Настройка сетевого экрана FortiGate 40F для работы с 3CX
- Введение
- Шаг 1: Отключите SIP ALG
- Шаг 2: Создайте исходящее правило для 3CX
- Шаг 3: Создайте входящее правило для удаленного доступа к серверу 3CX
- Создайте виртуального IP-адреса
- Создайте объект Firewall
- Создайте политику сетевого экрана
- Шаг 4: Создайте внутреннюю зону DNS (Split DNS)
- Шаг 5: Проверка корректности настройки
Введение
В этом руководстве описана настройка FortiGate 40F с проверенной прошивкой 7.0.X. Руководство подойдет для всех устройств, работающих на этой или более новой прошивке.
Внимание! Техподдержка 3CX не оказывает помощь в настройке сетевых экранов.
Шаг 1: Отключите SIP ALG
Сервис SIP ALG должен быть отключен через CLI Fortigate.
set sip-expectation disable set sip-nat-trace disable set default-voip-alg-mode kernel-helper-based end config voip profile edit default config sip set rtp disable end end
Теперь отключите Session Helper
- Выполните команды:
Show
- Среди отображаемых параметров будет один, похожий на следующий:
set name sip set protocol 17 set port 5060
- В этом случае команды будут следующими:
end
Перезагрузите устройство через GUI или CLI!
Команда CLI:
- execute reboot
Шаг 2: Создайте исходящее правило для 3CX
- Перейдите в “Policy & Objects” > “Firewall Policy”
- Нажмите “Create New”
- “Name” : Название политики сетевого экрана для простой идентификации
- “Incoming interface” : Укажите интерфейс LAN или интерфейс, на котором находится ваш сервер 3CX.
- “Outgoing interface” : Укажите интерфейс WAN
- “Source” : Выберите сервер 3CX
- “Destination” : Выберите “all”
- “Schedule” : Оставьте параметр по умолчанию (always)
- “Service” : Выберите созданные ранее сервисы 3CX, а также порты для PUSH, DNS и SMTP
- “Action” : Оставьте параметр по умолчанию (ACCEPT)
- “NAT” : Оставьте параметр по умолчанию (CHECK)
Шаг 3: Создайте входящее правило для удаленного доступа к серверу 3CX
Создайте виртуального IP-адреса
Создайте по 1 виртуальному IP-адресу на каждый сервисный порт для переадресации на сервер 3CX.
- Перейдите в “Policy & Objects” > “Virtual IPs”
- Нажмите “Create New” > “Virtual IP”
- “Name” : Название виртуального IP для простой идентификации
- “Interface” : Укажите интерфейс, на котором находится ваш публичный IP
- “External IP address” : Введите публичный IP-адрес доступа в Интернет
- “Map to IPV4 address” : Введите внутренний IP-адрес сервера 3CX
- “Port forwarding” : отметьте опцию “port forwarding” для доступа к меню
- “Protocol” : Установите тип протокола в зависимости от публикуемого порта (TCP или UDP)
- “Port Mapping type” : Оставьте параметр по умолчанию “One to one”
- “External service port” : Введите публичный порт, обычно совпадающий с локальным портом
- “Map to IPv4 port” : Введите локальный порт
- После создания всех виртуальных IP-адресов, таблица должна выглядеть так, как на скриншоте ниже
В данном примере наш внешний IP-адрес - 1.2.3.4, а IP-адрес сервера 3CX - 192.168.10.10
Совет. Можно создать группу, содержащую все виртуальные IP-адреса, чтобы упростить настройку политики сетевого экрана.
Создайте объект Firewall
Для создания политики сетевого экрана нам необходимо создать объект Firewall
- Перейдите в “Policy & Objects” > “Services”
- Нажмите “Create New” > “Service”
- “Name” : Название сервиса для простой идентификации
- “Protocol Type” : Оставьте параметр по умолчанию TCP/UDP/SCTP
- “Address” : Оставьте параметр по умолчанию 0.0.0.0
- “Destination port” : Укажите все порты для 3CX
- “Specify Source Ports” : Оставьте выключенным
Создайте политику сетевого экрана
- Создайте политику сетевого экрана, чтобы разрешить внешний трафик на 3CX
- Перейдите в “Policy & Objects” > “Firewall Policy”
- Нажмите “Create New”
- “Name” : Название политики сетевого экрана для простой идентификации
- “Incoming interface” : Интерфейс источника, через который осуществляется выход в Интернет
- “Outgoing interface” : интерфейс, на котором находится ваш сервер 3CX (в примере ниже - интерфейс vlan)
- “Source” : IP-адрес, с которого происходит подключение (используйте all для подключения к 3CX из любого места)
- “Destination” : Выберите все виртуальные IP, созданные ранее
- “Schedule” : Оставьте параметр по умолчанию (always)
- “Service” : Выберите созданные ранее службы 3CX
- “Action” : Оставьте параметр по умолчанию (ACCEPT)
- “NAT” : снимите флажок NAT, чтобы 3CX имела доступ к удаленным адресам
Шаг 4: Создайте внутреннюю зону DNS (Split DNS)
Для корректной работы 3CX в локальной сети необходимо иметь возможность локально (без запроса в Интернет) заходить на сервер 3CX по FQDN. Для этого следует настроить DNS-сервер на устройстве Fortigate и создать DNS-запись, которая будет резолвить FQDN сервера на его локальный IP-адрес.
Компьютеры и IP-телефоны должны иметь быть настроены на IP DNS-сервера, соответствующий LAN-интерфейсу Fortigate.
- Перейдите в “System” > “Feature Visibility”
- Отметьте “DNS Database”, после чего вы сможете настраивать DNS-сервер
- Перейдите в “Network” > “DNS Servers”
- Нажмите “Create New” возле DNS Service on Interface
- Выберите все LAN-интерфейсы в "recursive" режиме, чтобы на них заработала служба DNS
- В DNS Database нажмите “Create New”
- “Type” : Оставьте параметр по умолчанию (Primary)
- “View” : Оставьте параметр по умолчанию (Shadow)
- “DNS Zone” : название DNS-зоны
- “Domain Name” : домен сервера 3CX (в нашем примере FQDN - example.3cx.com, поэтому доменное имя - 3cx.com)
- “Hostname of Primary DNS” : Оставьте параметр по умолчанию (Dns)
- “TTL” : Оставьте параметр по умолчанию
- “Authoritative” : отключите опцию
- Нажмите “Create New”, чтобы добавить записи
- “Type” : укажите адрес (A)
- “Hostname” : (в нашем примере FQDN - example.3cx.com, поэтому имя хоста - example)
- “IP Address” : Укажите IP-адрес сервера 3CX
Протестируйте конфигурацию. FQDN 3CX из локальной сети должен резолвится на локальный IP-адрес сервера 3CX.
Шаг 5: Проверка корректности настройки
Войдите в интерфейс управления 3CX, перейдите в раздел "Dashboard" > "Firewall" и запустите программу Firewall Checker, чтобы убедиться, что ваш сетевой экран корректно настроен для работы с 3CX. Подробная информация о Firewall Checker доступна здесь.
Версия документа
Последнее обновление документа 23 сентября 2023