Настройка WatchGuard XTM для работы с 3CX

Введение

В этом руководстве описана настройка устройств WatchGuard XTM для работы с 3CX. Руководство основано на Fireware XTM > v12.9.2 и должно быть совместимо с любым устройством с этой прошивкой. Внимание! Техподдержка 3CX не оказывает помощь в настройке сетевых экранов.

Шаг 1: Создайте Static NAT (SNAT)

Во-первых, необходимо настроить Static NAT для перенаправления входящего трафика со статического публичного IP на локальный IP сервера АТС:

1. Перейдите в интерфейсе Firebox® UI → Firewall → SNAT. 
2. Нажмите на иконку замка, чтобы разблокировать внесение изменений, а затем нажмите кнопку “Add”.
   
   
3. В SNAT Policy укажите имя “3CX_SNAT”.
4. Выберите тип “Static NAT”.
5. В разделе “SNAT MEMBERS” нажмите “Add”.
   
6. Выберите IP-адрес/интерфейс в выпадающем меню. Публичный IP-адрес устройства должен использоваться для NAT-трансляции входящего трафика на 3CX.
7. Введите внутренний/локальный IP-адрес 3CX и нажмите "OK".
   
8. Нажмите “Save” и политика SNAT Policy станет активной.
   

Шаг 2: Создайте политику сетевого экрана

После настройки Static NAT, настройте политику сетевого экрана:

1. Перейдите в интерфейсе Firebox® → Firewall → Firewall Policies и нажмите “Add Policy”.
   
2. В “Policy Type” выберите “Custom” и нажмите “Add”.  
   
3. Введите название Policy Template “3CX_Ports”.
4. В разделе “PROTOCOLS” нажмите кнопку “Add”, чтобы добавить пользовательские порты, через которые должно быть разрешено подключение к 3CX. Когда все порты будут добавлены, нажмите кнопку "Save".
   
5. Нажмите “ADD POLICY”
6. Введите название Policy Name “3CX_Services”
   
7. Удалите объекты “From” и “To”

8. В разделе “From” нажмите “Add.”
9. В выпадающем списке выберите “Any-External” и “OK.”
   
10. В разделе “To” нажмите “Add.”
11. В выпадающем списке Member type выберите “Static NAT”.
12. Появится созданная ранее политика SNAT (в этом примере “3CX_SNAT”). Выберите SNAT и нажмите “OK.”
    
13. Политика сетевого экрана должна выглядеть как показано на рисунке ниже:

13. Нажмите “Save” и политика станет активной.

Шаг 3: NAT Loopback (Hairpin)

Если у вас нет внутреннего DNS-сервера для поддержки Split DNS, можно использовать NAT loopback. При этом FQDN 3CX будет резолвится из локальной сети на ваш публичный IP-адрес.

Для этого необходимо создать еще одно правило сетевого экрана, выполнив действия, описанные в Шаге 2, но со следующими изменениями:

1. В Шаге 2.2 вместо добавления новой пользовательской политики следует выбрать уже созданную "3CX_Ports".
   
2. В Шаге 2.6 используйте название “3CX_Services_Hairpin”.
3. В Шаге 2.7 не удаляйте объект “FROM”. Оставьте “Any-Trusted” или другие внутренние сети, для которых требуется применить NAT loopback (Hairpin).

Шаг 4: Проверка корректности настройки

1. Войдите в интерфейс управления 3CX, перейдите в раздел "Dashboard" > "Firewall" и запустите программу Firewall Checker, чтобы убедиться, что ваш сетевой экран корректно настроен для работы с 3CX. Подробная информация о Firewall Checker доступна здесь.
2. Перейдите в интерфейсе Firebox® UI → Firewall → SNAT и убедитесь, что у вас присутствует политика SNAT и трафик достигает сервера 3CX.
   
3. Перейдите в интерфейсе Firebox® → Firewall → Firewall Policies, чтобы увидеть обзор конфигурации. Нажмите на название политики 3CX (например, “3CX_Ports”), чтобы убедиться, что все настройки выполнены корректно.

Версия документа

Последнее обновление документа 7 июля 2023

https://www.3cx.ru/docs/watchguard-xtm-firewall/