Pfsense con 3CX servidor VoIP, No funciona



  • Hola a todos

    bueno les traigo el sig problema, recientemente sustitui un router SMC por el pfsense, todo en general fucniona de maravilla, incluso un servidor que tengo de voz sobre IP (3cx) con todas sus llamadas internas y de la red hacia Internet, el rpoblema esta en lo sig

    tengo una persona que se encuentra en otra ciudad, y cuenta con un adaptador telefonico (PAP2) que se firma en mi servidor de Voz (3cx), pero, cuando deseo marcarle suena perfectamente e inclusive me contesta y escucho perfectamente su voz, pero yo a el no lo escuho, y cuando el me quiere marcar, simplemente la llamada no sale. lo extraño es que anteriormente con el Router SMC funcionaba a la perfeccion, por esta razon me atrevo a exponer este problema aqui y no en el foro de 3CX, ya que esta comrobado que funcionaba con el otro router.

    como datos importantes les despliego los puertos que usa la central IP 3CX, estos son los estipulados por el proveedor y fabricante

    UDP        9000-9045 enviar y recibir RTP
    UDP        7000-7499 llamadas Internas
    UDP        3478        Servidor STUN
    UDP&TCP  5060-6062 servidor SIP
    TCP        5481-5480 Consola
    TCP        5080-5090 Tunel

    tambien les agrego la imagen de una imprecion de pantalla del diagnostico de States

    si agluien tiene algun dato como aportacion?
    o alguin sabe como se resuelve el problema?

    les pido su ayuda y agradecere su apoyo

    saludos



  • espero no verme muy insistente, pero creo que es importnate este tema ya que pfsense es un importante contrafuegos, y 3cx es una importante central IP, asi que les traigo una liga del foro de 3cx, para entender mejor el problema.

    ojala alguen tenga un dato para este problema

    saludos



  • ¡Hola!

    No sé si es esto lo que necesitas:

    http://wiki.3cx.com/documentation/networking

    Revisa bien el apartado de NAT.

    Veo que incluso 3CX tiene una utilidad para chequearlo en presencia de cortafuegos:

    http://www.3cx.com/support/firewall-checker.html

    Saludos,

    Josep Pujadas



  • efectivamente

    les comento que las reglas NAt que requiere mi sistema estan estipuladas en este link

    http://www.3cx.es/manual/3CXPhoneSystemManual31es/centralita16.html

    y tal cual como se pide ahi e colocado las reglas

    pero cabe mencionar que…

    las extenciones internas en la red pueden salir perfectamente, se establecen las llamadas correctamente

    eso quiere decir que la funcion principal esta cubierta, el problema radica en que Pfsense esta bloqueando el trafico de fuera hacia adentro de las extenciones que se firman al servidor pero que se encuentran fuera de la red lan.

    ya e visto en los logs del firewall y no logro identificar algo refernete al trafico de esta central IP

    les agrego la imagen donde justo en este rango de tiempo se realizo una llamada

    si alguien lograra identificar algo hagamelo saber



  • ¡Hola!

    Si el problema lo tienes el tráfico entrante algo está mal o falta en NAT forwarder y las reglas en WAN generadas automáticamente por NAT forwarder.

    Ojo con la generación automática de reglas para NAT forwarder porque se crean cuando añades un NAT forwarder pero, curiosamente, no se actualizan cuando tocas un NAT forwarder.

    Esto suele ocasionar problemas … Revísalo bien ...

    Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls, donde hay ejemplos para algunos cortafuegos. Son conexiones RTP. Se parece mucho a un equipo de videovigilancia que tengo detrás de un pfSense, sin problemas. Bueno, problemas tuve porque el proveedor no me aclaró bien qué puertos empleaba. Se me ocurrió mirar desde un PC en mi red local los puertos que empleaba y apliqué los NAT forwarder para tenerlo en Internet.

    Postea tus NAT forwarder y reglas en WAN para ver qué pasa o puedes enviármelas por correo.

    Saludos,

    Josep Pujadas



  • ¡Hola de nuevo!

    Por cierto, ¿ sabes qué tienes en el puerto UDP 520 ?

    Según IANA

    efs            520/tcp    extended file name server
    router          520/udp    local routing process (on site);
    #                          uses variant of Xerox NS routing
    #                          information protocol - RIP

    pero nunca he visto un servicio de este tipo …

    Saludos,

    Josep Pujadas



  • ok bueno…

    @bellera:

    Por cierto, ¿ sabes qué tienes en el puerto UDP 520 ?

