Configurazione del firewall pfSense con 3CX

Introduzione

Questo documento descrive la configurazione di pfSense v2.5.2+ per l'uso con 3CX. Questa guida è stata scritta per gli amministratori di PBX su reti con un singolo IP WAN, o che utilizzano il loro IP WAN primario per il 3CX. Nel nostro esempio, supponiamo che il server 3CX abbia un indirizzo IP interno di 192.168.3.155 e che pfSense sia in ascolto su 192.168.3.1. Utilizziamo anche un indirizzo IP pubblico di 1.2.3.4 e un FQDN di "service.tigunia.com" negli screenshot dell'esempio di Split Brain DNS.

Passo 1: Configurare l'inoltro delle porte (NAT)

Modifica della voce NAT nel firewall pfSense.

Accedere alla console di gestione web di pfSense e:

  1. Navigare in "Firewall" > "NAT".
  1. Utilizzare il pulsante "Aggiungi" sulla destra per aggiungere una nuova regola.
  2. Creare regole NAT per tutte le porte che devono essere inoltrate, in base a questa lista.
  1. "Protocollo": Impostare il tipo di protocollo in base alle porte da inoltrare.
  2. "Intervallo porte di destinazione": Selezionare la porta o l'intervallo di porte per la voce NAT. Se la porta non è predefinita, come nel caso di SIP, inserire i numeri di porta personalizzati.
  3. "IP di destinazione del reindirizzamento": Inserire l'indirizzo IP interno del centralino 3CX.
  4. "Porta di destinazione del reindirizzamento": Inserire la porta interna, di solito uguale alla porta esterna.
  5. "Descrizione": Etichettare la regola per facilitarne l'identificazione.
  6. "Riflessione NAT": Utilizza l'impostazione predefinita del sistema.
  7. "Associazione regola filtro": Aggiungere la regola di filtro associata.
  8. Fare clic su "Salva" e poi su "Applica" per attivare la configurazione e ripetere questi passaggi per ogni voce NAT richiesta.
  1. Ripetere il passaggio #3 per ogni porta inoltrata.
  2. Dopo aver aggiunto tutte le regole di port forward, l'aspetto dovrebbe essere simile a quello dell'esempio seguente.

Porte inoltrate nel firewall pfSense.

Passo 2: Conservazione delle porte (Full Cone NAT)

Full Cone NAT nel firewall pfSense.

  1. Andare su "Firewall" > "NAT" > "In uscita".
  2. Impostare il tipo da automatico a "ibrido" e premere "Salva".

Modificare la voce Advanced Outbound NAT nel firewall pfSense.

  1. Ora creare una nuova "Regola di mappatura" come nell'esempio precedente per impostare:
  1. "Sorgente" per l'IP della LAN dell'host 3CX, ad esempio 192.168.3.155.
  2. "Porta o intervallo" - abilitare "Porta statica".
  1. Per garantire il funzionamento, spostare la regola nella prima posizione della "tabella Mappings NAT", come mostrato nella prima schermata di questa sezione.
  2. Assicurarsi di aver applicato le impostazioni in entrambe le pagine "Inoltro porta" e "In uscita".

Passo 3: Gestione FQDN

Nella fase successiva di questa guida, è necessario scegliere come gestire il FQDN 3CX all'interno della rete. Ci sono due opzioni: Split Brain DNS o Hairpin NAT. Split Brain DNS ha il vantaggio di mantenere il traffico della rete 3CX all'interno della rete e di non inviarlo all'interfaccia WAN, ma ha una configurazione più complicata. Hairpin NAT è più facile da configurare, ma consuma più traffico WAN e può risultare in una scarsa qualità delle chiamate in alcune situazioni. Si consiglia di utilizzare il DNS Split Brain quando possibile.

