Central VOIP atrás de um PFsense - Fórum Intelbras

Central VOIP atrás de um PFsense

Moderadores: SuporteIntelbras, Moderador

Kulkamp
Registrado
Mensagens: 4
Registrado em: 16 Mar 2018, 10:33

Central VOIP atrás de um PFsense

Mensagempor Kulkamp » 16 Mar 2018, 15:26

Boa tarde pessoal;

Tenho noções do funcionamento das centrais de telefonia, mas não sou da área. Na verdade sou da área de TI.
Recentemente um cliente pediu para remover a central de telefonia (Uma Impact 68i com placa ICIP 30) que estava ligada diretamente na rede da operadora com um IP público e coloca-la na LAN atrás de um PFsense, pois a empresa de telefonia alegou ataques como justificativa à duas paradas que a central teve ao longo do tempo. Eu que gerencio a parte de infraestrutura dessa empresa. Em contato com a empresa de telefonia, fiz o NAT para as portas solicitadas, SIP 5060 e o range 10000 a 64000 para RTP. Inclusive fiz um NAT 1:1 utilizando o mesmo IP pública que era utilizado pela central anteriormente. As ligações para ramais IP móveis fora da rede da empresa chegam a ser fechadas, a pessoa atende mas nenhuma das partes ouve a outra. Cheguei a fazer uma liberação full no firewall, como se fosse uma DMZ, para o IP interno de LAN da central, mas o problema persiste. Pedi para acessar a central apenas para conferir e me deparei com o seguinte cenário:

A rede interna possui o endereçamento 10.1.2.0/24 com gateway (Pfsense ) no IP 10.1.2.254 e a central está no IP 10.1.2.230. O IP público em que a rede sofre NAT é 189.45.46.10 ( esse IP não é real, estou usando um fictício) e o IP que a central usava diretamente antes é 189.45.46.11. A empresa possui um range de IPs públicos /29.

A central telefonica possui essas configurações:

>Rede:
>Geral
>>Interface de saída para os tráfegos: LAN
>>Configuração de NAT por gateway
>>> Gateway: 10.143.92.25 (WAN) | Com NAT | IP Público do NAT: 189.45.46.10
>>> Gateway: 10.1.2.230 (LAN) | Sem NAT

>WAN
IP: 10.143.92.26
MASK: 255.255.255.248
Gateway: 10.143.92.25
Habilitar tráfego: SIP, RTP e Administração

>LAN
IP: 10.1.2.230
MASK: 255.255.255.0
Gateway: 10.1.2.254
Habilitar tráfego: SIP, RTP e Administração

>VOIP - Placa ICIP 30 Canais
>> Proxy
>>>"Operadora X"
>>> Estado da operadora: OK (verde)
>>> Endereço IP do Servidor: 10.150.129.68
>>> Porta do servidor: 5060
>>Ramais IP - Global
>>Porta de escuta SIP: 5060
>>Porta RTP Mín: 10000
>>Porta RTP Máx: 64000

No Pfsense fiz um NAT 1:1 do IP público 189.45.46.11 para o 10.1.2.230 (IP de LAN da central). No firewall fiz uma liberação completa para poder testar. Ou seja, todo pacote destinado ao IP 189.45.46.11 será encaminhando ao IP interno 10.1.2.230 e todo pacote originado pelo IP 10.1.2.230 com destino fora da rede será mascarado (NAT) com o IP 189.45.46.11.

No firewall eu vejo pacotes TCP e UPD trafegando na porta 5060 e no range especificado, mas a ligação sempre está muda. Estou desconfiado que seja algum parâmetro que deva ser ajustado na central, mas como nunca mexi nessa central, não imagino o que seja. Alguém teria uma ideia do que deva ser feito?
Obs.: A central não fui eu que configurei, mas o pessoal da empresa de telefonia, inclusive eles que fizeram as ligações físicas da central. Eu apenas estou configurando o firewall.
Desde já agradeço.
Avatar do usuário
shimpato
Membro
Mensagens: 2131
Registrado em: 01 Jul 2011, 00:04
Localização: São Paulo, São Paulo, Z/L
Contato:

