Configurazione di un firewall FortiGate 40F con 3CX

Introduzione

Firewall FortiGate

Questo documento descrive la configurazione del FortiGate 40F utilizzando il firmware maturo 7.0.X. Questa procedura dovrebbe essere compatibile con qualsiasi dispositivo con questo firmware o successivo.

Passo 1: Disabilitare SIP ALG

La funzionalità SIP ALG deve essere disabilitata tramite la CLI del Fortigate.

config system settings

set sip-expectation disable

set sip-nat-trace disable

set default-voip-alg-mode kernel-helper-based

end

config voip profile

edit default

config sip

set rtp disable

end

end

Successivamente, è necessario rimuovere l'helper di sessione

  1. Eseguire i seguenti comandi:

config system session-helper

Show

  1. Tra le impostazioni visualizzate ce ne sarà una simile al seguente esempio:

edit 13

set name sip

set protocol 17

set port 5060

  1. In questo esempio i comandi successivi saranno:

delete 13

end

Ora riavvia il firewall utilizzando la GUI o la CLI!

Il comando CLI è:

  • execute reboot

Passo 2: Creare una regola in uscita per 3CX

Creazione di una regola in uscita

  1. Andare a "Criteri e oggetti" > "Criteri firewall".
  2. Fare clic su "Crea nuovo".
  1. "Nome": assegnare un nome alla politica del firewall per facilitarne l'identificazione.
  2. "Interfaccia in entrata": Selezionare l'interfaccia lan o l'interfaccia dove si trova il server 3CX.
  3. "Interfaccia in uscita": Selezionare l'interfaccia wan.
  4. "Sorgente": Selezionare il proprio server 3CX
  5. "Destinazione": Selezionare "tutti".
  6. "Pianifica": Usa il default del sistema (sempre)
  7. "Servizio": Selezionare i servizi 3cx creati in precedenza e le porte per push, DNS e SMTP.
  8. "Azione": Utilizza l'impostazione predefinita del sistema (ACCEPT)
  9. "NAT": Utilizzare l'impostazione predefinita del sistema (CHECK).

Ulteriori informazioni sulle porte utilizzate da 3CX:  https://www.3cx.it/doc/manuale/configurazione-router-firewall/

Passo 3: Creare una regola in entrata per accedere al server 3CX da remoto

Creare una regola in entrata

Creare un IP virtuale

È necessario creare 1 IP virtuale per ogni porta di servizio da inoltrare al server 3CX.

  1. Andare a "Politica e oggetti" > "IP virtuali".
  2. Cliccare su "Crea nuovo" > "IP virtuale".
  1. "Nome": dare un nome all'IP virtuale per facilitarne l'identificazione.
  2. "Interfaccia": Impostare l'interfaccia dove si trova l'IP pubblico.
  3. "Indirizzo IP esterno": Inserire l'indirizzo IP esterno dell'accesso a Internet
  4. "Mappa su indirizzo IPV4": Inserire l'indirizzo IP interno del server del centralino 3CX.
  5. "Port forwarding": selezionare la casella "port forwarding" per accedere al menu
  6. "Protocollo": impostare il tipo di protocollo a seconda della porta o delle porte che si stanno inoltrando (TCP o UDP).
  7. "Tipo di mappatura delle porte": utilizzare l'impostazione predefinita del sistema "Uno a uno".
  8. "Porta di servizio esterna": Inserire la porta esterna, comunemente uguale alla porta esterna
  9. "Mappa su porta IPv4": Inserire la porta interna.
  1. Una volta creati tutti gli IP virtuali, l'aspetto dovrebbe essere simile all'esempio seguente

Esempio dell'IP e il derver 3CX

In questo esempio, il nostro IP esterno è 1.2.3.4 e l'IP del server 3CX è 192.168.10.10.

Suggerimenti: è possibile creare un gruppo di IP virtuali che contiene tutti gli IP virtuali per semplificare la configurazione delle politiche di Firewall.

