Configurando un WatchGuard XTM con 3CX

Introducción

Este documento describe la configuración de dispositivos WatchGuard XTM para su uso con 3CX. Este manual está basado en Fireware XTM > v12.9.2 y debería ser compatible con cualquier dispositivo corriendo este Firmware. Por favor tenga en cuenta que no podemos asistirle en la configuración de su firewall.

Paso 1: Crear un NAT Estático (SNAT)

En primer lugar, debe configurar el NAT Estático para reenviar el tráfico entrante desde la IP pública estática a la IP local de su PBX 3CX:

1. Navegue en la Interfaz Web de su Firebox® y vaya a “Firewall” → “SNAT”.
2. Haga clic en el ícono de candado que le permitirá realizar cambios y luego haga clic en “Add”.

3. Ingrese el nombre “3CX_SNAT” en la Política SNAT.
4. Seleccione “Static NAT” como tipo.
5. Debajo de “SNAT MEMBERS” haga clic en “Add”.

6. Seleccione la dirección IP/interfaz debajo del menú desplegable. La IP externa del dispositivo debe ser utilizada para el tráfico entrante NAT hacia su 3CX.
7. Ingrese la dirección IP Interna/Privada de su 3CX y haga clic en “OK”.

8. Haga clic en “Save” y la Política SNAT estará ahora activa.

Paso 2: Crear Política de Cortafuegos (Firewall)

Después de haber configurado la NAT estática, debe ser configurada la Política de Cortafuegos (Firewall):

1. Navegue por su Firebox® y vaya a “Firewall” → “Firewall Policies” y haga clic en “Add Policy”.

2. En “Policy Type” seleccione “Custom” y haga clic en “Add”.

3. Ingrese “3CX_Ports” como Nombre para  la Plantilla de la Política.
4. Utilice el botón “Add” debajo de “PROTOCOLS” para añadir una lista personalizada de puertos que pueden conectarse a su 3CX. Cuando todos los puertos sean añadidos, haga clic en “Save”.

5. Haga clic en “ADD POLICY”.
6. Coloque “3CX_Services” como nombre de la Política.

7. Elimine los objetos “From” y “To”.

8. Debajo de la sección “From” haga clic en “Add”.
9. En el menú desplegable seleccione “Any-External” y haga clic en “OK”.

10. Debajo de “To” haga clic en“Add”.
11. En el menú desplegable para el tipo de Miembro seleccione “Static NAT”.
12. El SNAT creado previamente será listado (en este ejemplo “3CX_SNAT”). Seleccione el SNAT y haga clic en “OK”.

13. La política del Cortafuegos debe parecerse a la siguiente captura de pantalla:

13. Guarde la Política de Cortafuegos y quedará activada.

Paso 3: Bucle NAT (de Horquilla)

Si no dispone de un servidor DNS interno para utilizar Split DNS puede utilizar el bucle NAT para acceder a su FQDN que resuelve a su IP pública desde la red interna.

Para ello, debe crear otra regla de Cortafuegos (Firewall) siguiendo los pasos del Paso 2: Crear Política de Cortafuegos (Firewall), con los siguientes cambios:

1. En el paso 2.2 en lugar de agregar una nueva política personalizada, se debe seleccionar la ya creada, llamada "3CX_Ports".

2. En el Paso 2.6 utilice “3CX_Services_Hairpin” como nombre.
3. En el Paso 2.7 no elimine el objeto “FROM”. Mantenga la red interna “Any-Trusted” y/o agregue cualquier otra red en la que desee aplicar el bucle NAT (de Horquilla).

Paso 4: Validando su Configuración

1. Ingrese a su Consola de Administración 3CX → Panel → Firewall y ejecute el Validador de Cortafuegos 3CX. Esto validará si su cortafuegos está correctamente configurado para usarse con su 3CX. Más información acerca del Validador de Cortafuegos puede ser encontrada aquí.
2. Navegue en la Interfaz Web de su Firebox® UI → Firewall → SNAT para confirmar que cuenta con su Política SNAT Policy para que el tráfico pueda alcanzar el servidor 3CX.

3. Navegue a Firebox® → Firewall → Firewall Policies para visualizar el resumen de su configuración.  Haga clic en el nombre de la política 3CX (por ejemplo: “3CX_Ports”) para confirmar que se han establecido todas las configuraciones específicas.

Última Actualización

Este documento se actualizó por última vez el 7 de Julio de 2023

https://www.3cx.es/docs/firewall-watchguard-xtm/