Re: Central VOIP atrás de um PFsense

Mensagempor shimpato » 16 Mar 2018, 15:50

Kulkamp escreveu:Boa tarde pessoal;

Tenho noções do funcionamento das centrais de telefonia, mas não sou da área. Na verdade sou da área de TI.
Recentemente um cliente pediu para remover a central de telefonia (Uma Impact 68i com placa ICIP 30) que estava ligada diretamente na.............................seja. Alguém teria uma ideia do que deva ser feito?
Obs.: A central não fui eu que configurei, mas o pessoal da empresa de telefonia, inclusive eles que fizeram as ligações físicas da central. Eu apenas estou configurando o firewall.
Desde já agradeço.





Olá, sou instalador certificado INTELBRAS, e revenda a 13 anos,


Sua central pertence a operadora ou pertence a vcs?
se pertence a operadora a responsabilidade é da operadora e nao de vcs

de nada adianta ter um firewall e fazer um DMZ para central, se deixa-la diretamente como estava da no mesmo.

para evitar os ataques vc deve trocar as portas padrão da central,
exemplo nunca utilizar 5060,
e diminuir esse range de portas RTP, nao precisa ter 10000 a 64000

utilize por exemplo 10000 a 20000 é mais do que o suficiente,
lembrando que, todos os equipamentos devem estar com as mesmas portas, APP do Celular, centrais e Telefones IP


Usar a Porta WAN apenas em caso da INTERNET entrar diretamente na central de PABX,

se sua internet é compartilhada use a LAN,

existem outras configurações a serem refeitas, mas basicamente é isso amigo,

a INTELBRAS nao dá suporte a PLACA ICIP a menos que seja um Tecnico certificado.

caso precise, entre em contato conosco e podemos fazer acesso remoto e verificar todas as configurações da central.
Kulkamp
Registrado
Mensagens: 4
Registrado em: 16 Mar 2018, 10:33

Re: Central VOIP atrás de um PFsense

Mensagempor Kulkamp » 16 Mar 2018, 16:30

shimpato escreveu:
Kulkamp escreveu:Boa tarde pessoal;

Tenho noções do funcionamento das centrais de telefonia, mas não sou da área. Na verdade sou da área de TI.
Recentemente um cliente pediu para remover a central de telefonia (Uma Impact 68i com placa ICIP 30) que estava ligada diretamente na.............................seja. Alguém teria uma ideia do que deva ser feito?
Obs.: A central não fui eu que configurei, mas o pessoal da empresa de telefonia, inclusive eles que fizeram as ligações físicas da central. Eu apenas estou configurando o firewall.
Desde já agradeço.





Olá, sou instalador certificado INTELBRAS, e revenda a 13 anos,


Sua central pertence a operadora ou pertence a vcs?
se pertence a operadora a responsabilidade é da operadora e nao de vcs

de nada adianta ter um firewall e fazer um DMZ para central, se deixa-la diretamente como estava da no mesmo.

para evitar os ataques vc deve trocar as portas padrão da central,
exemplo nunca utilizar 5060,
e diminuir esse range de portas RTP, nao precisa ter 10000 a 64000

utilize por exemplo 10000 a 20000 é mais do que o suficiente,
lembrando que, todos os equipamentos devem estar com as mesmas portas, APP do Celular, centrais e Telefones IP


Usar a Porta WAN apenas em caso da INTERNET entrar diretamente na central de PABX,

se sua internet é compartilhada use a LAN,

existem outras configurações a serem refeitas, mas basicamente é isso amigo,

a INTELBRAS nao dá suporte a PLACA ICIP a menos que seja um Tecnico certificado.

caso precise, entre em contato conosco e podemos fazer acesso remoto e verificar todas as configurações da central.


