Konfigurieren einer FortiGate 40F-Firewall für die 3CX Telefonanlage
- Einführung
- Schritt 1: Deaktivieren des SIP ALG
- Schritt 2: Erstellen einer ausgehenden Regel für die 3CX Telefonanlage
- Schritt 3: Erstellen einer eingehenden Regel für den Remote-Zugriff auf den 3CX Server
- Erstellen einer virtuellen IP-Adresse
- Erstellen eines Firewall-Objekts
- Erstellen einer Firewall-Richtlinie
- Schritt 4: Erstellen der internen DNS-Auflösung (Split DNS)
- Validieren aller Einstellungen
Einführung
In diesem Dokument wird die Konfiguration der Fortinet FortiGate 40F-Firewall unter Firmware Version 7.0.X und höher beschrieben.
Schritt 1: Deaktivieren des SIP ALG
Deaktivieren Sie über die FortiGate-Befehlszeile mit Hilfe der folgenden Befehle das SIP ALG (Application Layer Gateway):
set sip-expectation disable set sip-nat-trace disable set default-voip-alg-mode kernel-helper-based end config voip profile edit default config sip set rtp disable end end
Entfernen Sie im nächsten Schritt den Session Helper:
- Geben Sie folgende Befehle ein:
Show
- Unter den angezeigten Einstellungen befindet sich eine Einstellung, die dem folgenden Beispiel ähnelt:
set name sip set protocol 17 set port 5060
- Bei diesem Beispiel sind somit folgende Befehle einzugeben:
end
Führen Sie einen Neustart der Firewall per GUI oder Befehlszeile durch, bei Nutzung der Befehlszeile lautet der Befehl:
- execute reboot
Schritt 2: Erstellen einer ausgehenden Regel für die 3CX Telefonanlage
- Klicken Sie auf 'Policy & Objects' > 'Firewall Policy'.
- Klicken Sie auf 'Create New'.
- Name – Geben Sie der Firewall-Richtlinie einen leicht verständlichen Namen.
- Incoming interface – Wählen Sie die (LAN-)Schnittstelle Ihres 3CX Servers aus.
- Outgoing interface – Wählen Sie Ihre WAN-Schnittstelle aus.
- Source – Wählen Sie Ihren 3CX Server aus.
- Destination – Wählen Sie 'All' aus.
- Schedule – Behalten Sie den vorgegebenen Standardwert 'Always' bei.
- Service – Wählen Sie Ihre vorhandenen 3CX Services aus sowie die Ports für Push, DNS und SMTP.
- Action – Behalten Sie den vorgegebenen Standardwert 'ACCEPT' bei.
- NAT – Behalten Sie den vorgegebenen Standardwert 'CHECK' bei.
Weitergehende Informationen zu den von der 3CX Telefonanlage genutzten Ports finden Sie hier: https://www.3cx.de/docs/adminhandbuch/firewall-router-konfiguration/
Schritt 3: Erstellen einer eingehenden Regel für den Remote-Zugriff auf den 3CX Server
Erstellen einer virtuellen IP-Adresse
Je Service-Port muss eine virtuelle IP-Adresse zur Weiterleitung an den 3CX Server erstellt werden.
- Klicken Sie auf 'Policy & Objects' > 'Virtual IPs'.
- Klicken Sie auf 'Create New' > 'Virtual IP'.
- Name – Geben Sie der virtuellen IP-Adresse einen leicht verständlichen Namen.
- Interface – Wählen Sie die Schnittstelle für Ihre externe IP-Adresse aus.
- External IP address – Geben Sie die externe IP-Adresse für den Internet-Zugriff an.
- Map to IPv4 address – Geben Sie die interne IP-Adresse des 3CX Telefonanlagen-Servers an.
- Port Forwarding – Aktivieren Sie diese Option, um die nachfolgenden Einstellungen zu bearbeiten:
- 'Protocol – Wählen Sie den Protokolltyp für die weiterzuleitenden Ports aus (TCP oder UDP).
- Port Mapping Type – Behalten Sie die standardmäßig vorgegebene Option 'One to one' bei.
- External service port – Geben Sie den externen Port an, für gewöhnlich übereinstimmend mit dem internen Port.
- Map to IPv4 port – Geben Sie den internen Port an.
- Nachdem Sie alle virtuellen IP-Adressen erstellt haben, sollte die Service-Liste wie im folgenden Screenshot beispielhaft dargestellt aussehen:
Im obigen Beispiel lautet die externe IP-Adresse 1.2.3.4. Die IP-Adresse des 3CX Servers ist 192.168.10.10.
Tipp: Sie können für alle virtuellen IP-Adressen eine Gruppe erstellen, um die Konfiguration der Firewall-Richtlinie zu vereinfachen
Erstellen eines Firewall-Objekts
Für eine Firewall-Richtlinie muss zunächst ein Firewall-Objekt erstellt werden.
- Klicken Sie auf 'Policy & Objects' > 'Services'.
- Klicken Sie auf 'Create New' > 'Service'.
