Pfsense con 3CX servidor VoIP, No funciona

bellera

¡Hola!

No sé si es esto lo que necesitas:

http://wiki.3cx.com/documentation/networking

Revisa bien el apartado de NAT.

Veo que incluso 3CX tiene una utilidad para chequearlo en presencia de cortafuegos:

http://www.3cx.com/support/firewall-checker.html

Saludos,

Josep Pujadas

erespejel

efectivamente

les comento que las reglas NAt que requiere mi sistema estan estipuladas en este link

http://www.3cx.es/manual/3CXPhoneSystemManual31es/centralita16.html

y tal cual como se pide ahi e colocado las reglas

pero cabe mencionar que…

las extenciones internas en la red pueden salir perfectamente, se establecen las llamadas correctamente

eso quiere decir que la funcion principal esta cubierta, el problema radica en que Pfsense esta bloqueando el trafico de fuera hacia adentro de las extenciones que se firman al servidor pero que se encuentran fuera de la red lan.

ya e visto en los logs del firewall y no logro identificar algo refernete al trafico de esta central IP

les agrego la imagen donde justo en este rango de tiempo se realizo una llamada

si alguien lograra identificar algo hagamelo saber

bellera

¡Hola!

Si el problema lo tienes el tráfico entrante algo está mal o falta en NAT forwarder y las reglas en WAN generadas automáticamente por NAT forwarder.

Ojo con la generación automática de reglas para NAT forwarder porque se crean cuando añades un NAT forwarder pero, curiosamente, no se actualizan cuando tocas un NAT forwarder.

Esto suele ocasionar problemas … Revísalo bien ...

Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls, donde hay ejemplos para algunos cortafuegos. Son conexiones RTP. Se parece mucho a un equipo de videovigilancia que tengo detrás de un pfSense, sin problemas. Bueno, problemas tuve porque el proveedor no me aclaró bien qué puertos empleaba. Se me ocurrió mirar desde un PC en mi red local los puertos que empleaba y apliqué los NAT forwarder para tenerlo en Internet.

Postea tus NAT forwarder y reglas en WAN para ver qué pasa o puedes enviármelas por correo.

Saludos,

Josep Pujadas

bellera

¡Hola de nuevo!

Por cierto, ¿ sabes qué tienes en el puerto UDP 520 ?

Según IANA

efs            520/tcp    extended file name server
router          520/udp    local routing process (on site);
#                          uses variant of Xerox NS routing
#                          information protocol - RIP

pero nunca he visto un servicio de este tipo …

Saludos,

Josep Pujadas

erespejel

ok bueno…

@bellera:

Por cierto, ¿ sabes qué tienes en el puerto UDP 520 ?

Según IANA

efs             520/tcp    extended file name server
router          520/udp    local routing process (on site);

uses variant of Xerox NS routing

information protocol - RIP

en este puerto, yo en mi red local no tengo nada e incluso la Ip no forma parte de mi rango de IP's publicas, pero supongo que es la IP del Router de mi proveedor ya que los primero 3 octetos coinciden, ahunque no estoy seguro y me preocupa, tambien me suenan las siglas RIP
_

efectivamente el problema es en el NAT, de eso no me queda duda "espero no tener problemas de seguridad ya que estoy exponiendo todo" "aunque finalmente lo ago para que si alguien mas tiene el mismo problema se vea como resolverlo"

esto es la LAN

y esto es en la WAN (las reglas fueron creadas de forma automatica por NAT y no se modificaron por eso creo que no hay cambios en esto)

@bellera:

Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls, donde hay ejemplos para algunos cortafuegos. Son conexiones RTP. Se parece mucho a un equipo de videovigilancia que tengo detrás de un pfSense, sin problemas. Bueno, problemas tuve porque el proveedor no me aclaró bien qué puertos empleaba. Se me ocurrió mirar desde un PC en mi red local los puertos que empleaba y apliqué los NAT forwarder para tenerlo en Internet.

en cuanto a esta liga, creo suponer que el problema radica en saber si cuento con un NAt Simetrico o no, y saber si puedo desactivarlo si es que el PFsense cuenta con la opcion. porque los puertos para RTP son los sig… y los tengo abiertos

@erespejel:

UDP         9000-9045 enviar y recibir RTP*
UDP         7000-7499 llamadas Internas
UDP         3478         Servidor STUN
UDP&TCP  5060-6062 servidor SIP
TCP         5481-5480 Consola
TCP         5080-5090 Tunel

de cualquier manera lo que voya a hacer es usar la herramienta de 3cx para validar el firewall y en seguida les comento. pero si pueden comentarme si saben sobre "NAT simetrico" o "Full NAT Cono" en el PFsense, se los agradeceria algun comentario

saludos

erespejel

qui esta el test del firewall de 3cx

http://digitalmind.com.mx/images/rep3cxFirewall.txt

No logro identificar lo mencionado en…
@bellera:

Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls

no se si es NAt Simetrico o no

algun comentario?

bellera

¡Hola de nuevo!

Dos cosas:

**** Por seguridad conviene que cuando postees imágenes tapes de alguna forma tus IPs. Si hay que indicar cuáles son pon letras en su lugar. Ya sé que es engorroso pero conviene hacerlo así. Los posts que has puesto puedes modificarlos. O sea que estás a tiempo de corregirlo.

**** No veo los NAT Port forward y me temo que no los has definido porque en WAN no tienes ninguna regla creada automáticamente por los NAT Port forward:

http://www.bellera.cat/josep/pfsense/nat_cs.html#forward

Saludos,

Josep Pujadas

erespejel

gracias por la recomendacion, ya he tapado todas las direcciones IP's publicas

ahora en cuanto a las reglas del NAT automatica, si lo hice, lo que no recuerdo es si modifique el nombre y por eso no aparece lo de automatico, crees que sea nesesario hacerlas de nuevo? despues de ese cambio?

definitivamente creo que el problema esta en el NAt simetrico, ahunque en el test del firewall de 3cx no veo algo que haga referencia a esto.

en la liga que me mandaste sobre NAt y los puertos para RTP, menciona que se deve de desactivar el NAT simetrico, pero no se donde encuentro esta opcion, alguien sabe?

erespejel

encontre una liga en el foro en ingles

http://forum.pfsense.org/index.php/topic,104.0.html

lo que no entiendo es donde encuentro opciones como NAT avanzado de salida y como configurarlo
tambien hablan del Nat 1:1, que intente configurarlo pero me dice que la direccion IP publica que coloco no puede ser utilizada para 1:1 asi que si alguien puede decirme como configurar estas opciones o donde encotrarlas lo agradeceria

saludos

bellera

¡Hola!

Tus NAT Port forward y reglas parecen correctas …

Activa NAT Outbound avanzado para WAN y origen tu LAN:

http://www.bellera.cat/josep/pfsense/nat_cs.html#outbound

Y quizás tienes que marcar la casilla Static Port:

http://doc.pfsense.org/index.php/Static_Port

A ver si es esto …

Si buscas en la sección NAT del foro en inglés con la palabra symmetric salen muchos posts, además del que tu decías.

Saludos,

Josep Pujadas