Configurando un Cortafuegos pfSense con 3CX

Introducción

Este documento describe la configuración de pfSense v2.5.2+ para uso con 3CX. Esta guía está escrita para administradores del PBX en redes con una sola IP WAN, o quienes están usando su IP WAN primaria para 3CX. Asumimos que el Servidor 3CX en nuestro ejemplo tiene una dirección IP interna de 192.168.3.155 y pfSense está escuchando en 192.168.3.1. También usamos una dirección IP pública 1.2.3.4 y un FQDN de "service.tigunia.com" en las capturas de pantalla del ejemplo de Split Brain DNS.

Paso 1: Configurar el Reenvío de Puertos (NAT)

Editando las entradas de NAT in el cortafuegos pfSense.

Inicie sesión en la consola de administración web de su pfSense y:

  1. Navegue a “Firewall” > “NAT”.
  2. Utilice el botón “Add” situado a la derecha para agregar una nueva regla.
  1. Genere las reglas de NAT para todos los puertos que necesitan ser reenviados, basados en esta lista.
  1. “Protocol”: Establezca el tipo de protocolo en función del puerto o puertos que esté reenviando.
  2. “Destination port range”: Seleccione el puerto / rango de puertos para la entrada NAT. Si el puerto no está predefinido, como se muestra para SIP, introduzca los números de puerto personalizados.
  3. “Redirect target IP”: Ingrese la dirección IP interna de la Central Telefónica 3CX.
  4. “Redirect target port”: Introduzca el puerto interno, comúnmente el mismo que el puerto externo.
  5. “Description”: Etiquete la regla para facilitar su identificación.
  6. “NAT reflection: Utilice el valor por defecto del sistema.
  7. “Filter rule association”: Agregue la regla de filtro asociada.
  8. Haga clic en “Save” y luego en “Apply” para activar la configuración y repita estos pasos para cada una de las entradas NAT requeridas.
  1. Repita el paso #3 para cada puerto a ser reenviado.
  2. Después de agregar todas las reglas de reenvío de puertos, deben verse similares al siguiente ejemplo.

Puertos reenviados en cortafuegos pfSense.

Paso 2: Preservación de Puertos (NAT de Cono Completo)

NAT de cono completo en cortafuegos pfSense.

  1. Navegue a “Firewall” > “NAT” > “Outbound”.
  2. Cambie el tipo de automático a “Hybrid” y presione “Save”.

Edite la entrada avanzada de NAT saliente en el cortafuegos de pfSense.

  1. Ahora genere un nuevo “Mapping Rule” como se muestra en ejemplo arriba:
  1. “Source” para la IP LAN de su Host 3CX, por ejemplo: 192.168.3.155.
  2. “Port or Range” - habilite “Static Port”.
  1. Move the rule to the first position in your “Mappings NAT table” to ensure operation, as shown in the first screenshot in this section.
  2. Make sure you have now applied settings on both the “Port Forward” and “Outbound” pages.

Paso 3: Administración del FQDN

En el siguiente paso de esta guía, se necesita elegir cómo se quiere manejar la administración de FQDN 3CX dentro de la red. Hay 2 opciones - Split Brain DNS o NAT de Horquilla. Split Brain DNS tiene la ventaja de mantener su tráfico de red 3CX interno a su red y no enviarlo fuera de la interfaz WAN, pero tiene una configuración más complicada. El NAT de Horquilla es más fácil de configurar, pero consumirá más tráfico WAN y puede resultar en una calidad de llamada pobre en algunas situaciones. Recomendamos utilizar Split Brain DNS siempre que sea posible.

