Santral (SIP) Port Yönlendirememe Sorunu

Amras

Selam,
Şuradaki "https://docs.netgate.com/pfsense/en/latest/nat/configuring-nat-for-a-voip-pbx.html" yönergeleri takip ederek Lokal Ağımdaki SIP Santral için yapılandırma yapıyorum fakat bir türlü başarılı olamıyorum. Outbound kısmında "Mode" seçeneğini "Hybrid" kullanıyorum. Bu ayarları kullanmayıp 1:1 ayar yaptığım zaman başarılı oluyorum fakat 1:1 'in güvenlik riskleri yüzünden kullanmak istemiyorum. Yapım şu şekilde, aslında çok karmaşık değil ama ben çözemedim sanırım;

Lokal ağımızda 192.168.2.100 ipsinde 2222, 30155, 50000, 50512, 9877, 5070, 5060 portlarını kullanan bir santralimiz var. 5 farklı lokasyonda bizdeki santralin haberleştiği aynı portları kullanan santraller var. Uzaktaki lokasyondaki santrallerin önünde sadece modem mevcut ve nat ile port yönlendirme yapılmış durumda. Lokasyonlara pfsense kurarak VPN kurma şansımda yok. Bizdeki santral ve bu dışarıdaki santraller birbirleri ile haberleşerek dahili numaradan arayan birisi aynı dahilideymiş gibi diğer lokasyonlarla konuşuyor. Yani yapımız; Lokaldeki santral <--> pfsense <--> Lokasyondaki Modem <---> Lokasyondaki Santral; şeklinde. Bizdeki santrali pfsense 'in arkasından diğer santrallerle 1:1 dışındaki bir yapılandırma ile başarılı bir şekilde haberleştiremedim. Nasıl çözebilirim yada 1:1 kullan diyorsanız 1:1 yapılandırmanın güvenliğini nasıl arttırabilirim (Sadece lokasyonların ipsini kabul etme v.b. ) ?

cumhuraltan

Selamlar,

Nat sonrası oluşturacağınız wan kuralında sadece belirli ipleri belirtebilirsiniz, internette oldukça fazla pfsense eğitim fökümanları ve videoları mevcut onları inceleyerek pfsense konusunda kendinizi geliştirebilirsiniz. Burada asıl güvenlik probleminiz şubelerinizdeki modem arkasında çalışan santralleriniz ( şayet o santrallere'de port yönlendiriyorsanız ciddi risk altındasınız, şubelerde de firewall kullanıp sadece belirli iplerden gelen erişimlere izin vermelisiniz yoksa güvenlik için yapmanız gereken yatırımdan kat be kat fazlasını telefon faturası olarak ödeme riskiniz yüksek

Amras

1:1 yaptıktan sonra yukarıdaki giriş ayarlarından bahsediyorsunuz değil mi ? Yoksa aşağıdaki gibi firewall rules kısmı mı ?

Lokasyonlar için dediğinizde çok haklısınız ama ne yazık ki lokasyonlara pfsense kurmaya yada herhangi bir firewall bağlamaya altyapımız müsait, hem de idarecilerimiz durumu anlamazlar.

Bu haliyle bile pfsense yanlış portlara giriş yapılmaya çalıştığında blokluyor. Hatta farklı ipler sürekli port deniyor.

Ben bu 1:1 dışında Santrali dışarı ile haberleştiremedim(Dışarıdan içeri giriş tamam ama içeriden santral dışarı çakamadı. Ses ve haberleşme portları v.b.) . Dökümanları inceledim, denedim. Hatta ilk postta gönderdiğimi birebir uyguladım ama olmadı bir türlü. Kaçırdığım, yanlış yaptığım bir yer mi var acaba ? Nette yanlış mı arıyorum acaba. "SIP yada VOIP Nat Yapılandırması" diye bakıyorum ama benim derdim farklı mı ? Sizce 1:1 ile devam mı edeyim yoksa nat ve outbound kısmı ile çözemeye çalışayım mı ?

Qbilay

@Amras

IPsec VPN destekli modem temin ederek merkez ile sube arasinda baglantiyi sağlayarak yapabileceğinizi düşünüyorum.
TP-LINK 9970v3, Zyxel vmg3312-b10b veya vmg3312-b10a rahatlıkla bulunan modemler.

Amras

@Qbilay doğru söylüyorsunuz. Kabul edilse eski pcleri pfsense firewall 'a da çeviririz.