Pfsense equipos de videoconferencia
-
Hola a todos ;D
Le solicito su ayuda, ya que no he podido crear bien las reglas para los equipos de videoconferencia de mi centro de trabajo y no puedo recibir imagen ni sonido de una equipo externo y no puedo conectar a los dos equipos entre si, les explico.
Se tienen 2 equipos de videoconferencia,
el primero tiene una direccion lan 192.168.40.20
y una direccion wan 200.180.140.150Esta informacion, lan, se introdujo en el codec en las opciones de red
direccion ip 192.168.40.20
mascara 255.255.255.0
pta enlace 192.168.40.254y en el nat 200.180.140.150
Se hizo el mismo procedimiento con el otro equipo, claro esta con otras direccions
y las reglas que se tienen en el pfsense en el WAN:
TCP/UDP * * 192.168.40.20 * * none
y en la LAN
- 192.168.40.20 * * * WANGW none
y en la NAT
WAN 200.180.140.150 192.168.40.20 *
y pues ya me quebre la cabeza y no logro hacer nada
Cualquier orientacion que me puedan dar, se los agradezco de antemano
Saludos :D
-
A ver…
Yo lo haría +- como en las imágenes.
No has especificado los puertos que usan los equipos de videoconferencia, por lo que he puesto 1-65535.
Te recomiendo mirar en la documentación de los equipos y ajustar el NAT entrante a los puertos estrictamente necesarios.
La creación de un NAT entrante trae consigo la autocreación de una regla asociada en WAN.
Y por lo que respecta a LAN siempre va bien hacer las pruebas con la regla que por defecto activada y, en todo caso, desactivarla después. Tu regla en LAN parece correcta.
Lo olvidaba… Imágenes realizadas con mi pfSense 2.0.1 virtual de pruebas, http://forum.pfsense.org/index.php/topic,44778.0.html
-
No has especificado los puertos que usan los equipos de videoconferencia, por lo que he puesto 1-65535.
Te recomiendo mirar en la documentación de los equipos y ajustar el NAT entrante a los puertos estrictamente necesarios.Poner 1-65535 equivale a hacer un NAT 1:1, cosa que deja sin acceso a la WAN para otras cosas, a parte de exponer la IP interna de destino a todo.
Explicación en NAT 1:1 en el propio pfSense
If you add a 1:1 NAT entry for any of the interface IPs on this system, it will make this system inaccessible on that IP address. i.e. if you use your WAN IP address, any services on this system (IPsec, OpenVPN server, etc.) using the WAN IP address will no longer function.
-
Hola bellera
Gracias, por la orientación, voy a checar lo que me comentas y crear la regla, te comento cuando lo ponga en marcha
Saludos :)
-
Hola Bellera
Cree las reglas, como lo muestra tu imagen con un equipo(A) de videoconferencia y no veo ni oigo, del otro lado se me ven, y lo mas curioso es que con el otro equipo(B) de videoconferencia no le cree esta regla y si me conecto perfectamente bien, me veen y me escuchan, deshabilito la creado y sigue igual el equipo(A) de video no veo ni escucho, si me ven y el equipo(B) si veo,escucho y me veennn.
Ajuuuummm, que será, alguna otra idea…..
Saludos
-
Por favor, un esquema de que hay a cada lado. No termino de entender el montaje.
En principio tiene que ser fácil. Abrir puertos con NAT entrante y asunto concluído.
¿Qué dice el manual del fabricante a cerca de puertos usados y cortafuegos de por medio?
Fabricante - Modelo - Manual de instrucciones, a ser posible.
-
192.168.40.20 Videoconferencia –-- 192.168.40.254 LAN ---- PFSENSE ---- 200.180.140.150 WAN
¿Es esto lo que tienes, no?
-
Si asi lo tengo
Te adjunto las imagenes de lo que tengo en el pfsense y los equipos son marca tanberg
-
A ver…
Entiendo que tienes varias IPs virtuales en WAN:
AAA.BBB.248.147
AAA.BBB.248.148
AAA.BBB.248.156
AAA.BBB.248.157
AAA.BBB.248.158Si son IPs virtuales es correcto hacer NAT 1:1 y luego tener una regla en WAN que permita la entrada del tráfico que te interese.
Pero si una de estas IPs es la WAN no virtual debes hacer NAT Port Forward en lugar de NAT 1:1.
Obra pues en consecuencia porque no se más (de tu instalación)…
En cuanto a los Tandberg, en la página 10 de http://www.tandberg.com/collateral/white_papers/whitepaper_TANDBERG_Security.pdf están los puertos que usan.
Si puedes (por lo que digo sobre NAT) haz NAT 1:1 y autoriza provisionalmente en WAN todo el tráfico entrante hacia el equipo de videoconferencia.
Si resulta que no puedes hacer el NAT 1:1 tendrás que hacer NAT Port Forward de los puertos que necesites para el vídeo.
Mírate también lo que dicen en la página 8 sobre el NAT. Al parecer el equipo tiene un campo dónde debe especificarse la IP pública con que se ve en Internet para que el vídeo H.323 pueda hacer bien los NAT.
¿Será esto último el problema?
Saludos,
Josep Pujadas
-
Google h.323 site:forum.pfsense.org
Encontré bastante cosa, relacionada con VoIP y puede que tengas que mapear NAT Outbound con puertos estáticos para tu videocámara.
Los puertos estáticos son necesarios para que la otra videocámara vea los puertos "de origen" de la otra. Habrá traducción a IP pública pero no cambio (aleatorio) de puerto.
Si tu LAN es 192.168.10.0/24 y tu videocámara 192.168.10.40 quedaría como la imagen.
Ojo porque ahí mapeas NAT Outbound de forma manual y como veo que tienes más WANs y más LANs tienes que poner todas las combinaciones LAN-WAN que uses, http://www.bellera.cat/josep/pfsense/nat_cs.html#outbound
En la imagen sólo hay una combinación LAN-WAN haciendo la excepción para la videocámara.
Espero haberme explicado.
Saludos,
Josep Pujadas
-
Hola Jose
Gracias por el apoyo brindado, Saludos