Pfsense + Panasonic KX-TDA290CJ
-
estimados, tengo una central Telefonica Panasonic KX-TDA290CJ, y tengo una red de 3 segmentos, la central es interna, y solo usa anexos internos, no se comunican hacia afuera, el tema, es que antes de pfsense tenia Watchguard XTM y no habia ningun problema, ahora en pfsense, donde he replicado las mismas reglas, no hay comunicacion entre los anexos ip's y la central, toda la comunicacion es por puertos UDP, principalmente anexos desde el UDP 9301 y la central por UDP 9300, los anexos que estan en el mismo segmento si funcionan, lei en otro lado que los puertos UDP son tranformados al pasar de un segmento de red a otro en pfsense, sera una incompatibilidad, algun consejo, que datos necesitan adicional… gracias.
-
revisa en el log del firewall, También si es posible podrías entregar los segmentos y las reglas que estas usando para permitir el acceso a las otras redes. una imagen seria buena.
saludos
-
Tienen comunicacion los equipos (PC) del segmento donde tienes los telefonos con el PBX Panasonic?
un ping ?
-
si, hay comunicacion, los pc's se comunican entre segmentos de red, hay ping entre los pc's y los telefonos y la central
si voy a Diagnostics-> States, me aparece asi la comunicacion entre la central (10.10.16.202 y un telefono 192.168.3.77 (que esta en otro segmento, y otro en 192.168.4.202 de otro segmento)
LANADMIN udp 10.10.16.202:9300 <- 192.168.3.77:9301 NO_TRAFFIC:SINGLE
EXTERNA udp 10.10.16.202:9300 <- 192.168.4.202:9301 NO_TRAFFIC:SINGLEleyendo el foro, intente lo que sale aca https://doc.pfsense.org/index.php/Static_Port
pero el unico cambio que logre fue
LANADMIN udp 10.10.16.202:9300 <- 192.168.3.77:9301 MULTIPLE:MULTIPLE
EXTERNA udp 10.10.16.202:9300 <- 192.168.4.202:9301 MULTIPLE:MULTIPLEpero hay comunicacion, los telefonos no se loguean en la central
los telefonos que estan en el mismo segmento se comunican perfecto con la central.
en el manual de la central panasonic, toda la comunicacion es siempre por UDP.
-
lei en otro lado que los puertos UDP son transformados al pasar de un segmento de red a otro en pfsense, sera una incompatibilidad, algun consejo, que datos necesitan
Leíste bien. Eso es debido al NAT Outbound. Tienes que ajustarlo para que no cambien estos puertos.
-
Lei los Documentos estimado, pero algo estoy haciendo mal,
mi configuracion es asi
WAN x.x.x.x
LANADMIN 192.168.3.0/24 (aca hay telefonos y no se conectan)
CONTROL 10.10.0.0/16 (la central esta aca en 10.10.16.202, tambien telefonos aca y funcionan perfecto)
EXTERNA 192.168.4.0/24 (aca hay telefonos y no se conectan)lo primero que hice fue ir a System -> Advanced -> Firewall/ NAT y cambie Firewall Optimization Options a conservative
y cambie UDP Options a 40 seconds (Firts, Single y Multiple)
tambien cambie NAT Reflection mode for port forwards a Disabled (antes era Enable (pure nat))
Luego Cree un Alias Llamado Panasonic y le puse lus puertos que aparecen en el manual (adjunto captura)
8000:8063 RTP
9300:9301 Maintenance
2727 MGCP
2427
67:68en Firewall -> Rules
LANADMIN
protoIPv4 Source * Port * Destination * Port (Panasonic) Gateway *
UDPEXTERNA
protoIPv4 Source * Port * Destination * Port (Panasonic) Gateway *
UDPFui A diagnostics -> States
LANADMIN udp 10.10.16.202:9300 <- 192.168.3.77:9301 NO_TRAFFIC:SINGLE
no funciona, despues
fui a Firewall -> NAT -> Outboud
primero probe con Disabled
aca quede con la duda, por que un telefono de LANADMIN, hizo ring en algun momento, pero no se escuchaba la llamada
Despues Probe con Manual y Hybrid, agregue estas reglas (no tan ordenada pero para generar alguna respuesta)
LANADMIN 192.168.3.0/24 udp/Panasonic 10.10.16.0/24 udp/Panasonic LANADMIN address * YES Auto created rule for LAN
EXTERNA 192.168.4.0/24 udp/* 10.10.16.0/24 udp/9300 EXTERNA address * YES Auto created rule for LAN
EXTERNA 192.168.4.0/24 udp/* 10.10.16.0/24 udp/9301 EXTERNA address * YES Auto created rule for LAN
EXTERNA 192.168.4.0/24 udp/Panasonic 10.10.16.0/24 udp/Panasonic EXTERNA address * YES Auto created rule for LAN
CONTROL 192.168.4.0/24 udp/* 10.10.16.0/24 udp/9300 CONTROL address * YES Auto created rule for LAN
CONTROL 192.168.4.0/24 udp/* 10.10.16.0/24 udp/9301 CONTROL address * YES Auto created rule for LAN
CONTROL 192.168.3.0/24 udp/* 10.10.16.0/24 udp/9300 CONTROL address * YES Auto created rule for LAN
CONTROL 192.168.3.0/24 udp/* 10.10.16.0/24 udp/9301 CONTROL address * YES Auto created rule for LAN
CONTROL 192.168.4.0/24 udp/Panasonic 10.10.16.0/24 udp/Panasonic CONTROL address * YES Auto created rule for LAN
CONTROL 192.168.3.0/24 udp/Panasonic 10.10.16.0/24 udp/Panasonic CONTROL address * YES Auto created rule for LANsigue sin funcionar, alguna sugerencia, gracias.
-
Yo tengo algunos PBX con asterisk y extensiones remotas via VPN pero no se que tanto varie el flujo de los paquetes.
En tu caso , podrias definir una regla en donde las Ips de los telefonos puedan acceder a cualquier puerto del PBX ? , por la manera en como fluye el trafico, quiero pensar que la regla debe de ir en ambos sentidos.
Esto con fines de pruebas, ya podras refinarla una vez que veas si te funciona.
Saludos y esperamos tus comentarios.