Boa tarde shimpato;

Obrigado pelo retorno.
A central na verdade é do meu cliente. Eu cuido da parte de TI dessa empresa e outra terceira empresa cuida da parte de telefonia. Essa terceira empresa havia instalado a central diretamente na rede da operadora. Mas depois de sofrer dois ataques decidiram colocar atrás do firewall, porém estamos enfrentando esses problemas. Eu fiz esse NAT 1:1 apenas para testar, já que o redirecionamento para as portas específicas não havia funcionado. A respeito do grande range de portas, eu havia visto aqui no fórum sobe diminuir o range e iria sugerir a empresa de telefonia.
Eu não entendi porque duas interfaces estão sendo usadas, WAN e LAN, mas acredito que seja devido ao entrocamento digital da operadora.
Eu apenas queria me certificar que não há mais nenhum segredo para fazer o redirecionamento de portas, ou se há algum parâmetro a ser ajustado quando a central estiver atrás de um firewall sofrendo NAT. O que você acha, o que está ocorrendo é devido as configurações da central ou pode ser algum erro de configuração do firewall?
Caso o pessoal da telefonia não consiga fazer as configurações, vou sugerir ao meu cliente que entre em contato com você, pois pelo que vi você tem bastante experiência com essas centrais.

Abraços!
Avatar do usuário
shimpato
Membro
Mensagens: 2131
Registrado em: 01 Jul 2011, 00:04
Localização: São Paulo, São Paulo, Z/L
Contato:

Re: Central VOIP atrás de um PFsense

Mensagempor shimpato » 16 Mar 2018, 18:14

Kulkamp escreveu:


................l ou pode ser algum erro de configuração do firewall?
Caso o pessoal da telefonia não consiga fazer as configurações, vou sugerir ao meu cliente que entre em contato com você, pois pelo que vi você tem bastante experiência com essas centrais.

Abraços!




realmente, nao tem o pq de usar as 2 interfaces,

referente ao link da operadora,
se a operadora tem um lin dedicado somente para a telefonia ela nao sofre ataques,
pois o link nao é aberto e exposto na INTERNET,

ai sim nesse caso vc teria que usar as 2 portas, WAN onde chega o link dedicado somente para telefonia e LAN para vc poder fazer o gerenciamento da Central,

se o link não é dedicado da operadora somente para a telefonia, e esse link é compartilhado,
vc utiliza somente a LAN, e faz as regras de NAT normalmente em sua rede, como se fosse por exemplo um CFTV

de qualquer modo, estamos a disposição
Kulkamp
Registrado
Mensagens: 4
Registrado em: 16 Mar 2018, 10:33

Re: Central VOIP atrás de um PFsense

Mensagempor Kulkamp » 20 Mar 2018, 12:00

Bom dia;

Pelo que entendi é assim: existe um entrocamento digital da operadora ligado a porta WAN da central. Como o cliente não possui linha analógica, todas as ligações são recebidas e efetuadas através dessa linha digital. O endereçamento dessa linha é própria da operadora e não está disponível na internet. As ligações para e a partir de ramais locais estão funcionando normalmente. Para a utilização dos ramais móveis (IP), o pessoal da empresa de telefonia havia configurado na porta LAN da central, um IP público e ligado essa porta diretamente ao roteador da operadora de internet. Até então estava funcionando, mas depois de colocar a porta LAN atrás do firewall e atribuir um IP da rede local, as ligações são efetuadas para os ramais IP, mas a voz não é ouvida por nenhuma das partes. O teste que vou realizar agora é configurar um roteador simples atribuindo a ele um IP público na WAN e configurando a LAN no mesmo endereçamento de rede. Assim irei simular o firewall da rede. Irei configurar o IP da central em DMZ nesse roteador. Se não funcionar, saberemos que é alguma configuração que deve ser ajustada na central. Se funcionar, saberemos que é algum problema do firewall.

