Pfsense con 3CX servidor VoIP, No funciona
-
espero no verme muy insistente, pero creo que es importnate este tema ya que pfsense es un importante contrafuegos, y 3cx es una importante central IP, asi que les traigo una liga del foro de 3cx, para entender mejor el problema.
ojala alguen tenga un dato para este problema
saludos
-
¡Hola!
No sé si es esto lo que necesitas:
http://wiki.3cx.com/documentation/networking
Revisa bien el apartado de NAT.
Veo que incluso 3CX tiene una utilidad para chequearlo en presencia de cortafuegos:
http://www.3cx.com/support/firewall-checker.html
Saludos,
Josep Pujadas
-
efectivamente
les comento que las reglas NAt que requiere mi sistema estan estipuladas en este link
http://www.3cx.es/manual/3CXPhoneSystemManual31es/centralita16.html
y tal cual como se pide ahi e colocado las reglas
pero cabe mencionar que…
las extenciones internas en la red pueden salir perfectamente, se establecen las llamadas correctamente
eso quiere decir que la funcion principal esta cubierta, el problema radica en que Pfsense esta bloqueando el trafico de fuera hacia adentro de las extenciones que se firman al servidor pero que se encuentran fuera de la red lan.
ya e visto en los logs del firewall y no logro identificar algo refernete al trafico de esta central IP
les agrego la imagen donde justo en este rango de tiempo se realizo una llamada
si alguien lograra identificar algo hagamelo saber
-
¡Hola!
Si el problema lo tienes el tráfico entrante algo está mal o falta en NAT forwarder y las reglas en WAN generadas automáticamente por NAT forwarder.
Ojo con la generación automática de reglas para NAT forwarder porque se crean cuando añades un NAT forwarder pero, curiosamente, no se actualizan cuando tocas un NAT forwarder.
Esto suele ocasionar problemas … Revísalo bien ...
Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls, donde hay ejemplos para algunos cortafuegos. Son conexiones RTP. Se parece mucho a un equipo de videovigilancia que tengo detrás de un pfSense, sin problemas. Bueno, problemas tuve porque el proveedor no me aclaró bien qué puertos empleaba. Se me ocurrió mirar desde un PC en mi red local los puertos que empleaba y apliqué los NAT forwarder para tenerlo en Internet.
Postea tus NAT forwarder y reglas en WAN para ver qué pasa o puedes enviármelas por correo.
Saludos,
Josep Pujadas
-
¡Hola de nuevo!
Por cierto, ¿ sabes qué tienes en el puerto UDP 520 ?
Según IANA
efs 520/tcp extended file name server
router 520/udp local routing process (on site);
# uses variant of Xerox NS routing
# information protocol - RIPpero nunca he visto un servicio de este tipo …
Saludos,
Josep Pujadas
-
ok bueno…
Por cierto, ¿ sabes qué tienes en el puerto UDP 520 ?
Según IANA
efs 520/tcp extended file name server
router 520/udp local routing process (on site);uses variant of Xerox NS routing
information protocol - RIP
en este puerto, yo en mi red local no tengo nada e incluso la Ip no forma parte de mi rango de IP's publicas, pero supongo que es la IP del Router de mi proveedor ya que los primero 3 octetos coinciden, ahunque no estoy seguro y me preocupa, tambien me suenan las siglas RIP
_efectivamente el problema es en el NAT, de eso no me queda duda "espero no tener problemas de seguridad ya que estoy exponiendo todo" "aunque finalmente lo ago para que si alguien mas tiene el mismo problema se vea como resolverlo"
esto es la LAN
y esto es en la WAN (las reglas fueron creadas de forma automatica por NAT y no se modificaron por eso creo que no hay cambios en esto)
Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls, donde hay ejemplos para algunos cortafuegos. Son conexiones RTP. Se parece mucho a un equipo de videovigilancia que tengo detrás de un pfSense, sin problemas. Bueno, problemas tuve porque el proveedor no me aclaró bien qué puertos empleaba. Se me ocurrió mirar desde un PC en mi red local los puertos que empleaba y apliqué los NAT forwarder para tenerlo en Internet.
en cuanto a esta liga, creo suponer que el problema radica en saber si cuento con un NAt Simetrico o no, y saber si puedo desactivarlo si es que el PFsense cuenta con la opcion. porque los puertos para RTP son los sig… y los tengo abiertos
UDP 9000-9045 enviar y recibir RTP*
UDP 7000-7499 llamadas Internas
UDP 3478 Servidor STUN
UDP&TCP 5060-6062 servidor SIP
TCP 5481-5480 Consola
TCP 5080-5090 Tunelde cualquier manera lo que voya a hacer es usar la herramienta de 3cx para validar el firewall y en seguida les comento. pero si pueden comentarme si saben sobre "NAT simetrico" o "Full NAT Cono" en el PFsense, se los agradeceria algun comentario
saludos
-
qui esta el test del firewall de 3cx
http://digitalmind.com.mx/images/rep3cxFirewall.txt
No logro identificar lo mencionado en…
@bellera:Ya había visto qué te hace falta en http://wiki.3cx.com/documentation/networking/nat-firewalls
no se si es NAt Simetrico o no
algun comentario?
-
¡Hola de nuevo!
Dos cosas:
**** Por seguridad conviene que cuando postees imágenes tapes de alguna forma tus IPs. Si hay que indicar cuáles son pon letras en su lugar. Ya sé que es engorroso pero conviene hacerlo así. Los posts que has puesto puedes modificarlos. O sea que estás a tiempo de corregirlo.
**** No veo los NAT Port forward y me temo que no los has definido porque en WAN no tienes ninguna regla creada automáticamente por los NAT Port forward:
http://www.bellera.cat/josep/pfsense/nat_cs.html#forward
Saludos,
Josep Pujadas
-
gracias por la recomendacion, ya he tapado todas las direcciones IP's publicas
ahora en cuanto a las reglas del NAT automatica, si lo hice, lo que no recuerdo es si modifique el nombre y por eso no aparece lo de automatico, crees que sea nesesario hacerlas de nuevo? despues de ese cambio?
definitivamente creo que el problema esta en el NAt simetrico, ahunque en el test del firewall de 3cx no veo algo que haga referencia a esto.
en la liga que me mandaste sobre NAt y los puertos para RTP, menciona que se deve de desactivar el NAT simetrico, pero no se donde encuentro esta opcion, alguien sabe?
-
encontre una liga en el foro en ingles
http://forum.pfsense.org/index.php/topic,104.0.html
lo que no entiendo es donde encuentro opciones como NAT avanzado de salida y como configurarlo
tambien hablan del Nat 1:1, que intente configurarlo pero me dice que la direccion IP publica que coloco no puede ser utilizada para 1:1 asi que si alguien puede decirme como configurar estas opciones o donde encotrarlas lo agradeceriasaludos
-
¡Hola!
Tus NAT Port forward y reglas parecen correctas …
Activa NAT Outbound avanzado para WAN y origen tu LAN:
http://www.bellera.cat/josep/pfsense/nat_cs.html#outbound
Y quizás tienes que marcar la casilla Static Port:
http://doc.pfsense.org/index.php/Static_Port
A ver si es esto …
Si buscas en la sección NAT del foro en inglés con la palabra symmetric salen muchos posts, además del que tu decías.
Saludos,
Josep Pujadas