Configurando un WatchGuard XTM con 3CX
Introducción
Este documento describe la configuración de dispositivos WatchGuard XTM para su uso con 3CX. Este manual está basado en Fireware XTM > v12.9.2 y debería ser compatible con cualquier dispositivo corriendo este Firmware. Por favor tenga en cuenta que no podemos asistirle en la configuración de su firewall.
Paso 1: Crear un NAT Estático (SNAT)
En primer lugar, debe configurar el NAT Estático para reenviar el tráfico entrante desde la IP pública estática a la IP local de su PBX 3CX:
- Navegue en la Interfaz Web de su Firebox® y vaya a “Firewall” → “SNAT”.
- Haga clic en el ícono de candado que le permitirá realizar cambios y luego haga clic en “Add”.
- Ingrese el nombre “3CX_SNAT” en la Política SNAT.
- Seleccione “Static NAT” como tipo.
- Debajo de “SNAT MEMBERS” haga clic en “Add”.
- Seleccione la dirección IP/interfaz debajo del menú desplegable. La IP externa del dispositivo debe ser utilizada para el tráfico entrante NAT hacia su 3CX.
- Ingrese la dirección IP Interna/Privada de su 3CX y haga clic en “OK”.
- Haga clic en “Save” y la Política SNAT estará ahora activa.
Paso 2: Crear Política de Cortafuegos (Firewall)
Después de haber configurado la NAT estática, debe ser configurada la Política de Cortafuegos (Firewall):
- Navegue por su Firebox® y vaya a “Firewall” → “Firewall Policies” y haga clic en “Add Policy”.
- En “Policy Type” seleccione “Custom” y haga clic en “Add”.
- Ingrese “3CX_Ports” como Nombre para la Plantilla de la Política.
- Utilice el botón “Add” debajo de “PROTOCOLS” para añadir una lista personalizada de puertos que pueden conectarse a su 3CX. Cuando todos los puertos sean añadidos, haga clic en “Save”.
- Haga clic en “ADD POLICY”.
- Coloque “3CX_Services” como nombre de la Política.
- Elimine los objetos “From” y “To”.
- Debajo de la sección “From” haga clic en “Add”.
- En el menú desplegable seleccione “Any-External” y haga clic en “OK”.
- Debajo de “To” haga clic en“Add”.
- En el menú desplegable para el tipo de Miembro seleccione “Static NAT”.
- El SNAT creado previamente será listado (en este ejemplo “3CX_SNAT”). Seleccione el SNAT y haga clic en “OK”.
- La política del Cortafuegos debe parecerse a la siguiente captura de pantalla:
- Guarde la Política de Cortafuegos y quedará activada.
Paso 3: Bucle NAT (de Horquilla)
Si no dispone de un servidor DNS interno para utilizar Split DNS puede utilizar el bucle NAT para acceder a su FQDN que resuelve a su IP pública desde la red interna.
Para ello, debe crear otra regla de Cortafuegos (Firewall) siguiendo los pasos del Paso 2: Crear Política de Cortafuegos (Firewall), con los siguientes cambios:
- En el paso 2.2 en lugar de agregar una nueva política personalizada, se debe seleccionar la ya creada, llamada "3CX_Ports".
- En el Paso 2.6 utilice “3CX_Services_Hairpin” como nombre.
- En el Paso 2.7 no elimine el objeto “FROM”. Mantenga la red interna “Any-Trusted” y/o agregue cualquier otra red en la que desee aplicar el bucle NAT (de Horquilla).
Paso 4: Validando su Configuración
- Ingrese a su Consola de Administración 3CX → Panel → Firewall y ejecute el Validador de Cortafuegos 3CX. Esto validará si su cortafuegos está correctamente configurado para usarse con su 3CX. Más información acerca del Validador de Cortafuegos puede ser encontrada aquí.
- Navegue en la Interfaz Web de su Firebox® UI → Firewall → SNAT para confirmar que cuenta con su Política SNAT Policy para que el tráfico pueda alcanzar el servidor 3CX.
- Navegue a Firebox® → Firewall → Firewall Policies para visualizar el resumen de su configuración. Haga clic en el nombre de la política 3CX (por ejemplo: “3CX_Ports”) para confirmar que se han establecido todas las configuraciones específicas.
Última Actualización
Este documento se actualizó por última vez el 7 de Julio de 2023