Abraços!
Avatar do usuário
shimpato
Membro
Mensagens: 2131
Registrado em: 01 Jul 2011, 00:04
Localização: São Paulo, São Paulo, Z/L
Contato:

Re: Central VOIP atrás de um PFsense

Mensagempor shimpato » 20 Mar 2018, 12:28

Kulkamp escreveu:Bom dia;

Pelo que entendi é assim: existe um entrocamento digital da operadora ligado a porta WAN da central. Como o cliente não possui linha analógica, todas as ligações são recebidas e efetuadas através dessa linha digital. O endereçamento dessa linha é própria da operadora e não está disponível na internet. As ligações para e a partir de ramais locais estão funcionando normalmente. Para a utilização dos ramais móveis (IP), o pessoal da empresa de telefonia havia configurado na porta LAN da central, um IP público e ligado essa porta diretamente ao roteador da operadora de internet. Até então estava funcionando, mas depois de colocar a porta LAN atrás do firewall e atribuir um IP da rede local, as ligações são efetuadas para os ramais IP, mas a voz não é ouvida por nenhuma das partes. O teste que vou realizar agora é configurar um roteador simples atribuindo a ele um IP público na WAN e configurando a LAN no mesmo endereçamento de rede. Assim irei simular o firewall da rede. Irei configurar o IP da central em DMZ nesse roteador. Se não funcionar, saberemos que é alguma configuração que deve ser ajustada na central. Se funcionar, saberemos que é algum problema do firewall.

Abraços!



amigo de forma alguma vc deve fazer um DMZ para a central, ela ficará totalmente exposta.

basta ligar a LAN em sua rede local,
exixtem confiogurações a serem feitas na Rede, Roteador e central,
mas aqui pelo forum nao terá esse suporte,
caso queira, podemos fazer as configurações, nosso contato contato@arseg.com.br 11 98018-3429
Kulkamp
Registrado
Mensagens: 4
Registrado em: 16 Mar 2018, 10:33

Re: Central VOIP atrás de um PFsense

Mensagempor Kulkamp » 20 Mar 2018, 13:51

Boa tarde;

A configuração da DMZ seria apenas para realizar os testes. Assim que funcionasse restringiríamos o NAT para apenas as portas necessárias.
Já peguei o teu contato e vou repassar para o meu cliente. Se eu identificar que realmente falta alguma configuração na central e o pessoal da telefonia não conseguir fazer funcionar, vou recomendar que ele entre em contato com você. Agradeço a ajuda.
Abraços!
mackoyjubelli
Membro
Mensagens: 12
Registrado em: 04 Dez 2013, 18:35

Re: Central VOIP atrás de um PFsense

Mensagempor mackoyjubelli » 27 Dez 2018, 16:11

Olá, boa tarde, conseguiu resolver este problema?
Avatar do usuário
Boris
Membro
Mensagens: 119
Registrado em: 10 Mai 2017, 07:52

Re: Central VOIP atrás de um PFsense

Mensagempor Boris » 28 Dez 2018, 08:03

mackoyjubelli escreveu:Olá, boa tarde, conseguiu resolver este problema?

Você também está tendo o problema de ligações entre ramais de redes diferentes sem áudio? Caso sim, consegue descrever o problema?
8-)
mackoyjubelli
Membro
Mensagens: 12
Registrado em: 04 Dez 2013, 18:35

Re: Central VOIP atrás de um PFsense

Mensagempor mackoyjubelli » 28 Dez 2018, 08:37

Boris escreveu:
mackoyjubelli escreveu:Olá, boa tarde, conseguiu resolver este problema?

Você também está tendo o problema de ligações entre ramais de redes diferentes sem áudio? Caso sim, consegue descrever o problema?


Mais ou menos, para tu ter uma ideia tenho 2 firewall iguais, 1 na matriz e outro na filial, só muda o range de ip, mesmo provedor de internet no meu caso (copel 10 mb dedicado + 2 outros links para outras coisas) enfim, na matriz de depois de mexer muito e atualizar uma firmware, funcionou, na filial, se deixo atraz do firewall não funciona, o unico jeito que consegui fazer funcionar foi deixa a central e um ip publico, aí funcionou, queria trocar experiencias para ver oq pode estar acontecendo, estou corrido este final de ano, e começo do ano que vem, mas vou deixar atrás do firewall, aqui na matriz foi um tempão até conseguir.

Voltar para “Impacta 68i”

Quem está online

Usuários neste fórum: Nenhum usuário registrado e 1 visitante