Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 26883 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FreeSwitch setup With ASG

kiwoneka
Good evening to all

I just discovered this great soft ware. I am long time PFsense user.

my challenge is to setup rules for the following services. on ASG V8


SSH (22)
FTP (21)
HTTP & HTTPS (80 & 443)

lastly Voip service sith FreeSwitch
-SIP (5060-5090) UDP
-RTP (16384-32768) UDP

there are several Polycom phones both internal and external

network is extremely simple but with a lot of endpoints

Cable Modem (static IP) --> Astaro (ASG) --> Switch --> Endpoints

My internal network is 
192.168.2.0/24

the router is at 192.168.2.10

Please give me specific instructions on how to set this up.
I have been at this for hours without any real success; voice issues due to NAT.

Help

very new


This thread was automatically locked due to age.
  • 0
    Sure you can just add nat filters:
    Source "Any"
    Service "UDP 5060-5090" (define manual)
    Destination "External Interface Address"

    NAT Mode: DNAT

    Destination: "Internal PBX Address"
    Destination Service: "UDP 5060-5090" (define manual)"

    Automatic Firewall Rule -> YES

    same for the other ports.
    ---

    Maybe you have also to set your external firewall IP in the freeswitch config.

    !! But be aware. This configuration may be a big security concern!! 
    Because every external ip can connect your ip pbx. You may add aditional Packet filters for securing your configuration. Hopefully you know what you do. It should just be used for testing purposes only!

    I would prefer to use TLS for the external Phones, better connecting them via a VPN connection. And then i would use the voip proxy function of astaro, limiting the external connections to your voip provider's  servers.
  • 0 in reply to KoC
    Sure you can just add nat filters:
    Source "Any"
    Service "UDP 5060-5090" (define manual)
    Destination "External Interface Address"

    NAT Mode: DNAT

    Destination: "Internal PBX Address"
    Destination Service: "UDP 5060-5090" (define manual)"

    Automatic Firewall Rule -> YES

    same for the other ports.
    ---

    Maybe you have also to set your external firewall IP in the freeswitch config.

    !! But be aware. This configuration may be a big security concern!! 
    Because every external ip can connect your ip pbx. You may add aditional Packet filters for securing your configuration. Hopefully you know what you do. It should just be used for testing purposes only!

    I would prefer to use TLS for the external Phones, better connecting them via a VPN connection. And then i would use the voip proxy function of astaro, limiting the external connections to your voip provider's  servers.



    How would i configure the proxy?
    I wanted to avoid it because, a) i dont know it, b) I dont understand how it works.

    Security is a big concern, if the proxy helps then it would be smart to use it.

    Can you give me some details how to set it up, using my outlined network.
  • 0
    Take a quick look at the interface, then read the in-line help page.  There's only a couple of things to configure, so it is quite intuitive.  Look through the documentation for your PBX and see if there are any warnings against using Cisco SIP fixup (most PBX vendors will provide some guidance on using Cisco, it being so ubiquitous).  If they say don't use Cisco SIP fixup, then you won't want to use the VOIP proxy.  I take it that 
    RTP (16384-32768) UDP
     is used for client phone communication with the PBX.  If this is the case and you have external client phones, then you'll still need to follow the steps from KoC above.
  • 0 in reply to kiwoneka
    How would i configure the proxy?
    I wanted to avoid it because, a) i dont know it, b) I dont understand how it works.

    Security is a big concern, if the proxy helps then it would be smart to use it.

    Can you give me some details how to set it up, using my outlined network.


    One important part are the "remote extensions". Are they connecting via a vpn? 
    If not and if they have dynmic ip adresses, then it get's more difficult to secure your pbx.
  • 0
    If not and if they have dynmic ip adresses, then it get's more difficult to secure your pbx
    All of the IP PBXs that I've used have some means to register allowed phones by MAC address.  Your PBX and phones may also have other connection security measures such as username/passwords.

    If I were you, I'd also look at if the phones/PBX support customizing of the port range.  16384-32768 is massive.  Depending on the number of phones that you have, reducing this usable range would be a good thing if possible.
  • 0 in reply to KoC
    One important part are the "remote extensions". Are they connecting via a vpn? 
    If not and if they have dynmic ip adresses, then it get's more difficult to secure your pbx.


    All external phone are locked down when it comes to registering to the PBX.
    --well as best as I hhave known how.
    -mac address
    -complex username/password combination
    -use of Fail2Ban (is there anything like this in this product)

    I have not had an incident; security breach in a long time. Alway looking to improve.

    I dont utilize VPN and I have yet to success set one up that just works. (hoping this can change)
  • 0 in reply to KoC
    Sure you can just add nat filters:
    Source "Any"
    Service "UDP 5060-5090" (define manual)
    Destination "External Interface Address"

    NAT Mode: DNAT

    Destination: "Internal PBX Address"
    Destination Service: "UDP 5060-5090" (define manual)"

    Automatic Firewall Rule -> YES

    same for the other ports.
    ---

    Maybe you have also to set your external firewall IP in the freeswitch config.

    !! But be aware. This configuration may be a big security concern!! 
    Because every external ip can connect your ip pbx. You may add aditional Packet filters for securing your configuration. Hopefully you know what you do. It should just be used for testing purposes only!

    I would prefer to use TLS for the external Phones, better connecting them via a VPN connection. And then i would use the voip proxy function of astaro, limiting the external connections to your voip provider's  servers.


    Ok, now this is progress. Thank you

    FreeSwitch uses uPnP; to auto magically map ports, determine external IP etc.

    I will have to set all those manually; a key reason I wanted explanations on how ASG interprets rules.
    External it is set in the PBX(FreeSwitch) config
  • 0
    I am confused about something else.

    Why is it that all 'Services' are set by default to allow (1:65535->80)?

    Is it the same if i configure them to be (80->80)? More explicit.
  • 0
    No.  Source ports are chosen randomly by the sending system, which you have no control over.