Armar DMZ para VOIP con Forti 60b

[parce]

Hola, antes que nada buen dia.

Queria saber si alguien paso por lo mismo que yo con el tema de la telefonia IP con servidor asteriks. El tema es que poniendo el server dentro de mi lan detras del firewall, por mas que abra todos los puertos correspondientes, los tel-internos remotos se conectan bien al asteriks y hablan perfecto entre internos locales y remotos, pero por otro lado, los remotos cuando quieren llamar a una linea fija, no tienen audio para las llamadas que salen por el troncal ISDN/pri del asteriks.
Me volvi loco,cambie puertos,, abri y demas, pero nunca me dio resultado. El fortigate sigue bloqueando algo.

Entonces llegue a la conclusion de poner el Asteriks publicado en la DMZ, ya que mi proveedor me da varias IP fijas.
El problema es que no tengo muy entendido como poner esto en marcha. La idea es poner el Asteriks en la DMZ, y publicarlo con una IP diferente a la del firewall (creo que eso se hace con IPpool) ya que todo sale por la WAN1.

Mi pregunta es la siguiente. El puerto "DMZ" lo configuro asi???

System->Network->DMZ-> Edit
Adressing MOde "Manual"
IP/netmask : 10.20.20.0/255.255.255.0 (aca va esa ip privada creada por mi, o va la otra ip publica que me da mi proveedor??? )

Luego pongo mi Asteriks en el puerto DMZ y le especifico la siguiente IP 10.20.20.2 , pero que le especifico en GATEWAY????

Luego en el fortigate voy a "Firewall"
Luego Policy , y creo una politica que me quede asi:

Interface "DMZ"
Destination: WAN1
le tildo Dynamic IP POOL (ya teniendo creado previamente el ippool )
Y asi tendria que quedar publicado mi Asteriks?. Luego para la telefonia Interna deberia cambiarle el ipserver a todos los telefonos apuntando a la IP nueva 10.20.20.2 (teniendo creada previemente la politica para que se vea la LAN con la DMZ)


Agradezo de antemano cualquier ayuda, ya que el tema de hacer funcionar el DMZ me tiene un poco confundido asique cualquier correccion o lo que sea sera muy bienvenido!!!

Muchas gracias y saludos!

[gabyrossi]

Hola, como estas? No podras configurar en tu MDZ ips del rango que tienes en la wan, eso es imposible !!!!!!!!!

explica mejor que es lo que no te funciona , porque no entendi bien.

para la vozip lo importante es que en las politicas no haya NAT.

SALUDOS

[parce]

Hola Gabriel, antes que nada gracias por tu ayuda!

Se que no fue muy claro, pero mi intencion no era poner la ip del mismo segmento en la WAN y en el DMZ, pero no importa ,puntualemente el problema que tengo hoy en dia, es que los telefonos remotos no pueden hacer llamadas por nuestro servidor Asteriks, el cual tiene el troncal ISDN para llamadas locales,,largadistancia,etc...
Los telefonos que se encuentras en lugares X , sincronizan con nuestro sever que esta atras del fortigate. En las politicas de entrada abri todos los puertos necesarios sin NAT, y lo mismo hice para la salida de la LAN a la WAn, lo libere totalemente.

Pero si yo agarro un telefono de los que se encuentran remotos, marco un numero telefonico como el de mi casa por ejemplo,,me atienden, yo escucho a la otra persona que me habla, pero no me escuchan a mi.
A diferencia de los telefonos que se encuentran en la red local ,que funcionan de maravillas.
El codec que utilizamos es el G729.

Y los puertos liberados que tengo en las politicas de entrada sin nateo son:
5060-6000 udp
10000-20000 udp
8000 - 9000 udp
4569 udp
4520 udp
50000 - 60000 udp.


Como ya me estoy volviendo loco, es por eso que queria pasar el Asteriks al DMZ...

quizas ahora se entienda un poco mejor.

Gracias!

[gabyrossi]

Hola, como estas?

que pongas los telefonos en la dmz no ganas nada.

para que puedan conectarse desde afuera al asterisk, tendras que hacer un virtual ip, sin hacer forward de port.

Luego en la politica de wan a internal, agregaras los filtros de servicios que necesites para abrir.

no necesitas hacer ningun ippool.

saludos

[parce]

Hola gabriel. Gracias por tu ayuda.

Anteriormente los clientes remotos se conectaban, y se registraban sin problema , pero el problema es el audio.. A pesar de abrir todos los puertos UDP que utiliza asteriks y hacerle un foward a los puertos del server no habia logrado hacer funcionar correctamente los clientes remotos. Lo que hice ahora fue colocar al asteriks en la DMZ, y que los telefonos apunten a la dmz,tanto los locales como los remotos. Ahora no puedo probar a ver si esto me soluciona el problema, mañana te dire cuando este todo en la plena marcha..jejej.

Asique a primera hora de mañana les comento!

Gracias y saludos.

[parce]

Hola. En fin, los tel remotos siguen sin funcionar, nose porque causa sera...

Nose si alguien sabe que puertos hay que abrir especificamente para que estos funcionen.
Yo tengo las sigueintes "Virtual IP" echas.

External Interface= WAN1
Type = esta tildado "STATIC NAT"
External Ip: 0.0.0.0
Internal IP: 192.168.---.---
"Port Fowarding" esta tildado
External service Port : 5060
Internal service Port: 5060

(y asi estan echas el resto de las politicas con los puertos 10000-20000 , 4569-4569 , 50000-60000)

Luego en firewall -->Policy estan puestas todas de WAN1 ALL (0.0.0.0) a cada una de las viertualIP creadas anteriormente.

No logro conseguir hacerlo funcionar. Graciasssss!!

[parce]

Hola. En fin, los tel remotos siguen sin funcionar, nose porque causa sera...

Nose si alguien sabe que puertos hay que abrir especificamente para que estos funcionen.
Yo tengo las sigueintes "Virtual IP" echas.

External Interface= WAN1
Type = esta tildado "STATIC NAT"
External Ip: 0.0.0.0
Internal IP: 192.168.---.---
"Port Fowarding" esta tildado
External service Port : 5060
Internal service Port: 5060

(y asi estan echas el resto de las politicas con los puertos 10000-20000 , 4569-4569 , 50000-60000)

Luego en firewall -->Policy estan puestas todas de WAN1 ALL (0.0.0.0) a cada una de las viertualIP creadas anteriormente.

No logro conseguir hacerlo funcionar. Graciasssss!!

A y tanto las Policy de entrada como de salida, no tienen tildada la OPCION NAT.

[gabyrossi]

Hola, como estas¿ Probaste haciendo solo un virtual ip , sin tildar "Port Fowarding" ??

y a eso se lo aplicas a la poliica, y en servicios acostas los puertos necesarios?

saludos

[parce]

Hola, como estas¿ Probaste haciendo solo un virtual ip , sin tildar "Port Fowarding" ??

y a eso se lo aplicas a la poliica, y en servicios acostas los puertos necesarios?

saludos

Buenas , retomando les comento que no fue posible solucionar el problema que tengo.
Gabriel, intente lo que me dijiste, pero siguio igual.
Se me acabaron las ideas, y hacepto comentarios/ideas. jeje.


Saludos!

[gabyrossi]

Hola, algun tema tenes, Es una configuracion bastante basica que se hace a menudo.
SI queres puedes enviarme por privado una confi. sacando las ip reales de la wan, y algun dato que n quieras que vea,

lo reviso y te digo cual es el problema.

saludos