Настройка сетевого экрана FortiGate 40F для работы с 3CX

Введение

В этом руководстве описана настройка FortiGate 40F с проверенной прошивкой 7.0.X. Руководство подойдет для всех устройств, работающих на этой или более новой прошивке.

Внимание! Техподдержка 3CX не оказывает помощь в настройке сетевых экранов.

Шаг 1: Отключите SIP ALG

Сервис SIP ALG должен быть отключен через CLI Fortigate.

Теперь отключите Session Helper

1. Выполните команды:

2. Среди отображаемых параметров будет один, похожий на следующий:

3. В этом случае команды будут следующими:

Перезагрузите устройство через GUI или CLI!

Команда CLI:

• execute reboot

Шаг 2: Создайте исходящее правило для 3CX

1. Перейдите в “Policy & Objects” > “Firewall Policy”
2. Нажмите “Create New”

1. “Name” : Название политики сетевого экрана для простой идентификации
2. “Incoming interface” : Укажите интерфейс LAN или интерфейс, на котором находится ваш сервер 3CX.
3. “Outgoing interface” : Укажите интерфейс WAN
4. “Source” : Выберите сервер 3CX
5. “Destination” : Выберите “all”
6. “Schedule” : Оставьте параметр по умолчанию (always)
7. “Service” : Выберите созданные ранее сервисы 3CX, а также порты для PUSH, DNS и SMTP
8. “Action” : Оставьте параметр по умолчанию (ACCEPT)
9. “NAT” : Оставьте параметр по умолчанию (CHECK)

Подробнее о портах 3CX.

Шаг 3: Создайте входящее правило для удаленного доступа к серверу 3CX

Создайте виртуального IP-адреса

Создайте по 1 виртуальному IP-адресу на каждый сервисный порт для переадресации на сервер 3CX.

1. Перейдите в “Policy & Objects” > “Virtual IPs”
2. Нажмите “Create New” > “Virtual IP”

1. “Name” : Название виртуального IP для простой идентификации
2. “Interface” : Укажите интерфейс, на котором находится ваш публичный IP
3. “External IP address” : Введите публичный IP-адрес доступа в Интернет
4. “Map to IPV4 address” : Введите внутренний IP-адрес сервера 3CX
5. “Port forwarding” : отметьте опцию “port forwarding” для доступа к меню
6. “Protocol” : Установите тип протокола в зависимости от публикуемого порта (TCP или UDP)
7. “Port Mapping type” : Оставьте параметр по умолчанию “One to one”
8. “External service port” : Введите публичный порт, обычно совпадающий с локальным портом
9. “Map to IPv4 port” : Введите локальный порт

3. После создания всех виртуальных IP-адресов, таблица должна выглядеть так, как на скриншоте ниже

В данном примере наш внешний IP-адрес - 1.2.3.4, а IP-адрес сервера 3CX - 192.168.10.10

Совет. Можно создать группу, содержащую все виртуальные IP-адреса, чтобы упростить настройку политики сетевого экрана.

Создайте объект Firewall

Для создания политики сетевого экрана нам необходимо создать объект Firewall

1. Перейдите в “Policy & Objects” > “Services”
2. Нажмите “Create New” > “Service”

1. “Name” : Название сервиса для простой идентификации
2. “Protocol Type” : Оставьте параметр по умолчанию TCP/UDP/SCTP
3. “Address” : Оставьте параметр по умолчанию 0.0.0.0
4. “Destination port” : Укажите все порты для 3CX
5. “Specify Source Ports” : Оставьте выключенным

Создайте политику сетевого экрана

1. Создайте политику сетевого экрана, чтобы разрешить внешний трафик на 3CX

1. Перейдите в “Policy & Objects” > “Firewall Policy”
2. Нажмите “Create New”
3. “Name” : Название политики сетевого экрана для простой идентификации
4. “Incoming interface” : Интерфейс источника, через который осуществляется выход в Интернет
5. “Outgoing interface” : интерфейс, на котором находится ваш сервер 3CX (в примере ниже - интерфейс vlan)
6. “Source” : IP-адрес, с которого происходит подключение (используйте all для подключения к 3CX из любого места)
7. “Destination” : Выберите все виртуальные IP, созданные ранее
8. “Schedule” : Оставьте параметр по умолчанию (always)
9. “Service” : Выберите созданные ранее службы 3CX
10. “Action” : Оставьте параметр по умолчанию (ACCEPT)
11. “NAT” : снимите флажок NAT, чтобы 3CX имела доступ к удаленным адресам

Подробнее о портах 3CX.

Шаг 4: Создайте внутреннюю зону DNS (Split DNS)

Для корректной работы 3CX в локальной сети необходимо иметь возможность локально (без запроса в Интернет) заходить на сервер 3CX по FQDN. Для этого следует настроить DNS-сервер на устройстве Fortigate и создать DNS-запись, которая будет резолвить FQDN сервера на его локальный IP-адрес.

Компьютеры и IP-телефоны должны иметь быть настроены на IP DNS-сервера, соответствующий LAN-интерфейсу Fortigate.

1. Перейдите в “System” > “Feature Visibility”
2. Отметьте “DNS Database”, после чего вы сможете настраивать DNS-сервер
3. Перейдите в “Network” > “DNS Servers”
4. Нажмите “Create New” возле DNS Service on Interface
5. Выберите все LAN-интерфейсы в "recursive" режиме, чтобы на них заработала служба DNS

1. В DNS Database нажмите “Create New”

1. “Type” : Оставьте параметр по умолчанию (Primary)
2. “View” : Оставьте параметр по умолчанию (Shadow)
3. “DNS Zone” : название DNS-зоны
4. “Domain Name” : домен сервера 3CX (в нашем примере FQDN - example.3cx.com, поэтому доменное имя - 3cx.com)
5. “Hostname of Primary DNS” : Оставьте параметр по умолчанию (Dns)
6. “TTL” : Оставьте параметр по умолчанию
7. “Authoritative” : отключите опцию

1. Нажмите “Create New”, чтобы добавить записи

1. “Type” : укажите адрес (A)
2. “Hostname” : (в нашем примере FQDN - example.3cx.com, поэтому имя хоста - example)
3. “IP Address” : Укажите IP-адрес сервера 3CX

Протестируйте конфигурацию. FQDN 3CX из локальной сети должен резолвится на локальный IP-адрес сервера 3CX.

Шаг 5: Проверка корректности настройки

Войдите в интерфейс управления 3CX, перейдите в раздел "Dashboard" > "Firewall" и запустите программу Firewall Checker, чтобы убедиться, что ваш сетевой экран корректно настроен для работы с 3CX. Подробная информация о Firewall Checker доступна здесь.

Версия документа

Последнее обновление документа 23 сентября 2023

https://www.3cx.ru/docs/fortigate-firewall-configuration/