Configurazione di un firewall FortiGate 40F con 3CX
- Introduzione
- Passo 1: Disabilitare SIP ALG
- Passo 2: Creare una regola in uscita per 3CX
- Passo 3: Creare una regola in entrata per accedere al server 3CX da remoto
- Creare un IP virtuale
- Create Firewall Object
- Creare una politica firewall
- Passo 4: Creare la risoluzione DNS interna (Split DNS)
- Convalida della configurazione
Introduzione
Questo documento descrive la configurazione del FortiGate 40F utilizzando il firmware maturo 7.0.X. Questa procedura dovrebbe essere compatibile con qualsiasi dispositivo con questo firmware o successivo.
Passo 1: Disabilitare SIP ALG
La funzionalità SIP ALG deve essere disabilitata tramite la CLI del Fortigate.
set sip-expectation disable set sip-nat-trace disable set default-voip-alg-mode kernel-helper-based end config voip profile edit default config sip set rtp disable end end
Successivamente, è necessario rimuovere l'helper di sessione
- Eseguire i seguenti comandi:
Show
- Tra le impostazioni visualizzate ce ne sarà una simile al seguente esempio:
set name sip set protocol 17 set port 5060
- In questo esempio i comandi successivi saranno:
end
Ora riavvia il firewall utilizzando la GUI o la CLI!
Il comando CLI è:
- execute reboot
Passo 2: Creare una regola in uscita per 3CX
- Andare a "Criteri e oggetti" > "Criteri firewall".
- Fare clic su "Crea nuovo".
- "Nome": assegnare un nome alla politica del firewall per facilitarne l'identificazione.
- "Interfaccia in entrata": Selezionare l'interfaccia lan o l'interfaccia dove si trova il server 3CX.
- "Interfaccia in uscita": Selezionare l'interfaccia wan.
- "Sorgente": Selezionare il proprio server 3CX
- "Destinazione": Selezionare "tutti".
- "Pianifica": Usa il default del sistema (sempre)
- "Servizio": Selezionare i servizi 3cx creati in precedenza e le porte per push, DNS e SMTP.
- "Azione": Utilizza l'impostazione predefinita del sistema (ACCEPT)
- "NAT": Utilizzare l'impostazione predefinita del sistema (CHECK).
Ulteriori informazioni sulle porte utilizzate da 3CX: https://www.3cx.it/doc/manuale/configurazione-router-firewall/
Passo 3: Creare una regola in entrata per accedere al server 3CX da remoto
Creare un IP virtuale
È necessario creare 1 IP virtuale per ogni porta di servizio da inoltrare al server 3CX.
- Andare a "Politica e oggetti" > "IP virtuali".
- Cliccare su "Crea nuovo" > "IP virtuale".
- "Nome": dare un nome all'IP virtuale per facilitarne l'identificazione.
- "Interfaccia": Impostare l'interfaccia dove si trova l'IP pubblico.
- "Indirizzo IP esterno": Inserire l'indirizzo IP esterno dell'accesso a Internet
- "Mappa su indirizzo IPV4": Inserire l'indirizzo IP interno del server del centralino 3CX.
- "Port forwarding": selezionare la casella "port forwarding" per accedere al menu
- "Protocollo": impostare il tipo di protocollo a seconda della porta o delle porte che si stanno inoltrando (TCP o UDP).
- "Tipo di mappatura delle porte": utilizzare l'impostazione predefinita del sistema "Uno a uno".
- "Porta di servizio esterna": Inserire la porta esterna, comunemente uguale alla porta esterna
- "Mappa su porta IPv4": Inserire la porta interna.
- Una volta creati tutti gli IP virtuali, l'aspetto dovrebbe essere simile all'esempio seguente
In questo esempio, il nostro IP esterno è 1.2.3.4 e l'IP del server 3CX è 192.168.10.10.
Suggerimenti: è possibile creare un gruppo di IP virtuali che contiene tutti gli IP virtuali per semplificare la configurazione delle politiche di Firewall.
Create Firewall Object
Per creare il criterio del firewall, è necessario creare un oggetto firewall
- Andare a "Criteri e oggetti" > "Servizi".
