Konfigurieren einer FortiGate 40F-Firewall für die 3CX Telefonanlage

Einführung

In diesem Dokument wird die Konfiguration der Fortinet FortiGate 40F-Firewall unter Firmware Version 7.0.X und höher beschrieben.

Schritt 1: Deaktivieren des SIP ALG

Deaktivieren Sie über die FortiGate-Befehlszeile mit Hilfe der folgenden Befehle das SIP ALG (Application Layer Gateway):

Entfernen Sie im nächsten Schritt den Session Helper:

1. Geben Sie folgende Befehle ein:

2. Unter den angezeigten Einstellungen befindet sich eine Einstellung, die dem folgenden Beispiel ähnelt:

3. Bei diesem Beispiel sind somit folgende Befehle einzugeben:

Führen Sie einen Neustart der Firewall per GUI oder Befehlszeile durch, bei Nutzung der Befehlszeile lautet der Befehl:

• execute reboot

Schritt 2: Erstellen einer ausgehenden Regel für die 3CX Telefonanlage

1. Klicken Sie auf 'Policy & Objects' > 'Firewall Policy'.
2. Klicken Sie auf 'Create New'.

1. Name – Geben Sie der Firewall-Richtlinie einen leicht verständlichen Namen.
2. Incoming interface – Wählen Sie die (LAN-)Schnittstelle Ihres 3CX Servers aus.
3. Outgoing interface – Wählen Sie Ihre WAN-Schnittstelle aus.
4. Source – Wählen Sie Ihren 3CX Server aus.
5. Destination – Wählen Sie 'All' aus.
6. Schedule – Behalten Sie den vorgegebenen Standardwert 'Always' bei.
7. Service – Wählen Sie Ihre vorhandenen 3CX Services aus sowie die Ports für Push, DNS und SMTP.
8. Action – Behalten Sie den vorgegebenen Standardwert 'ACCEPT' bei.
9. NAT – Behalten Sie den vorgegebenen Standardwert 'CHECK' bei.

Weitergehende Informationen zu den von der 3CX Telefonanlage genutzten Ports finden Sie hier: https://www.3cx.de/docs/adminhandbuch/firewall-router-konfiguration/

Schritt 3: Erstellen einer eingehenden Regel für den Remote-Zugriff auf den 3CX Server

Erstellen einer virtuellen IP-Adresse

Je Service-Port muss eine virtuelle IP-Adresse zur Weiterleitung an den 3CX Server erstellt werden.

1. Klicken Sie auf 'Policy & Objects' > 'Virtual IPs'.
2. Klicken Sie auf 'Create New' > 'Virtual IP'.

1. Name – Geben Sie der virtuellen IP-Adresse einen leicht verständlichen Namen.
2. Interface – Wählen Sie die Schnittstelle für Ihre externe IP-Adresse aus.
3. External IP address – Geben Sie die externe IP-Adresse für den Internet-Zugriff an.
4. Map to IPv4 address – Geben Sie die interne IP-Adresse des 3CX Telefonanlagen-Servers an.
5. Port Forwarding – Aktivieren Sie diese Option, um die nachfolgenden Einstellungen zu bearbeiten:

1. 'Protocol – Wählen Sie den Protokolltyp für die weiterzuleitenden Ports aus (TCP oder UDP).
2. Port Mapping Type – Behalten Sie die standardmäßig vorgegebene Option 'One to one' bei.
3. External service port – Geben Sie den externen Port an, für gewöhnlich übereinstimmend mit dem internen Port.
4. Map to IPv4 port – Geben Sie den internen Port an.

3. Nachdem Sie alle virtuellen IP-Adressen erstellt haben, sollte die Service-Liste wie im folgenden Screenshot beispielhaft dargestellt aussehen:

Im obigen Beispiel lautet die externe IP-Adresse 1.2.3.4. Die IP-Adresse des 3CX Servers ist 192.168.10.10.

 Tipp: Sie können für alle virtuellen IP-Adressen eine Gruppe erstellen, um die Konfiguration der Firewall-Richtlinie zu vereinfachen

Erstellen eines Firewall-Objekts

Für eine Firewall-Richtlinie muss zunächst ein Firewall-Objekt erstellt werden.

1. Klicken Sie auf 'Policy & Objects' > 'Services'.
2. Klicken Sie auf 'Create New' > 'Service'.

1. Name – Geben Sie dem Service einen leicht verständlichen Namen.
2. Protocol Type – Behalten Sie die standardmäßig vorgegebenen Protokolltyp 'TCP/UDP/SCTP' bei.
3. Address – Behalten Sie die standardmäßig vorgegebenen IP-Adresse '0.0.0.0' bei.
4. Destination port – Geben Sie alle für die 3CX Telefonanlage erforderlichen Ports an.
5. Specify Source Ports – Stellen Sie sicher, dass diese Option deaktiviert ist.

