Konfigurieren einer WatchGuard XTM-Firewall für die 3CX Telefonanlage

Einführung

Konfiguration der WatchGuard XTM-Firewall

In diesem Dokument erfahren Sie, wie Sie eine WatchGuard XTM-Firewall und ähnliche Modelle mit der Firmware Fireware XTM 12.9.2 und höher zur gemeinsamen Nutzung mit der 3CX Telefonanlage konfigurieren. Wir möchten Sie darauf hinweisen, dass Sie den 3CX Support nicht für die Konfiguration Ihrer Firewall in Anspruch nehmen können.

Schritt 1: Erstellen einer Statischen NAT (SNAT)

Konfigurieren Sie zuerst eine SNAT, damit über Ihre statische öffentliche IP-Adresse eingehender Traffic an die lokale IP-Adresse Ihrer 3CX Telefonanlage weitergeleitet wird:

  1. Rufen Sie die Firebox®-Benutzeroberfläche auf, und navigieren Sie zu 'Firewall' >  'SNAT'.
  2. Klicken Sie auf das Schlosssymbol, um Änderungen durchführen zu können, und dann auf 'Add'. 
    Sperrung von Änderungen
    Schaltfläche "Add"
  3. Geben Sie der SNAT-Richtlinie den Namen '3CX_SNAT'.
  4. Wählen Sie als 'Type' die Option 'Static NAT'.
  5. Klicken Sie im Bereich 'SNAT MEMBERS' auf 'Add'.
    Benennung der SNAT-Richtlinie
  6. Wählen Sie in der Dropdown-Liste 'IP Adress or Interface' die externe IP-Adresse der Firewall aus, um eingehenden Traffic per NAT an die 3CX Telefonanlage weiterzuleiten.
  7. Wählen Sie in der Dropdown-Liste 'Choose Type' die Option 'Internal IP Address' aus, und geben Sie als 'Host' die interne IP-Adresse Ihrer 3CX Telefonanlage an. Klicken Sie auf 'OK'.
    Angabe der externen und internen IP-Adresse
  8. Klicken Sie auf 'Save'. Die SNAT-Richtlinie ist nun aktiv.
    Speicherung der SNAT-Richtlinie zur Aktivierung

Schritt 2: Erstellen einer Firewall-Richtlinie

So konfigurieren Sie nach der SNAT-Einrichtung die erforderliche Firewall-Richtlinie:

  1. Rufen Sie die Firebox®-Benutzeroberfläche auf, und navigieren Sie zu 'Firewall' > 'Firewall Policies'. Klicken Sie auf 'Add Policy'.
    Hinzufügen einer Firewall-Richtlinie
  2. Wählen Sie im Bereich 'Select a policy type' die Option 'Custom', und klicken Sie auf 'Add'.  
    Auswahl des Richtlinientyps
  3. Geben Sie der Richtlinienvorlage den Namen '3CX_Ports'.
  4. Klicken Sie unter der Liste 'PROTOCOLS' auf 'Add', um Ihre Ports hinzuzufügen, über die eine Verbindung zur 3CX Telefonanlage erlaubt ist. Klicken Sie auf 'Save', wenn Sie alle Ports hinzugefügt haben.
    Festlegung der für die 3CX Telefonanlage erforderlichen Ports
  5. Klicken Sie auf 'ADD POLICY'.
  6. Geben Sie der Richtlinie den Namen '3CX_Services'.
    Benennung der Firewall-Richtlinie
  7. Entfernen Sie die im Bereich 'From' und 'To' aufgeführten Objekte, indem Sie auf 'Remove' klicken.

Entferung von Objekten

  1. Klicken Sie unter dem Bereich 'From' auf 'Add'.
  2. Wählen Sie unter der Dropdown-Liste 'Member type' für 'Alias' die Option 'Any-External' aus, und klicken Sie auf 'OK'.
    Auswahl des Member Type
  3. Klicken Sie unter dem Bereich 'To' auf 'Add'.
  4. Wählen Sie in der Dropdown-Liste 'Member type' die Option 'Static NAT' aus.
  5. Das zuvor erstellte SNAT wird angezeigt (in unserem Beispiel '3CX_SNAT'). Wählen Sie es aus, und klicken Sie auf 'OK'.
    Auswahl der 3CX SNAT
  6. Die Firewall-Richtlinie sollte wie im folgenden Screenshot dargestellt aussehen:

Kontrolle der Firewall-Richtlinie

  1. Speichern Sie die Firewall-Richtlinie, um sie zu aktivieren.

Schritt 3: NAT Loopback (Hairpinning)

Falls Sie über keinen internen DNS-Server für die Nutzung von Split DNS verfügen, können Sie NAT Loopback nutzen, um aus Ihrem internen Netzwerk auf Ihren FQDN zuzugreifen, der in Ihre öffentliche IP-Adresse aufgelöst wird.

Hierfür müssen Sie eine weitere Firewall-Regel erstellen, wie unter Schritt 2: Erstellen einer Firewall-Richtlinie beschrieben, jedoch mit folgenden abweichenden Einstellungen:

  1. Wählen Sie in Schritt 2.2 die bereits erstellte Firewall-Richtlinie '3CX_Ports' aus, statt eine neue benutzerdefinierte Richtlinie hinzuzufügen.
    Auswahl eines Richtlinientyps
  2. Geben Sie in Schritt 2.6 den Namen '3CX_Services_Hairpin' an.
  3. Behalten Sie in Schritt 2.7 das unter 'From' aufgeführte Objekt 'Any-Trusted' bei und/oder fügen Sie andere interne Netzwerke hinzu, auf die das NAT Loopback angewendet werden soll.

Schritt 4: Validieren der Einstellungen

  1. Melden Sie sich an der 3CX Verwaltungskonsole an, und klicken Sie im Dashboard auf 'Firewall', um den Firewall-Checker zu starten und somit die für die 3CX Telefonanlage erforderliche Firewall-Konfiguration zu testen. Weiterführende Informationen zum Firewall-Checker finden Sie hier.
  2. Rufen Sie die Firebox®-Benutzeroberfläche auf, und navigieren Sie zu 'Firewall' > 'SNAT', um zu kontrollieren, dass die SNAT-Richtlinie vorhanden ist und Traffic somit zum 3CX Server gelangen kann.
    Validierung der Einstellungen zur Firewall-Richtlinie
  3. Rufen Sie die Firebox®-Benutzeroberfläche auf, und navigieren Sie zu 'Firewall' > 'Firewall Policies', um eine Liste aller Richtlinien angezeigt zu bekommen. Klicken Sie auf den Namen der 3CX Richtlinie (hier: '3CX_Ports'), um zu überprüfen, ob alle zuvor vorgenommenen Einstellungen korrekt sind.

Letztes Update

Dieses Dokument wurde zuletzt am 25. September 2023 aktualisiert.

https://www.3cx.dem/docs/watchguard-xtm-firewall/