Configurazione del firewall pfSense con 3CX
Introduzione
Questo documento descrive la configurazione di pfSense v2.5.2+ per l'uso con 3CX. Questa guida è stata scritta per gli amministratori di PBX su reti con un singolo IP WAN, o che utilizzano il loro IP WAN primario per il 3CX. Nel nostro esempio, supponiamo che il server 3CX abbia un indirizzo IP interno di 192.168.3.155 e che pfSense sia in ascolto su 192.168.3.1. Utilizziamo anche un indirizzo IP pubblico di 1.2.3.4 e un FQDN di "service.tigunia.com" negli screenshot dell'esempio di Split Brain DNS.
Passo 1: Configurare l'inoltro delle porte (NAT)
Accedere alla console di gestione web di pfSense e:
- Navigare in "Firewall" > "NAT".
- Utilizzare il pulsante "Aggiungi" sulla destra per aggiungere una nuova regola.
- Creare regole NAT per tutte le porte che devono essere inoltrate, in base a questa lista.
- "Protocollo": Impostare il tipo di protocollo in base alle porte da inoltrare.
- "Intervallo porte di destinazione": Selezionare la porta o l'intervallo di porte per la voce NAT. Se la porta non è predefinita, come nel caso di SIP, inserire i numeri di porta personalizzati.
- "IP di destinazione del reindirizzamento": Inserire l'indirizzo IP interno del centralino 3CX.
- "Porta di destinazione del reindirizzamento": Inserire la porta interna, di solito uguale alla porta esterna.
- "Descrizione": Etichettare la regola per facilitarne l'identificazione.
- "Riflessione NAT": Utilizza l'impostazione predefinita del sistema.
- "Associazione regola filtro": Aggiungere la regola di filtro associata.
- Fare clic su "Salva" e poi su "Applica" per attivare la configurazione e ripetere questi passaggi per ogni voce NAT richiesta.
- Ripetere il passaggio #3 per ogni porta inoltrata.
- Dopo aver aggiunto tutte le regole di port forward, l'aspetto dovrebbe essere simile a quello dell'esempio seguente.
Passo 2: Conservazione delle porte (Full Cone NAT)
- Andare su "Firewall" > "NAT" > "In uscita".
- Impostare il tipo da automatico a "ibrido" e premere "Salva".
- Ora creare una nuova "Regola di mappatura" come nell'esempio precedente per impostare:
- "Sorgente" per l'IP della LAN dell'host 3CX, ad esempio 192.168.3.155.
- "Porta o intervallo" - abilitare "Porta statica".
- Per garantire il funzionamento, spostare la regola nella prima posizione della "tabella Mappings NAT", come mostrato nella prima schermata di questa sezione.
- Assicurarsi di aver applicato le impostazioni in entrambe le pagine "Inoltro porta" e "In uscita".
Passo 3: Gestione FQDN
Nella fase successiva di questa guida, è necessario scegliere come gestire il FQDN 3CX all'interno della rete. Ci sono due opzioni: Split Brain DNS o Hairpin NAT. Split Brain DNS ha il vantaggio di mantenere il traffico della rete 3CX all'interno della rete e di non inviarlo all'interfaccia WAN, ma ha una configurazione più complicata. Hairpin NAT è più facile da configurare, ma consuma più traffico WAN e può risultare in una scarsa qualità delle chiamate in alcune situazioni. Si consiglia di utilizzare il DNS Split Brain quando possibile.
Opzione 1: Configurazione di Split Brain DNS
- Andare su "Servizi" > "Risolutore DNS".
- Nella scheda Impostazioni generali, assicurarsi che il Risolutore DNS sia abilitato.
- Assicurarsi che sotto "Interfacce di rete" sia selezionato "Tutte" (o qualsiasi interfaccia specifica su cui si desidera che DNS Resolver sia in ascolto - tipicamente LAN).
- Assicurarsi che l'inoltro delle query DNS sia abilitato
- In fondo alla pagina, nella sezione Host Overrides, fare clic su "Aggiungi".
- Aggiungere l'host, il dominio, l'indirizzo IP come richiesto, quindi fare clic su "Salva". L'host sarà la prima parte del tuo FQDN 3CX e il dominio sarà l'ultima parte del tuo FQDN 3CX. L'indirizzo IP sarà l'indirizzo IP interno del centralino 3CX.
- Assicurati che i tuoi dispositivi usino pfSense per la risoluzione DNS (o che usino un dispositivo che faccia il forwarding a pfSense per le query sconosciute). Questa configurazione è solitamente gestita dal server DHCP e dai server DNS che distribuisce.
Opzione 2: Configurazione di Hairpin NAT
- Andare in "Sistema" > "Avanzate".
- Cambiare "Modalità di riflessione NAT per l'inoltro delle porte" in "Pure NAT", attivare la casella di controllo "Abilita la riflessione NAT per 1:1 NAT" e attivare la casella di controllo "Abilita il NAT automatico in uscita per la riflessione".
Passo 4: Convalida della configurazione
Per convalidare la tua configurazione NAT/Port Forwarding, vai a "Dashboard" > "Firewall" nella console di gestione 3CX per eseguire il 3CX Firewall Checker per convalidare se il tuo firewall è configurato correttamente per l'uso con il 3CX. Vedere maggiori informazioni sul Firewall Checker.
Per convalidare la configurazione DNS di Split Brain, si può usare lo strumento nslookup (all'interno della rete / dietro il firewall pfSense) per convalidare la risoluzione DNS. Basta digitare "nslookup <fqdn> <dns-server>" dove <fqdn> è il tuo FQDN 3CX e <dns-server> è l'IP del server DNS che desideri interrogare. Quando si interroga un server DNS esterno si dovrebbe vedere restituito il proprio IP WAN e quando si interroga il proprio DNS Resolver interno pfSense si dovrebbe vedere restituito l'indirizzo IP interno del centralino 3CX.
- L'esempio seguente mostra la verifica della risoluzione dell'IP esterno dell'FQDN "service.tigunia.com" rispetto ai server DNS pubblici di Google (8.8.8.8):
- L'esempio seguente mostra il controllo della risoluzione IP interna dell'FQDN "service.tigunia.com" rispetto al Resolver interno di pfSense (192.168.3.1):
Per convalidare la configurazione Hairpin NAT, provare ad accedere all'FQDN del 3CX da un computer all'interno della rete per FQDN. Se si riesce a caricare il webclient, il NAT Hairpinning dovrebbe funzionare.
In alcuni casi potrebbe essere necessario riavviare il firewall perché le modifiche abbiano effetto.
Se i telefoni remoti o il provider VoIP funzionano perlopiù ma si disconnettono a caso, si deve prendere in considerazione la possibilità di modificare questa opzione.
- Andare in "Sistema" > "Avanzate".
- Impostare "Opzioni di ottimizzazione del firewall" su "Conservativo".
- Fare clic su "Salva".
Per saperne di più
- La guida alla configurazione di firewall e router spiega come configurare il firewall.
Ultimo aggiornamento
Questo documento è stato aggiornato l'ultima volta il 20 giugno 2023.