Configurazione di un WatchGuard XTM con 3CX
Introduzione
Questo documento descrive la configurazione dei dispositivi WatchGuard XTM da utilizzare con 3CX. Questo manuale si basa su Fireware XTM > v12.9.2 e dovrebbe essere compatibile con qualsiasi dispositivo con questo firmware. Si prega di notare che non possiamo assistervi nella configurazione del vostro firewall.
Passo 1: Creare un NAT statico (SNAT)
Innanzitutto, è necessario configurare il NAT statico per inoltrare il traffico in entrata dall'IP pubblico statico all'IP locale del PBX:
- Navigare sotto Firebox® UI → Firewall → SNAT
- Fare clic sull'icona del lucchetto che consente di apportare modifiche, quindi fare clic su "Aggiungi".
- Inserire il nome "3CX_SNAT" nel criterio SNAT.
- Selezionare "Static NAT" come tipo.
- Sotto "MEMBRI SNAT" fare clic su "Aggiungi".
- Selezionare l'indirizzo IP/interfaccia nel menu a discesa. L'IP esterno del dispositivo deve essere usato per NATare il traffico in entrata al 3CX.
- Inserire l'indirizzo IP interno/privato del 3CX e fare clic su "OK".
- Fare clic su "Salva" e la politica SNAT è ora attiva.
Passo 2: Creare il criterio del firewall
Dopo aver impostato il NAT statico, è necessario configurare un criterio Firewall:
- Navigare in Firebox® → Firewall → Criteri firewall e fare clic su "Aggiungi criterio".
- Come "Tipo di criterio" selezionare "Personalizzato" e fare clic su "Aggiungi".
- Inserire "3CX_Ports" come nome del modello di criterio.
- Usare il pulsante "Aggiungi" sotto "PROTOCOLLI" per aggiungere un elenco personalizzato di porte che devono essere autorizzate a connettersi al 3CX. Quando tutte le porte sono state aggiunte, fare clic su "Salva".
- Fare clic su "AGGIUNGI POLITICA".
- Inserire "Servizi 3CX" come nome della politica.
- Rimuovere gli oggetti "Da" e "A".
- Sotto la sezione "Da" fare clic su "Aggiungi".
- Nel menu a discesa selezionare "Qualsiasi esterno" e "OK".
- In "A" fare clic su "Aggiungi".
- Nel menu a discesa per il tipo di membro selezionare "NAT Statico".
- Verrà elencato lo SNAT creato in precedenza (in questo esempio "3CX_SNAT"). Selezionare lo SNAT e fare clic su "OK".
- La politica del firewall dovrebbe assomigliare alla schermata seguente:
- Salvare il criterio del firewall e il criterio è ora attivo.
Passo 3: NAT Loopback (Hairpin)
Se non si dispone di un server DNS interno da utilizzare per lo Split DNS, è possibile utilizzare il NAT loopback per accedere al proprio FQDN che si risolve al proprio IP pubblico dalla rete interna.
A tal fine, è necessario creare un'altra regola del firewall seguendo i passaggi del punto 2: Creazione di un criterio del firewall, con le seguenti modifiche:
- Al punto 2.2 invece di aggiungere un nuovo criterio personalizzato, si deve selezionare quello già creato, chiamato "3CX_Ports".
- Nel passo 2.6 utilizzare "3CX_Services_Hairpin" come nome
- Nel passo 2.7 non rimuovere l'oggetto "DA". Mantenere "Any-Trusted" e/o aggiungere qualsiasi altra rete interna a cui si desidera applicare il NAT loopback (Hairpin).
Passo 4: Convalida della configurazione
- Accedere alla console di gestione 3CX → Dashboard → Firewall ed eseguire il 3CX Firewall Checker. Questo convaliderà se il firewall è configurato correttamente per l'uso con il 3CX. Ulteriori informazioni sul Firewall Checker sono disponibili.
- Navigare sotto Firebox® UI → Firewall → SNAT per confermare di avere una politica SNAT in modo che il traffico possa raggiungere il server 3CX.
- Navigare sotto Firebox® → Firewall → Politiche Firewall per vedere la panoramica della configurazione. Fare clic sul nome del criterio 3cx (ad es. "3CX_Ports") per confermare la presenza di tutte le configurazioni specifiche.
Ultimo aggiornamento
Questo documento è stato aggiornato l'ultima volta il 07 luglio 2023.