Comunidad FORTIGATE.es

Hola a todos: Tengo problemas con un adaptador ATA linksys pap2t (sirve para conectar telefonos analogos via puerto fxs rj11)y
tambien trae entrada ethernet para conectarlo a un switch o router...al cual conecto un router encore ENDSL-A2-4RR(AR)
mi problema es que quiero conectarlo remotamente desde mi hogar configurando
este linksys pap2t como proxy y que me apunte a mi ip publica donde tengo conectada una central telefonica 3cx por sofware
la cual esta detras de un Fortigate-60B 3.00-b0750(MR7 Patch 7).

Configure lo siguiente:


- port forward de los puertos 5060, 5090, 9000-9015 tcp/udp
(tengo tildado el port forward)
en external ip pongo mi ip publica
y en mapped ip la ip de la centralita 3cx
- politica wan1--> internal
service any
action accept
y nat no esta tildado


Pero cuando intento conectar el pap2t que esta en otro lugar con otra conexion a esta central, no pasa nada.
cabe aclarar que puedo realizar llamadas, la cosa es que no puedo recibirlas.
Me faltan reglas? Estoy haciendo algo mal?

Saludos

Hola, porbaste si hacer forward de port en el virtual ip, pero en la politica justar los servicios?

saludos

Hola Gabi, gracias por responder, no estoy filtrando ningun servicio, me recomendas que si lo haga?
Deberia actualizar el firmware a la version 4? Ahora tengo Fortigate-60B 3.00-b0750(MR7 Patch 7) .

por las dudas tambien hice esto que encontre en la documentacion:

config firewall profile
edit "SIP_PP"
config sip
set status enable
set archive-summary enable
end
next
end

Saludos

hola, eso que armaste es un profile. nada que ver con lo demas,


saludos

gabyrossi escribió:Hola, porbaste si hacer forward de port en el virtual ip, pero en la politica justar los servicios?

saludos

Probe esto que me dijiste y sigue todo igual.
Probe tambien tildando NAT y fixed ports y todo sigue igual.

Alguna otra idea?

Hola, a ver tenes varios vips por cada port que vas a abrir?
probaste de no hacer port forwarding, y luego bloquear en la politica los puertos?

saludos

Gabi: no probe no hacer port forwarding, lo que hice fue, actualizar el firmware a v4.0,build0194,100121 (MR1 Patch 3).
Agregue una politica

Source Interface/Zone internal
Source Address all
Destination Interface/Zone wan1
Destination Address all
Schedule always
Service SIP
Action ACCEPT
y Nat tildado

y en la politica de los puertos tambien esta tildado el nat.
De esta manera pasaron todos los puertos menos el 5060, justo el mas importante. Lo que pude ver tambien es que hay SIP-TCP y SIP-UDP aparte de SIP en Application control, el SIP incluye esos 2 o tengo que hacer un aplication control para cada uno?

Espero me puedan ayudar.

Saludos

hola, eso es una politica saliente, y aplication control, para que?

El aplication control es para ponerlo en el profile de la politica

wan --> internal
Source Interface/Zone wan1
Source Address all
Destination Interface/Zone internal
Destination Address all
Schedule always
Service SIP
Action ACCEPT
y Nat tildado

Protection profile SIP (en esta politica puse un aplication control, eso lo encontre en otros post).
No es asi? si estoy haciendo mal me podrias indicar que hago mal? porque probe todo lo que encontre en el foro y sigo en la misma.

Saludos

Hola, lo que tenes que hacer es vip si hacer forward de port, y luego acotas los servicios que necesites en la politica. sin aplication control, y si queres un prpfile con ips para ese tipi de aplicacion.

Es lo mismo que hacer un vip para un pagina web, estas abriendo un servicio a internet.

La ip privada tiene que tener salida a internet

saludos

Gabi: intente hacer lo que me dijiste pero cuando quiero agregar una Virtual IP sin hacer port forward me dice "Duplicate entry found", borre todos lso port fowards a esa pc, hice un reset del forti y quise agregar de nuevo y no me deja, pero si le pongo el forward si.
Por lo que hice lo siguiente
1) borre todo lo que tenia que ver con el 3CX
2) reinicie el forti
3) cargue todos los puertos de nuevo
4) hice una politica wan1 --> internal agregandoi el grupo de puertos + el servicio SIP y nada mas
Ahora si pasaron los puertos.
Lo que si no me loguea, donde me fijo eso?
Porque en la politica esta habilitada, log allow traffic

Saludos

Hola, no te dejaba hacerlo, porque ya tenias un vip con la misma ip publica haciendo forward. Luego pudiste hacer el vip?
no loguea el trafico que pasa por ahi?¿

saludos

Funciono de 10. Hicimos pruebas, pero no me loguea VOIP.
Que puede ser?

saludos

Hola hiciste un ap ?????
fijate esto:

Firewall > Protection profile

Name : SIP_Profile
Application Control > Application Black/White List : App_list_SIP
Logging > Log Application Control : yes


UTM > Application Control

Name : App_List_SIP
Liste Type > White List

Category : VoIP
Application : SIP
Limit REGISTER request : 5
Limit INVITE request : 5
Enable Logging : yes
Enable Logging of Violations : Yes

I as well removed the SIP session-helper as adviced :

config system session-helper
delete 20
end

config system settings
set sip-helper disable
set set sip-nat-trace disable
end