Pfsense con 3CX servidor VoIP, No funciona
-
Hola a todos
bueno les traigo el sig problema, recientemente sustitui un router SMC por el pfsense, todo en general fucniona de maravilla, incluso un servidor que tengo de voz sobre IP (3cx) con todas sus llamadas internas y de la red hacia Internet, el rpoblema esta en lo sig
tengo una persona que se encuentra en otra ciudad, y cuenta con un adaptador telefonico (PAP2) que se firma en mi servidor de Voz (3cx), pero, cuando deseo marcarle suena perfectamente e inclusive me contesta y escucho perfectamente su voz, pero yo a el no lo escuho, y cuando el me quiere marcar, simplemente la llamada no sale. lo extraño es que anteriormente con el Router SMC funcionaba a la perfeccion, por esta razon me atrevo a exponer este problema aqui y no en el foro de 3CX, ya que esta comrobado que funcionaba con el otro router.
como datos importantes les despliego los puertos que usa la central IP 3CX, estos son los estipulados por el proveedor y fabricante
UDP 9000-9045 enviar y recibir RTP
UDP 7000-7499 llamadas Internas
UDP 3478 Servidor STUN
UDP&TCP 5060-6062 servidor SIP
TCP 5481-5480 Consola
TCP 5080-5090 Tuneltambien les agrego la imagen de una imprecion de pantalla del diagnostico de States
si agluien tiene algun dato como aportacion?
o alguin sabe como se resuelve el problema?les pido su ayuda y agradecere su apoyo
saludos
-
espero no verme muy insistente, pero creo que es importnate este tema ya que pfsense es un importante contrafuegos, y 3cx es una importante central IP, asi que les traigo una liga del foro de 3cx, para entender mejor el problema.
ojala alguen tenga un dato para este problema
saludos
-
¡Hola!
No sé si es esto lo que necesitas:
http://wiki.3cx.com/documentation/networking
Revisa bien el apartado de NAT.
Veo que incluso 3CX tiene una utilidad para chequearlo en presencia de cortafuegos:
http://www.3cx.com/support/firewall-checker.html
Saludos,
Josep Pujadas
-
efectivamente
les comento que las reglas NAt que requiere mi sistema estan estipuladas en este link
http://www.3cx.es/manual/3CXPhoneSystemManual31es/centralita16.html
y tal cual como se pide ahi e colocado las reglas
pero cabe mencionar que…
las extenciones internas en la red pueden salir perfectamente, se establecen las llamadas correctamente
eso quiere decir que la funcion principal esta cubierta, el problema radica en que Pfsense esta bloqueando el trafico de fuera hacia adentro de las extenciones que se firman al servidor pero que se encuentran fuera de la red lan.
ya e visto en los logs del firewall y no logro identificar algo refernete al trafico de esta central IP
les agrego la imagen donde justo en este rango de tiempo se realizo una llamada
si alguien lograra identificar algo hagamelo saber
-
¡Hola!
Si el problema lo tienes el tráfico entrante algo está mal o falta en NAT forwarder y las reglas en WAN generadas automáticamente por NAT forwarder.
Ojo con la generación automática de reglas para NAT forwarder porque se crean cuando añades un NAT forwarder pero, curiosamente, no se actualizan cuando tocas un NAT forwarder.
Esto suele ocasionar problemas … Revísalo bien ...
Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls, donde hay ejemplos para algunos cortafuegos. Son conexiones RTP. Se parece mucho a un equipo de videovigilancia que tengo detrás de un pfSense, sin problemas. Bueno, problemas tuve porque el proveedor no me aclaró bien qué puertos empleaba. Se me ocurrió mirar desde un PC en mi red local los puertos que empleaba y apliqué los NAT forwarder para tenerlo en Internet.
Postea tus NAT forwarder y reglas en WAN para ver qué pasa o puedes enviármelas por correo.
Saludos,
Josep Pujadas
-
¡Hola de nuevo!
Por cierto, ¿ sabes qué tienes en el puerto UDP 520 ?
Según IANA
efs 520/tcp extended file name server
router 520/udp local routing process (on site);
# uses variant of Xerox NS routing
# information protocol - RIPpero nunca he visto un servicio de este tipo …
Saludos,
Josep Pujadas
-
ok bueno…
Por cierto, ¿ sabes qué tienes en el puerto UDP 520 ?
