Configurazione di un WatchGuard XTM con 3CX

Introduzione

Questo documento descrive la configurazione dei dispositivi WatchGuard XTM da utilizzare con 3CX. Questo manuale si basa su Fireware XTM > v12.9.2 e dovrebbe essere compatibile con qualsiasi dispositivo con questo firmware. Si prega di notare che non possiamo assistervi nella configurazione del vostro firewall.

Passo 1: Creare un NAT statico (SNAT)

Innanzitutto, è necessario configurare il NAT statico per inoltrare il traffico in entrata dall'IP pubblico statico all'IP locale del PBX:

1. Navigare sotto Firebox® UI → Firewall → SNAT 
2. Fare clic sull'icona del lucchetto che consente di apportare modifiche, quindi fare clic su "Aggiungi".

3. Inserire il nome "3CX_SNAT" nel criterio SNAT.
4. Selezionare "Static NAT" come tipo.
5. Sotto "MEMBRI SNAT" fare clic su "Aggiungi".
   
6. Selezionare l'indirizzo IP/interfaccia nel menu a discesa. L'IP esterno del dispositivo deve essere usato per NATare il traffico in entrata al 3CX.
7. Inserire l'indirizzo IP interno/privato del 3CX e fare clic su "OK".
   
8. Fare clic su "Salva" e la politica SNAT è ora attiva.
   

Passo 2: Creare il criterio del firewall

Dopo aver impostato il NAT statico, è necessario configurare un criterio Firewall:

1. Navigare in Firebox® → Firewall → Criteri firewall e fare clic su "Aggiungi criterio".
   
2. Come "Tipo di criterio" selezionare "Personalizzato" e fare clic su "Aggiungi".  
   
3. Inserire "3CX_Ports" come nome del modello di criterio.
4. Usare il pulsante "Aggiungi" sotto "PROTOCOLLI" per aggiungere un elenco personalizzato di porte che devono essere autorizzate a connettersi al 3CX. Quando tutte le porte sono state aggiunte, fare clic su "Salva".

5. Fare clic su "AGGIUNGI POLITICA".
6. Inserire "Servizi 3CX" come nome della politica.

7. Rimuovere gli oggetti "Da" e "A".

8. Sotto la sezione "Da" fare clic su "Aggiungi".
9. Nel menu a discesa selezionare "Qualsiasi esterno" e "OK".

10. In "A" fare clic su "Aggiungi".
11. Nel menu a discesa per il tipo di membro selezionare "NAT Statico".
12. Verrà elencato lo SNAT creato in precedenza (in questo esempio "3CX_SNAT"). Selezionare lo SNAT e fare clic su "OK".

13. La politica del firewall dovrebbe assomigliare alla schermata seguente:

14. Salvare il criterio del firewall e il criterio è ora attivo.

Passo 3: NAT Loopback (Hairpin)

Se non si dispone di un server DNS interno da utilizzare per lo Split DNS, è possibile utilizzare il NAT loopback per accedere al proprio FQDN che si risolve al proprio IP pubblico dalla rete interna.

A tal fine, è necessario creare un'altra regola del firewall seguendo i passaggi del punto 2: Creazione di un criterio del firewall, con le seguenti modifiche:

1. Al punto 2.2 invece di aggiungere un nuovo criterio personalizzato, si deve selezionare quello già creato, chiamato "3CX_Ports".
   
2. Nel passo 2.6 utilizzare "3CX_Services_Hairpin" come nome
3. Nel passo 2.7 non rimuovere l'oggetto "DA". Mantenere "Any-Trusted" e/o aggiungere qualsiasi altra rete interna a cui si desidera applicare il NAT loopback (Hairpin).

Passo 4: Convalida della configurazione

1. Accedere alla console di gestione 3CX → Dashboard → Firewall ed eseguire il 3CX Firewall Checker. Questo convaliderà se il firewall è configurato correttamente per l'uso con il 3CX. Ulteriori informazioni sul Firewall Checker sono disponibili.
2. Navigare sotto Firebox® UI → Firewall → SNAT per confermare di avere una politica SNAT in modo che il traffico possa raggiungere il server 3CX.
   
3. Navigare sotto Firebox® → Firewall → Politiche Firewall per vedere la panoramica della configurazione.  Fare clic sul nome del criterio 3cx (ad es. "3CX_Ports") per confermare la presenza di tutte le configurazioni specifiche.

Ultimo aggiornamento

Questo documento è stato aggiornato l'ultima volta il 07 luglio 2023.

https://www.3cx.it/doc/configurazione-watchguard-xtm/