and reverse flows; Connection for udp src wifi:192.168.186.68/5060 dst inside:Asterisk/5060 denied due to NAT reverse path failure
6 Jan 28 2016 17:33:37 192.168.186.68 5060 192.168.127.129 18019 Built dynamic UDP translation from wifi:192.168.186.68/5060 to inside:192.168.127.129/18019
Cisco Employee

Puedes mandar el sh run nat,

Puedes mandar el sh run nat, sh run static y el sh run policy map ? 

Mike. 

Mike
New Member

ciscoasa# sh run natnat (dmz4

ciscoasa# sh run nat
nat (dmz4) 1 172.25.2.0 255.255.255.248
nat (inside) 1 192.168.127.128 255.255.255.192
nat (wifi) 1 192.168.186.64 255.255.255.192
nat (hotspot) 1 172.16.0.0 255.255.255.192

ciscoasa# sh run static
ciscoasa#

ciscoasa# sh run policy map
ERROR: % policy-map map does not exist
ciscoasa#

Cisco Employee

Hola; 

Hola; 

Tienes que dejar la estatica del inside al wifi como la teniamos y agregar el global (inside) 1 interface. 

static (inside,wifi) 192.168.127.128 192.168.127.128 netmask 255.255.255.192

global (inside) 1 interface. 

Mike. 

Mike
New Member

Anexo parte de mi

Anexo parte de mi configuracion..

interface Management0/0
nameif management
security-level 100
ip address 192.168.127.188 255.255.255.0
management-only
!
interface GigabitEthernet1/0
description INTERNET-SWITCH VLAN100
media-type sfp
nameif outside
security-level 0
ip address dhcp setroute
!
interface GigabitEthernet1/1
description RED LAN LOCAL
media-type sfp
nameif inside
security-level 100
ip address 192.168.127.129 255.255.255.192
!
interface GigabitEthernet1/2
description WIFI-RADIUS
nameif wifi
security-level 100
ip address 192.168.186.66 255.255.255.192
!
interface GigabitEthernet1/3
description HOTSPOT
nameif hotspot
security-level 100
ip address 172.16.0.1 255.255.255.192

.

ftp mode passive
clock timezone COST -5
dns domain-lookup outside
dns domain-lookup inside
dns domain-lookup wifi
dns domain-lookup hotspot
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service Internet-udp udp
description UDP Standard Internet Services
port-object eq domain
port-object eq ntp
port-object eq isakmp
port-object eq 4500
port-object eq sip
port-object eq snmp
port-object eq tftp
port-object eq radius
port-object eq radius-acct
object-group service Internet-tcp tcp
description TCP Standard Internet Services
port-object eq www
port-object eq https
port-object eq smtp
port-object eq 465
port-object eq pop3
port-object eq 995
port-object eq ftp
port-object eq ftp-data
port-object eq domain
port-object eq ssh
port-object eq telnet
port-object eq 10000
port-object eq 81
port-object eq 32400
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service DM_INLINE_TCP_0 tcp
port-object eq www
port-object eq https
access-list outside_access_in extended permit tcp any host 192.168.10.1 object-group DM_INLINE_TCP_0
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit udp any any
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list inside_access_in extended permit ip 192.168.127.128 255.255.255.192 any
access-list inside_access_in extended permit udp 192.168.186.64 255.255.255.192 any object-group Internet-udp
access-list inside_access_in extended permit tcp 192.168.186.64 255.255.255.192 any object-group Internet-tcp
access-list inside_access_in extended permit udp 192.168.127.128 255.255.255.192 any object-group Internet-udp
access-list inside_access_in extended permit tcp 192.168.127.128 255.255.255.192 any object-group Internet-tcp
access-list inside_mpc extended permit tcp any any eq www
access-list inside_mpc extended permit tcp any any eq 3128
access-list wifi_mpc extended permit tcp any any eq www
access-list proxyclients extended permit tcp any any eq www
access-list proxyservers extended permit ip host proxy.lacastellaza.co any
pager lines 24
logging enable
logging asdm informational
mtu dmz2 1500
mtu dmz4 1500
mtu management 1500
mtu outside 1500
mtu inside 1500
mtu wifi 1500
mtu hotspot 1500
ip local pool VPN_Lacastellaza 172.20.10.1-172.20.10.100 mask 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
asdm image disk0:/asdm-647.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (dmz4) 1 0.0.0.0 0.0.0.0
nat (inside) 1 0.0.0.0 0.0.0.0
nat (wifi) 1 0.0.0.0 0.0.0.0
nat (hotspot) 1 0.0.0.0 0.0.0.0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.10.1 1

New Member

Oooopsss..!!!! 

Oooopsss..!!!! 

Si señor..Funciono...!!! pudo registrarse....y me sirvio tambien  para el servidor DNS

Excelente..Muchas Gracias !!!!

Cisco Employee

Hola; 

Hola; 

De nada, perfecto que ya todo funcionó :). 

Cualquier otra cosa me avisas. 

Mike. 

Mike
194
Visitas
65
ÚTIL
27
Respuestas
CrearPor favor para crear contenido