Opzione 1: Configurazione di Split Brain DNS

  1. Andare su "Servizi" > "Risolutore DNS".
    Gestione dell'FQDN
  2. Nella scheda Impostazioni generali, assicurarsi che il Risolutore DNS sia abilitato.
    Opzioni DNS General
  3. Assicurarsi che sotto "Interfacce di rete" sia selezionato "Tutte" (o qualsiasi interfaccia specifica su cui si desidera che DNS Resolver sia in ascolto - tipicamente LAN).
    Interfaccia network
  4. Assicurarsi che l'inoltro delle query DNS sia abilitato
  5. In fondo alla pagina, nella sezione Host Overrides, fare clic su "Aggiungi".
    Host overrides
  6. Aggiungere l'host, il dominio, l'indirizzo IP come richiesto, quindi fare clic su "Salva". L'host sarà la prima parte del tuo FQDN 3CX e il dominio sarà l'ultima parte del tuo FQDN 3CX. L'indirizzo IP sarà l'indirizzo IP interno del centralino 3CX.
    Modifica Host override
  7. Assicurati che i tuoi dispositivi usino pfSense per la risoluzione DNS (o che usino un dispositivo che faccia il forwarding a pfSense per le query sconosciute). Questa configurazione è solitamente gestita dal server DHCP e dai server DNS che distribuisce.

Opzione 2: Configurazione di Hairpin NAT

  1. Andare in "Sistema" > "Avanzate".
  2. Cambiare "Modalità di riflessione NAT per l'inoltro delle porte" in "Pure NAT", attivare la casella di controllo "Abilita la riflessione NAT per 1:1 NAT" e attivare la casella di controllo "Abilita il NAT automatico in uscita per la riflessione".
    Configurazione di Hairpin NAT

Passo 4: Convalida della configurazione

Per convalidare la tua configurazione NAT/Port Forwarding, vai a "Dashboard" > "Firewall" nella console di gestione 3CX per eseguire il 3CX Firewall Checker per convalidare se il tuo firewall è configurato correttamente per l'uso con il 3CX. Vedere maggiori informazioni sul Firewall Checker.

Per convalidare la configurazione DNS di Split Brain, si può usare lo strumento nslookup (all'interno della rete / dietro il firewall pfSense) per convalidare la risoluzione DNS. Basta digitare "nslookup <fqdn> <dns-server>" dove <fqdn> è il tuo FQDN 3CX e <dns-server> è l'IP del server DNS che desideri interrogare. Quando si interroga un server DNS esterno si dovrebbe vedere restituito il proprio IP WAN e quando si interroga il proprio DNS Resolver interno pfSense si dovrebbe vedere restituito l'indirizzo IP interno del centralino 3CX.

  1. L'esempio seguente mostra la verifica della risoluzione dell'IP esterno dell'FQDN "service.tigunia.com" rispetto ai server DNS pubblici di Google (8.8.8.8):
    Servizio utente lookup
  2. L'esempio seguente mostra il controllo della risoluzione IP interna dell'FQDN "service.tigunia.com" rispetto al Resolver interno di pfSense (192.168.3.1):
    Servizio configurazione utente lookup

Per convalidare la configurazione Hairpin NAT, provare ad accedere all'FQDN del 3CX da un computer all'interno della rete per FQDN. Se si riesce a caricare il webclient, il NAT Hairpinning dovrebbe funzionare.

In alcuni casi potrebbe essere necessario riavviare il firewall perché le modifiche abbiano effetto.

Se i telefoni remoti o il provider VoIP funzionano perlopiù ma si disconnettono a caso, si deve prendere in considerazione la possibilità di modificare questa opzione.

  1. Andare in "Sistema" > "Avanzate".
  2. Impostare "Opzioni di ottimizzazione del firewall" su "Conservativo".
  3. Fare clic su "Salva".

Per saperne di più

Ultimo aggiornamento

Questo documento è stato aggiornato l'ultima volta il 20 giugno 2023.

https://www.3cx.it/doc/configurazione-firewall-pfsense/ 

Discuti questo articolo