Pfsense equipos de videoconferencia

dwebdos

Hola a todos ;D

Le solicito su ayuda, ya que no he podido crear bien las reglas para los equipos de videoconferencia de mi centro de trabajo y no puedo recibir imagen ni sonido de una equipo externo y no puedo conectar a los dos equipos entre si, les explico.

Se tienen 2 equipos de videoconferencia,
el primero tiene una direccion lan 192.168.40.20
y una direccion wan 200.180.140.150

Esta informacion, lan, se introdujo en el codec en las opciones de red
direccion ip 192.168.40.20
mascara 255.255.255.0
pta enlace 192.168.40.254

y en el nat 200.180.140.150

Se hizo el mismo procedimiento con el otro equipo, claro esta con otras direccions

y las reglas que se tienen en el pfsense en el WAN:

TCP/UDP * * 192.168.40.20 * * none

y en la LAN

192.168.40.20 * * * WANGW none

y en la NAT

WAN 200.180.140.150 192.168.40.20 *

y pues ya me quebre la cabeza y no logro hacer nada

Cualquier orientacion que me puedan dar, se los agradezco de antemano

Saludos :D

bellera

A ver…

Yo lo haría +- como en las imágenes.

No has especificado los puertos que usan los equipos de videoconferencia, por lo que he puesto 1-65535.

Te recomiendo mirar en la documentación de los equipos y ajustar el NAT entrante a los puertos estrictamente necesarios.

La creación de un NAT entrante trae consigo la autocreación de una regla asociada en WAN.

Y por lo que respecta a LAN siempre va bien hacer las pruebas con la regla que por defecto activada y, en todo caso, desactivarla después. Tu regla en LAN parece correcta.

Lo olvidaba… Imágenes realizadas con mi pfSense 2.0.1 virtual de pruebas, http://forum.pfsense.org/index.php/topic,44778.0.html

firewall_nat_port_forward.jpg_thumb

firewall_rules_wan.jpg_thumb

firewall_rules_lan.jpg_thumb

bellera

No has especificado los puertos que usan los equipos de videoconferencia, por lo que he puesto 1-65535.
Te recomiendo mirar en la documentación de los equipos y ajustar el NAT entrante a los puertos estrictamente necesarios.

Poner 1-65535 equivale a hacer un NAT 1:1, cosa que deja sin acceso a la WAN para otras cosas, a parte de exponer la IP interna de destino a todo.

Explicación en NAT 1:1 en el propio pfSense

If you add a 1:1 NAT entry for any of the interface IPs on this system, it will make this system inaccessible on that IP address. i.e. if you use your WAN IP address, any services on this system (IPsec, OpenVPN server, etc.) using the WAN IP address will no longer function.

dwebdos

Hola bellera

Gracias, por la orientación, voy a checar lo que me comentas y crear la regla, te comento cuando lo ponga en marcha

Saludos :)

dwebdos

Hola Bellera

Cree las reglas, como lo muestra tu imagen con un equipo(A) de videoconferencia y no veo ni oigo, del otro lado se me ven, y lo mas curioso es que con el otro equipo(B) de videoconferencia no le cree esta regla y si me conecto perfectamente bien, me veen y me escuchan, deshabilito la creado y sigue igual el equipo(A) de video no veo ni escucho, si me ven y el equipo(B) si veo,escucho y me veennn.

Ajuuuummm, que será, alguna otra idea…..

Saludos

bellera

Por favor, un esquema de que hay a cada lado. No termino de entender el montaje.

En principio tiene que ser fácil. Abrir puertos con NAT entrante y asunto concluído.

¿Qué dice el manual del fabricante a cerca de puertos usados y cortafuegos de por medio?

Fabricante - Modelo - Manual de instrucciones, a ser posible.

bellera

192.168.40.20 Videoconferencia –-- 192.168.40.254 LAN ---- PFSENSE ---- 200.180.140.150 WAN

¿Es esto lo que tienes, no?

dwebdos

Si asi lo tengo

Te adjunto las imagenes de lo que tengo en el pfsense y los equipos son marca tanberg

Nat1.PNG_thumb

Nat2.PNG_thumb

Regla1.PNG_thumb

Regla2.PNG_thumb

bellera

A ver…

Entiendo que tienes varias IPs virtuales en WAN:

AAA.BBB.248.147
AAA.BBB.248.148
AAA.BBB.248.156
AAA.BBB.248.157
AAA.BBB.248.158

Si son IPs virtuales es correcto hacer NAT 1:1 y luego tener una regla en WAN que permita la entrada del tráfico que te interese.

Pero si una de estas IPs es la WAN no virtual debes hacer NAT Port Forward en lugar de NAT 1:1.

Obra pues en consecuencia porque no se más (de tu instalación)…

En cuanto a los Tandberg, en la página 10 de http://www.tandberg.com/collateral/white_papers/whitepaper_TANDBERG_Security.pdf están los puertos que usan.

Si puedes (por lo que digo sobre NAT) haz NAT 1:1 y autoriza provisionalmente en WAN todo el tráfico entrante hacia el equipo de videoconferencia.

Si resulta que no puedes hacer el NAT 1:1 tendrás que hacer NAT Port Forward de los puertos que necesites para el vídeo.

Mírate también lo que dicen en la página 8 sobre el NAT. Al parecer el equipo tiene un campo dónde debe especificarse la IP pública con que se ve en Internet para que el vídeo H.323 pueda hacer bien los NAT.

¿Será esto último el problema?

Saludos,

Josep Pujadas

bellera

Google h.323 site:forum.pfsense.org

Encontré bastante cosa, relacionada con VoIP y puede que tengas que mapear NAT Outbound con puertos estáticos para tu videocámara.

Los puertos estáticos son necesarios para que la otra videocámara vea los puertos "de origen" de la otra. Habrá traducción a IP pública pero no cambio (aleatorio) de puerto.

Si tu LAN es 192.168.10.0/24 y tu videocámara 192.168.10.40 quedaría como la imagen.

Ojo porque ahí mapeas NAT Outbound de forma manual y como veo que tienes más WANs y más LANs tienes que poner todas las combinaciones LAN-WAN que uses, http://www.bellera.cat/josep/pfsense/nat_cs.html#outbound

En la imagen sólo hay una combinación LAN-WAN haciendo la excepción para la videocámara.

Espero haberme explicado.

Saludos,

Josep Pujadas

firewall_nat_outbound_static_port.jpg_thumb

dwebdos

Hola Jose

Gracias por el apoyo brindado, Saludos