Erstellen einer Firewall-Richtlinie

1. Erstellen Sie eine Firewall-Richtlinie, damit die 3CX Telefonanlage von extern eingehenden Traffic empfangen kann:

1. Klicken Sie auf 'Policy & Objects' > 'Firewall Policy'.
2. Klicken Sie auf 'Create New'.
3. Name – Geben Sie der Firewall-Richtlinie einen leicht verständlichen Namen.
4. Incoming Interface – Geben Sie die Quell-Schnittstelle mit Ihrem Internetzugang an.
5. Outgoing interface – Geben Sie die Schnittstelle Ihres 3CX Servers an (Beispiel im obigen Screenshot: VLAN).
6. Source – Geben Sie die IP-Adressen für eingehende Verbindungen an. Wählen Sie 'all' für von jedem Standort aus eingehende Verbindungen zur 3CX Telefonanlage aus.
7. Destination – Wählen Sie alle zuvor erstellten virtuellen IP-Adressen aus (bzw. deren Namen).
8. Schedule – Behalten Sie den standardmäßig vorgegebenen Wert 'always' bei.
9. Service – Wählen Sie die zuvor erstellten '3CX Services' aus.
10. Action – Behalten Sie den standardmäßig vorgegebenen Wert 'ACCEPT' bei.
11. NAT – Deaktivieren Sie NAT, damit die 3CX Telefonanlage die Remote-Adressen erkennt.

Weitergehende Informationen zu den von der 3CX Telefonanlage genutzten Ports finden Sie hier: https://www.3cx.de/docs/adminhandbuch/firewall-router-konfiguration/

Schritt 4: Erstellen der internen DNS-Auflösung (Split DNS)

Für eine reibungslose interne Nutzung der 3CX Telefonanlage muss deren Server lokal per FQDN erreichbar sein (also ohne Internet-Zugriff). Daher müssen auf FortiGate ein DNS-Server konfiguriert und ein DNS-Eintrag zur Zuordnung von FQDN und privater IP-Adresse erstellt werden.

Für Computer und IP-Telefone muss die FortiGate LAN-Schnittstelle als DNS-Server vorgegeben werden.

1. Klicken Sie auf 'System' > 'Feature Visibility'.
2. Wählen Sie 'DNS Database' aus, damit Sie den DNS-Server konfigurieren können.
3. Klicken Sie auf 'Network' > 'DNS Servers'.
4. Klicken Sie im Bereich 'DNS Service on Interface' auf die Schaltfläche 'Create New'.
5. Wählen Sie alle LAN-Schnittstellen im 'Recursive'-Modus aus, damit für sie der DNS-Service aktiviert ist.

1. Klicken Sie im Bereich 'DNS Database' auf die Schaltfläche 'Create New', und nehmen Sie die folgenden Einstellungen vor:

1. Type – Behalten Sie den standardmäßig vorgegebenen Wert 'Primary' bei.
2. View – Behalten Sie den standardmäßig vorgegebenen Wert 'Shadow' bei.
3. DNS Zone – Geben Sie Ihrer DNS-Zone einen Namen.
4. Domain Name – Geben Sie den Domänennamen Ihres 3CX Servers an (in diesem Beispiel lautet der FQDN [email protected] und der Domänenname somit 3cx.com)
5. Hostname of Primary DNS – Behalten Sie den standardmäßig vorgegebenen Wert 'DNS' bei.
6. TTL – Behalten Sie den standardmäßig vorgegebenen Wert bei.
7. Authoritative – Deaktivieren Sie diese Option.

1. Fügen Sie im Bereich 'DNS Entries' neue DNS-Einträge hinzu, indem Sie auf die Schaltfläche 'Create New' klicken.

1. Type – Geben Sie 'Address (A)' an.
2. Hostname – Geben Sie den Hostname an (in diesem Beispiel lautet der FQDN [email protected] und der Hostname somit example).
3. IP Address – Geben Sie die IP-Adresse Ihres 3CX Servers an.

Testen Sie Ihre Einstellungen: Überprüfen Sie, ob der 3CX FQDN in Ihrem LAN in die interne IP-Adresse aufgelöst wird.

Validieren aller Einstellungen

Melden Sie sich an der 3CX Verwaltungskonsole an, und klicken Sie im Dashboard auf 'Firewall', um den Firewall-Checker zu starten und somit die für die 3CX Telefonanlage erforderliche Firewall-Konfiguration zu testen. Weiterführende Informationen zum Firewall-Checker finden Sie hier.

Letztes Update
Dieses Dokument wurde zuletzt am 24. August 2023 aktualisiert.

https://www.3cx.de/docs/fortigate-firewall-konfiguration/