Opción 1: Configurando Split Brain DNS

  1. Navegue a “Services” > “DNS Resolver”.
    Cortafuegos pfSense - Resolución de DNS.
  2. En la pestaña Configuración General, asegúrese de que DNS Resolver está activado.Cortafuegos pfSense - Habilitar resolución de DNS.
  3. Asegúrese de que la opción "All" está seleccionada en "Network Interfaces" (o en cualquier interfaz específica en la que desee que escuche el DNS Resolver - normalmente LAN).
    Cortafuegos pfSense - Interfaces de red.
  4. Asegúrese de que DNS Query Forwarding esté habilitado.
    Cortafuegos pfSense - Habilitar DNS Query Forwarding.
  5. En la parte inferior de la página, en la sección Host Overrides, haga clic en "Add".
    Cortafuegos pfSense - Anulaciones de host.
  6. Agregue el host, dominio, dirección IP como se requiera, luego haga clic en "Save". El host será la primera parte de su FQDN 3CX y el dominio será la última parte de su FQDN 3CX. La dirección IP será la dirección IP interna de la Central Telefónica 3CX.
    Cortafuegos pfSense - Editar la anulación de host.
  7. Asegúrese de que sus dispositivos están utilizando pfSense para la resolución DNS (o utilizando un dispositivo que hace el reenvío a pfSense para consultas desconocidas). Esta configuración es normalmente manejada por su servidor DHCP y los servidores DNS que distribuyen.

Opción 2: Configurando el NAT de Horquilla

  1. Navegue a “System” > “Advanced”.
  2. Cambie NAT Reflection mode for port forwards” a “Pure NAT”, active la casilla Enable NAT Reflection for 1:1 NAT y active la casilla Enable automatic outbound NAT for Reflection”.
    Cortafuegos pfSense - NAT de horquilla.

Paso 4: Validando su Configuración

Para validar su configuración NAT / Reenvío de Puertos, vaya a "Panel de Control" > "Cortafuegos" en la consola de administración 3CX para ejecutar el Verificador de Cortafuegos 3CX y validar si su cortafuegos está correctamente configurado para su uso con 3CX. Vea más información acerca del Verificador de Cortafuegos.

Para validar su configuración de Split Brain DNS, puede usar la herramienta nslookup (dentro de la red / detrás de su firewall pfSense) para validar como se resuelve el DNS. Simplemente escriba "nslookup <fqdn> <dns-server>" en donde <fqdn> es su FQDN 3CX y <dns-server> es la IP del servidor DNS que desea consultar. Cuando se consulta a un servidor DNS externo, se debería ver la IP WAN devuelta y cuando se consulta a su distribuidor pfSense DNS interno, se debería ver la dirección IP interna de la Central Telefónica 3CX devuelta.

  1. El siguiente ejemplo muestra la comprobación de la resolución IP externa del FQDN "service.tigunia.com" con los servidores DNS públicos de Google (8.8.8.8):

Cortafuegos pfSense - Comprobación a DNS de Google.

  1. El siguiente ejemplo muestra la comprobación de la resolución IP interna del FQDN "service.tigunia.com" contra su pfSense Resolver interno (192.168.3.1):

Cortafuegos pfSense - Comprobación DNS interno.

Para validar su configuración de NAT de Horquilla, intente acceder a su FQDN 3CX desde una computadora dentro de la red por FQDN. Si se puede cargar el cliente web, el NAT de Horquilla debería estar funcionando.

En algunos casos, es posible que tenga que reiniciar el cortafuegos para que los cambios surtan efecto.

Si sus teléfonos remotos o su proveedor de VoIP funcionan casi siempre pero se desconectan aleatoriamente, considere cambiar esta opción.

  1. Vaya a “System” > “Advanced”.
  2. Establezca “Firewall Optimization Options” a “Conservative”.
  3. Haga clic en “Save”.

Agradecimientos especiales a nuestro Partner 3CX Titanium, Managed IT & Document Technologies of Arizona y Brentt Graeb por las secciones NAT/Port Forwarding y Port Preservation de esta guía. Un agradecimiento especial a nuestro Partner 3CX Gold, Tigunia, y Martin Twerski por las secciones DNS Split Brain y NAT de Horquilla de esta guía.

Ver También

Última Actualización

Este documento se actualizó por última vez el 20 de Junio de 2023

https://www.3cx.es/docs/firewall-pfsense/