- Fare clic su "Crea nuovo" > "Servizio".
- "Nome": Assegnare un nome al servizio per facilitarne l'identificazione.
- "Tipo di protocollo": Utilizzare il protocollo TCP/UDP/SCTP predefinito dal sistema.
- "Indirizzo": Usare l'impostazione predefinita del sistema 0.0.0.0
- "Porta di destinazione": Elencare tutte le porte per il 3CX.
- "Specificare le porte di origine": Lasciare deselezionare
Creare una politica firewall
- È necessario creare una politica di firewall per consentire il traffico dall'esterno verso il 3CX.
- Andare in "Criteri e oggetti" > "Criteri del firewall".
- Fare clic su "Crea nuovo".
- "Nome": Nome della politica di Firewall per una più facile identificazione.
- "Interfaccia in entrata": Interfaccia di origine da cui si accede a Internet.
- "Interfaccia in uscita": Interfaccia dove si trova il server 3CX (in un'interfaccia vlan nel nostro esempio).
- "Sorgente": Indirizzo IP da cui provengono le connessioni (usare tutti per connettersi al 3CX da qualsiasi luogo)
- "Destinazione": Selezionare tutti gli IP virtuali creati in precedenza
- "Schedule": Usare il default del sistema (sempre)
- "Servizio": Selezionare i servizi 3cx creati in precedenza.
- "Azione": Usare l'impostazione predefinita del sistema (ACCEPT)
- "NAT": Deselezionare il NAT in modo che il 3CX veda gli indirizzi remoti.
Ulteriori informazioni sulle porte utilizzate dal 3CX: https://www.3cx.it/doc/manuale/configurazione-router-firewall/
Passo 4: Creare la risoluzione DNS interna (Split DNS)
Affinché il 3CX funzioni correttamente a livello locale, è necessario essere in grado di raggiungere il server tramite il suo FQDN a livello locale (senza andare su Internet). Per questo è necessario configurare un server DNS sul Fortigate e creare una voce DNS che faccia corrispondere il suo FQDN con il suo IP privato.
I computer e i telefoni IP devono avere l'interfaccia LAN del Fortigate come server DNS.
- Andare a "Sistema" > "Visibilità delle funzioni".
- Selezionare "Database DNS" Una volta selezionata questa casella, possiamo configurare il server DNS.
- Andare a "Rete" > "Server DNS".
- Fare clic su "Crea nuovo" per il servizio DNS sull'interfaccia.
- È necessario selezionare tutte le interfacce LAN in modalità "ricorsiva" in modo che il servizio DNS sia attivo su di esse.
- Fare clic su "Crea nuovo" su Database DNS.
- "Tipo": Utilizzare l'impostazione predefinita del sistema (Primario)
- "View": Utilizzare l'impostazione predefinita del sistema (Ombra).
- "Zona DNS": Nome della zona DNS
- "Nome di dominio": dominio del vostro server 3CX (in questo esempio il nostro FQDN è [email protected] quindi il nostro nome di dominio è 3cx.com)
- "Hostname of Primary DNS": Usare il default del sistema (Dns)
- "TTL": Utilizzare l'impostazione predefinita del sistema
- "Autoritario": Deselezionare questa opzione
- Aggiungere voci DNS utilizzando "Crea nuovo".
- "Tipo": Impostare l'indirizzo (A)
- "Hostname": Imposta il nome dell'host (in questo esempio il nostro FQDN è [email protected] quindi il nostro hostname è example)
- "Indirizzo IP": Imposta l'indirizzo IP del tuo server 3CX.
Testa la tua configurazione. Prova a risolvere l'FQDN del 3CX mentre si è sulla LAN; deve restituire l'indirizzo interno.
Convalida della configurazione
Accedere alla console di gestione 3CX → Dashboard → Firewall ed eseguire il 3CX Firewall Checker. Questo convaliderà se il firewall è configurato correttamente per l'uso con il 3CX. Ulteriori informazioni sul Firewall Checker sono disponibili qui.
Ultimo aggiornamento
Questo documento è stato aggiornato l'ultima volta il 7 luglio 2023.