Según IANA
efs 520/tcp extended file name server
router 520/udp local routing process (on site);uses variant of Xerox NS routing
information protocol - RIP
en este puerto, yo en mi red local no tengo nada e incluso la Ip no forma parte de mi rango de IP's publicas, pero supongo que es la IP del Router de mi proveedor ya que los primero 3 octetos coinciden, ahunque no estoy seguro y me preocupa, tambien me suenan las siglas RIP
_efectivamente el problema es en el NAT, de eso no me queda duda "espero no tener problemas de seguridad ya que estoy exponiendo todo" "aunque finalmente lo ago para que si alguien mas tiene el mismo problema se vea como resolverlo"
esto es la LAN
y esto es en la WAN (las reglas fueron creadas de forma automatica por NAT y no se modificaron por eso creo que no hay cambios en esto)
Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls, donde hay ejemplos para algunos cortafuegos. Son conexiones RTP. Se parece mucho a un equipo de videovigilancia que tengo detrás de un pfSense, sin problemas. Bueno, problemas tuve porque el proveedor no me aclaró bien qué puertos empleaba. Se me ocurrió mirar desde un PC en mi red local los puertos que empleaba y apliqué los NAT forwarder para tenerlo en Internet.
en cuanto a esta liga, creo suponer que el problema radica en saber si cuento con un NAt Simetrico o no, y saber si puedo desactivarlo si es que el PFsense cuenta con la opcion. porque los puertos para RTP son los sig… y los tengo abiertos
UDP 9000-9045 enviar y recibir RTP*
UDP 7000-7499 llamadas Internas
UDP 3478 Servidor STUN
UDP&TCP 5060-6062 servidor SIP
TCP 5481-5480 Consola
TCP 5080-5090 Tunelde cualquier manera lo que voya a hacer es usar la herramienta de 3cx para validar el firewall y en seguida les comento. pero si pueden comentarme si saben sobre "NAT simetrico" o "Full NAT Cono" en el PFsense, se los agradeceria algun comentario
saludos
-
qui esta el test del firewall de 3cx
http://digitalmind.com.mx/images/rep3cxFirewall.txt
No logro identificar lo mencionado en…
@bellera:Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls
no se si es NAt Simetrico o no
algun comentario?
-
¡Hola de nuevo!
Dos cosas:
**** Por seguridad conviene que cuando postees imágenes tapes de alguna forma tus IPs. Si hay que indicar cuáles son pon letras en su lugar. Ya sé que es engorroso pero conviene hacerlo así. Los posts que has puesto puedes modificarlos. O sea que estás a tiempo de corregirlo.
**** No veo los NAT Port forward y me temo que no los has definido porque en WAN no tienes ninguna regla creada automáticamente por los NAT Port forward:
http://www.bellera.cat/josep/pfsense/nat_cs.html#forward
Saludos,
Josep Pujadas
-
gracias por la recomendacion, ya he tapado todas las direcciones IP's publicas
ahora en cuanto a las reglas del NAT automatica, si lo hice, lo que no recuerdo es si modifique el nombre y por eso no aparece lo de automatico, crees que sea nesesario hacerlas de nuevo? despues de ese cambio?
definitivamente creo que el problema esta en el NAt simetrico, ahunque en el test del firewall de 3cx no veo algo que haga referencia a esto.
en la liga que me mandaste sobre NAt y los puertos para RTP, menciona que se deve de desactivar el NAT simetrico, pero no se donde encuentro esta opcion, alguien sabe?
-
encontre una liga en el foro en ingles
http://forum.pfsense.org/index.php/topic,104.0.html
lo que no entiendo es donde encuentro opciones como NAT avanzado de salida y como configurarlo
tambien hablan del Nat 1:1, que intente configurarlo pero me dice que la direccion IP publica que coloco no puede ser utilizada para 1:1 asi que si alguien puede decirme como configurar estas opciones o donde encotrarlas lo agradeceriasaludos
-
¡Hola!
Tus NAT Port forward y reglas parecen correctas …
Activa NAT Outbound avanzado para WAN y origen tu LAN:
http://www.bellera.cat/josep/pfsense/nat_cs.html#outbound
Y quizás tienes que marcar la casilla Static Port:
http://doc.pfsense.org/index.php/Static_Port
A ver si es esto …
Si buscas en la sección NAT del foro en inglés con la palabra symmetric salen muchos posts, además del que tu decías.
Saludos,
Josep Pujadas