    Según IANA

    efs             520/tcp    extended file name server
    router          520/udp    local routing process (on site);

    uses variant of Xerox NS routing

    information protocol - RIP

    en este puerto, yo en mi red local no tengo nada e incluso la Ip no forma parte de mi rango de IP's publicas, pero supongo que es la IP del Router de mi proveedor ya que los primero 3 octetos coinciden, ahunque no estoy seguro y me preocupa, tambien me suenan las siglas RIP
    _

    efectivamente el problema es en el NAT, de eso no me queda duda "espero no tener problemas de seguridad ya que estoy exponiendo todo" "aunque finalmente lo ago para que si alguien mas tiene el mismo problema se vea como resolverlo"

    esto es la LAN

    y esto es en la WAN (las reglas fueron creadas de forma automatica por NAT y no se modificaron por eso creo que no hay cambios en esto)

    @bellera:

    Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls, donde hay ejemplos para algunos cortafuegos. Son conexiones RTP. Se parece mucho a un equipo de videovigilancia que tengo detrás de un pfSense, sin problemas. Bueno, problemas tuve porque el proveedor no me aclaró bien qué puertos empleaba. Se me ocurrió mirar desde un PC en mi red local los puertos que empleaba y apliqué los NAT forwarder para tenerlo en Internet.

    en cuanto a esta liga, creo suponer que el problema radica en saber si cuento con un NAt Simetrico o no, y saber si puedo desactivarlo si es que el PFsense cuenta con la opcion. porque los puertos para RTP son los sig… y los tengo abiertos

    @erespejel:

    UDP         9000-9045 enviar y recibir RTP*
    UDP         7000-7499 llamadas Internas
    UDP         3478         Servidor STUN
    UDP&TCP  5060-6062 servidor SIP
    TCP         5481-5480 Consola
    TCP         5080-5090 Tunel

    de cualquier manera lo que voya a hacer es usar la herramienta de 3cx para validar el firewall y en seguida les comento. pero si pueden comentarme si saben sobre "NAT simetrico" o "Full NAT Cono" en el PFsense, se los agradeceria algun comentario

    saludos



  • qui esta el test del firewall de 3cx

    http://digitalmind.com.mx/images/rep3cxFirewall.txt

    No logro identificar lo mencionado en…
    @bellera:

    Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls

    no se si es NAt Simetrico o no

    algun comentario?



  • ¡Hola de nuevo!

    Dos cosas:

    **** Por seguridad conviene que cuando postees imágenes tapes de alguna forma tus IPs. Si hay que indicar cuáles son pon letras en su lugar. Ya sé que es engorroso pero conviene hacerlo así. Los posts que has puesto puedes modificarlos. O sea que estás a tiempo de corregirlo.

    **** No veo los NAT Port forward y me temo que no los has definido porque en WAN no tienes ninguna regla creada automáticamente por los NAT Port forward:

    http://www.bellera.cat/josep/pfsense/nat_cs.html#forward

    Saludos,

    Josep Pujadas



  • gracias por la recomendacion, ya he tapado todas las direcciones IP's publicas

    ahora en cuanto a las reglas del NAT automatica, si lo hice, lo que no recuerdo es si modifique el nombre y por eso no aparece lo de automatico, crees que sea nesesario hacerlas de nuevo? despues de ese cambio?

    definitivamente creo que el problema esta en el NAt simetrico, ahunque en el test del firewall de 3cx no veo algo que haga referencia a esto.

    en la liga que me mandaste sobre NAt y los puertos para RTP, menciona que se deve de desactivar el NAT simetrico, pero no se donde encuentro esta opcion, alguien sabe?



  • encontre una liga en el foro en ingles

    http://forum.pfsense.org/index.php/topic,104.0.html

    lo que no entiendo es donde encuentro opciones como NAT avanzado de salida y como configurarlo
    tambien hablan del Nat 1:1, que intente configurarlo pero me dice que la direccion IP publica que coloco no puede ser utilizada para 1:1 asi que si alguien puede decirme como configurar estas opciones o donde encotrarlas lo agradeceria

    saludos



  • ¡Hola!

    Tus NAT Port forward y reglas parecen correctas …

    Activa NAT Outbound avanzado para WAN y origen tu LAN:

    http://www.bellera.cat/josep/pfsense/nat_cs.html#outbound

    Y quizás tienes que marcar la casilla Static Port:

    http://doc.pfsense.org/index.php/Static_Port

    A ver si es esto …

    Si buscas en la sección NAT del foro en inglés con la palabra symmetric salen muchos posts, además del que tu decías.

    Saludos,

    Josep Pujadas


Log in to reply