Create Firewall Object

Per creare il criterio del firewall, è necessario creare un oggetto firewall

Inserire oggetto firewall

  1. Andare a "Criteri e oggetti" > "Servizi".
  2. Fare clic su "Crea nuovo" > "Servizio".
  1. "Nome": Assegnare un nome al servizio per facilitarne l'identificazione.
  2. "Tipo di protocollo": Utilizzare il protocollo TCP/UDP/SCTP predefinito dal sistema.
  3. "Indirizzo": Usare l'impostazione predefinita del sistema 0.0.0.0
  4. "Porta di destinazione": Elencare tutte le porte per il 3CX.
  5. "Specificare le porte di origine": Lasciare deselezionare

Creare una politica firewall

Crea un politica firewall

  1. È necessario creare una politica di firewall per consentire il traffico dall'esterno verso il 3CX.
  1. Andare in "Criteri e oggetti" > "Criteri del firewall".
  2. Fare clic su "Crea nuovo".
  3. "Nome": Nome della politica di Firewall per una più facile identificazione.
  4. "Interfaccia in entrata": Interfaccia di origine da cui si accede a Internet.
  5. "Interfaccia in uscita": Interfaccia dove si trova il server 3CX (in un'interfaccia vlan nel nostro esempio).
  6. "Sorgente": Indirizzo IP da cui provengono le connessioni (usare tutti per connettersi al 3CX da qualsiasi luogo)
  7. "Destinazione": Selezionare tutti gli IP virtuali creati in precedenza
  8. "Schedule": Usare il default del sistema (sempre)
  9. "Servizio": Selezionare i servizi 3cx creati in precedenza.
  10. "Azione": Usare l'impostazione predefinita del sistema (ACCEPT)
  11. "NAT": Deselezionare il NAT in modo che il 3CX veda gli indirizzi remoti.

Ulteriori informazioni sulle porte utilizzate dal 3CX: https://www.3cx.it/doc/manuale/configurazione-router-firewall/

Passo 4: Creare la risoluzione DNS interna (Split DNS)

Affinché il 3CX funzioni correttamente a livello locale, è necessario essere in grado di raggiungere il server tramite il suo FQDN a livello locale (senza andare su Internet). Per questo è necessario configurare un server DNS sul Fortigate e creare una voce DNS che faccia corrispondere il suo FQDN con il suo IP privato.

I computer e i telefoni IP devono avere l'interfaccia LAN del Fortigate come server DNS.

Creare la risoluzione DNS interna

  1. Andare a "Sistema" > "Visibilità delle funzioni".
  2. Selezionare "Database DNS" Una volta selezionata questa casella, possiamo configurare il server DNS.
  3. Andare a "Rete" > "Server DNS".
  4. Fare clic su "Crea nuovo" per il servizio DNS sull'interfaccia.
  5. È necessario selezionare tutte le interfacce LAN in modalità "ricorsiva" in modo che il servizio DNS sia attivo su di esse.

Server DNS

  1. Fare clic su "Crea nuovo" su Database DNS.
  1. "Tipo": Utilizzare l'impostazione predefinita del sistema (Primario)
  2. "View": Utilizzare l'impostazione predefinita del sistema (Ombra).
  3. "Zona DNS": Nome della zona DNS
  4. "Nome di dominio": dominio del vostro server 3CX (in questo esempio il nostro FQDN è [email protected] quindi il nostro nome di dominio è 3cx.com)
  5. "Hostname of Primary DNS": Usare il default del sistema (Dns)
  6. "TTL": Utilizzare l'impostazione predefinita del sistema
  7. "Autoritario": Deselezionare questa opzione

Scelta del server DNS

  1. Aggiungere voci DNS utilizzando "Crea nuovo".
  1. "Tipo": Impostare l'indirizzo (A)
  2. "Hostname": Imposta il nome dell'host (in questo esempio il nostro FQDN è [email protected] quindi il nostro hostname è example)
  3. "Indirizzo IP": Imposta l'indirizzo IP del tuo server 3CX.

Modifica voce dns

Testa la tua configurazione. Prova a risolvere l'FQDN del 3CX mentre si è sulla LAN; deve restituire l'indirizzo interno.

Convalida della configurazione

Accedere alla console di gestione 3CX → Dashboard → Firewall ed eseguire il 3CX Firewall Checker. Questo convaliderà se il firewall è configurato correttamente per l'uso con il 3CX. Ulteriori informazioni sul Firewall Checker sono disponibili qui.

Ultimo aggiornamento

Questo documento è stato aggiornato l'ultima volta il 7 luglio 2023.

https://www.3cx.it/doc/configurazione-firewall-fortigate/

Discuti questo articolo