Настройка WatchGuard XTM для работы с 3CX
Введение
В этом руководстве описана настройка устройств WatchGuard XTM для работы с 3CX. Руководство основано на Fireware XTM > v12.9.2 и должно быть совместимо с любым устройством с этой прошивкой. Внимание! Техподдержка 3CX не оказывает помощь в настройке сетевых экранов.
Шаг 1: Создайте Static NAT (SNAT)
Во-первых, необходимо настроить Static NAT для перенаправления входящего трафика со статического публичного IP на локальный IP сервера АТС:
- Перейдите в интерфейсе Firebox® UI → Firewall → SNAT.
- Нажмите на иконку замка, чтобы разблокировать внесение изменений, а затем нажмите кнопку “Add”.
- В SNAT Policy укажите имя “3CX_SNAT”.
- Выберите тип “Static NAT”.
- В разделе “SNAT MEMBERS” нажмите “Add”.
- Выберите IP-адрес/интерфейс в выпадающем меню. Публичный IP-адрес устройства должен использоваться для NAT-трансляции входящего трафика на 3CX.
- Введите внутренний/локальный IP-адрес 3CX и нажмите "OK".
- Нажмите “Save” и политика SNAT Policy станет активной.
Шаг 2: Создайте политику сетевого экрана
После настройки Static NAT, настройте политику сетевого экрана:
- Перейдите в интерфейсе Firebox® → Firewall → Firewall Policies и нажмите “Add Policy”.
- В “Policy Type” выберите “Custom” и нажмите “Add”.
- Введите название Policy Template “3CX_Ports”.
- В разделе “PROTOCOLS” нажмите кнопку “Add”, чтобы добавить пользовательские порты, через которые должно быть разрешено подключение к 3CX. Когда все порты будут добавлены, нажмите кнопку "Save".
- Нажмите “ADD POLICY”
- Введите название Policy Name “3CX_Services”
- Удалите объекты “From” и “To”
- В разделе “From” нажмите “Add.”
- В выпадающем списке выберите “Any-External” и “OK.”
- В разделе “To” нажмите “Add.”
- В выпадающем списке Member type выберите “Static NAT”.
- Появится созданная ранее политика SNAT (в этом примере “3CX_SNAT”). Выберите SNAT и нажмите “OK.”
- Политика сетевого экрана должна выглядеть как показано на рисунке ниже:
- Нажмите “Save” и политика станет активной.
Шаг 3: NAT Loopback (Hairpin)
Если у вас нет внутреннего DNS-сервера для поддержки Split DNS, можно использовать NAT loopback. При этом FQDN 3CX будет резолвится из локальной сети на ваш публичный IP-адрес.
Для этого необходимо создать еще одно правило сетевого экрана, выполнив действия, описанные в Шаге 2, но со следующими изменениями:
- В Шаге 2.2 вместо добавления новой пользовательской политики следует выбрать уже созданную "3CX_Ports".
- В Шаге 2.6 используйте название “3CX_Services_Hairpin”.
- В Шаге 2.7 не удаляйте объект “FROM”. Оставьте “Any-Trusted” или другие внутренние сети, для которых требуется применить NAT loopback (Hairpin).
Шаг 4: Проверка корректности настройки
- Войдите в интерфейс управления 3CX, перейдите в раздел "Dashboard" > "Firewall" и запустите программу Firewall Checker, чтобы убедиться, что ваш сетевой экран корректно настроен для работы с 3CX. Подробная информация о Firewall Checker доступна здесь.
- Перейдите в интерфейсе Firebox® UI → Firewall → SNAT и убедитесь, что у вас присутствует политика SNAT и трафик достигает сервера 3CX.
- Перейдите в интерфейсе Firebox® → Firewall → Firewall Policies, чтобы увидеть обзор конфигурации. Нажмите на название политики 3CX (например, “3CX_Ports”), чтобы убедиться, что все настройки выполнены корректно.
Версия документа
Последнее обновление документа 7 июля 2023