- Name – Geben Sie dem Service einen leicht verständlichen Namen.
- Protocol Type – Behalten Sie die standardmäßig vorgegebenen Protokolltyp 'TCP/UDP/SCTP' bei.
- Address – Behalten Sie die standardmäßig vorgegebenen IP-Adresse '0.0.0.0' bei.
- Destination port – Geben Sie alle für die 3CX Telefonanlage erforderlichen Ports an.
- Specify Source Ports – Stellen Sie sicher, dass diese Option deaktiviert ist.
Erstellen einer Firewall-Richtlinie
- Erstellen Sie eine Firewall-Richtlinie, damit die 3CX Telefonanlage von extern eingehenden Traffic empfangen kann:
- Klicken Sie auf 'Policy & Objects' > 'Firewall Policy'.
- Klicken Sie auf 'Create New'.
- Name – Geben Sie der Firewall-Richtlinie einen leicht verständlichen Namen.
- Incoming Interface – Geben Sie die Quell-Schnittstelle mit Ihrem Internetzugang an.
- Outgoing interface – Geben Sie die Schnittstelle Ihres 3CX Servers an (Beispiel im obigen Screenshot: VLAN).
- Source – Geben Sie die IP-Adressen für eingehende Verbindungen an. Wählen Sie 'all' für von jedem Standort aus eingehende Verbindungen zur 3CX Telefonanlage aus.
- Destination – Wählen Sie alle zuvor erstellten virtuellen IP-Adressen aus (bzw. deren Namen).
- Schedule – Behalten Sie den standardmäßig vorgegebenen Wert 'always' bei.
- Service – Wählen Sie die zuvor erstellten '3CX Services' aus.
- Action – Behalten Sie den standardmäßig vorgegebenen Wert 'ACCEPT' bei.
- NAT – Deaktivieren Sie NAT, damit die 3CX Telefonanlage die Remote-Adressen erkennt.
Weitergehende Informationen zu den von der 3CX Telefonanlage genutzten Ports finden Sie hier: https://www.3cx.de/docs/adminhandbuch/firewall-router-konfiguration/
Schritt 4: Erstellen der internen DNS-Auflösung (Split DNS)
Für eine reibungslose interne Nutzung der 3CX Telefonanlage muss deren Server lokal per FQDN erreichbar sein (also ohne Internet-Zugriff). Daher müssen auf FortiGate ein DNS-Server konfiguriert und ein DNS-Eintrag zur Zuordnung von FQDN und privater IP-Adresse erstellt werden.
Für Computer und IP-Telefone muss die FortiGate LAN-Schnittstelle als DNS-Server vorgegeben werden.
- Klicken Sie auf 'System' > 'Feature Visibility'.
- Wählen Sie 'DNS Database' aus, damit Sie den DNS-Server konfigurieren können.
- Klicken Sie auf 'Network' > 'DNS Servers'.
- Klicken Sie im Bereich 'DNS Service on Interface' auf die Schaltfläche 'Create New'.
- Wählen Sie alle LAN-Schnittstellen im 'Recursive'-Modus aus, damit für sie der DNS-Service aktiviert ist.
- Klicken Sie im Bereich 'DNS Database' auf die Schaltfläche 'Create New', und nehmen Sie die folgenden Einstellungen vor:
- Type – Behalten Sie den standardmäßig vorgegebenen Wert 'Primary' bei.
- View – Behalten Sie den standardmäßig vorgegebenen Wert 'Shadow' bei.
- DNS Zone – Geben Sie Ihrer DNS-Zone einen Namen.
- Domain Name – Geben Sie den Domänennamen Ihres 3CX Servers an (in diesem Beispiel lautet der FQDN [email protected] und der Domänenname somit 3cx.com)
- Hostname of Primary DNS – Behalten Sie den standardmäßig vorgegebenen Wert 'DNS' bei.
- TTL – Behalten Sie den standardmäßig vorgegebenen Wert bei.
- Authoritative – Deaktivieren Sie diese Option.
- Fügen Sie im Bereich 'DNS Entries' neue DNS-Einträge hinzu, indem Sie auf die Schaltfläche 'Create New' klicken.
- Type – Geben Sie 'Address (A)' an.
- Hostname – Geben Sie den Hostname an (in diesem Beispiel lautet der FQDN [email protected] und der Hostname somit example).
- IP Address – Geben Sie die IP-Adresse Ihres 3CX Servers an.
Testen Sie Ihre Einstellungen: Überprüfen Sie, ob der 3CX FQDN in Ihrem LAN in die interne IP-Adresse aufgelöst wird.
Validieren aller Einstellungen
Melden Sie sich an der 3CX Verwaltungskonsole an, und klicken Sie im Dashboard auf 'Firewall', um den Firewall-Checker zu starten und somit die für die 3CX Telefonanlage erforderliche Firewall-Konfiguration zu testen. Weiterführende Informationen zum Firewall-Checker finden Sie hier.
Letztes Update
Dieses Dokument wurde zuletzt am 24. August 2023 aktualisiert.