[ip19]

Ciao,
utilizziamo PFSense per la quasi totalità dei firewall dei nostri clienti, va molto bene ed è abbastanza semplice da gestire anche in configurazioni abbastanza spinte.
L'unico problema che trovo col 3cx è che devo dedicare 1 ip pubblico in nat 1:1 per poter passare il firewall check e per non avere effettivamente problemi con gli operatori voip e devo quindi sempre avere un pool di 8 ip perchè i 4 non mi sono sufficenti..
Voi utilizzate il PFSense? come avete gestito questo problema di static port mapping?

Grazie

[eurylink.com]

Purtroppo quello che mi riferisci è in netto contrasto con le possibilità offerte da Pfsense che può tranquillamente gestire lo Static Port Mapping e, anzi, è tra i pochi firewall ad essere indicatissimo per l'utilizzo in ambito Voip.
In situazioni normali 1 indirizzo pubblico è più che sufficiente gestendo Pfsense in modalità PPoE sul lato WAN ed applicando le opportune regole di NAT unitamente ad una configurazione ad Hoc per lo Static Port Mapping. E' quindi possibile utilizzare anche più servizi oltre a quello Voip SIP sul medesimo IP Pubblico.
Pfsense non è uno strumento Plug & Play e non è nemmeno semplicissimo (anche se apparentemente lo può sembrare) da utilizzare. Se non avete le necessarie competenze e non avete un canale diretto di supporto professionale con Pfsense verosimilmente fareste meglio ad utilizzare una soluzione più semplice ed immediata.
Vorrei sottolineare nuovamente che nel campo della sicurezza non è possibile muoversi per tentativi, soprattutto in ambito produttivo,ma occorre sapere esattamente cosa si sta facendo a priori.

[ip19]

Pfsense lo utilizziamo da anni, sia per soluzioni "base" sia per soluzioni multi-wan e con diversi tipi di VPN... nella stragrande maggioranza dei casi dai clienti abbiamo un pool di 4 ip pubblici, dove un ip è assegnato alla wan del firewall e con cui gestiamo tutti i servizi, praticamente nessun cliente ha connessioni con autenticazione PPoE.
Facendo un semplice NAT in questa situazione il firewall check riporta il solito warning di porta di risposta diversa, abilitandoil nat 1:1 sul singolo ip pubblico funziona perfettamente, ma si disabilita la possibilità di utilizzare i servizi a bordo del pfsense.. attivando un alias (con gli 8 ip pubblici) e dedicandolo al traffico voip tutto funziona perfettamente.

Se ha suggerimenti per la configurazione con i 4 ip sono ben accetti...

[ip19]

Sto facendo delle prove abilitando l'advanced outbound NAT e abilitando lo "static port mapping" nella "default outbound rule"
Questo dovrebbe risolvere i problemi anche senza utilizzare il NAT 1:1 ed un IP specifico

[eurylink.com]

Sto facendo delle prove abilitando l'advanced outbound NAT e abilitando lo "static port mapping" nella "default outbound rule"
Questo dovrebbe risolvere i problemi anche senza utilizzare il NAT 1:1 ed un IP specifico

Quello è solo uno dei prerequisiti per operare senza sovrascrittura delle porte. Sono necessarie altre modifiche (non eseguibili dalla GUI) affinché il sistema possa essere al 100% affidabile come firewall destinato al Voip e non solo. Il mio consiglio.se volete utilizzare Pfsense sul vostro parco clienti è quello di acquistare il supporto professionale di Pfsense e fare un po' di formazione avanzata. Sono soldi molto ben spesi e di colpo la cosa vi permettetebbe di abbandonare "l'approccio per tentativi" che non é mai consigliabile in ambito sicurezza. E' giusto a mio avviso provare ma solo dopo aver appreso le regole basilari di un sistema che nessun forum e nessun manuale puó spiegarvi. Se come riferisci avete già installazioni presso i clienti un investimento di questo tipo è assolutamente consigliato. Ovviamente è solo un consiglio del tutto personale ma mettendomi dalla parte del cliente vorrei sempre essere certo di ottenere il massimo possibile in situazioni di questo tipo che riguardano la sicurezza.

[ip19]

Concordo sul fatto che sia necessario approfondire le proprie conoscenze sempre e comunque.
Non sono affatto d'accordo che per farlo sia NECESSARIO dover seguire un corso od un esame di certificazione.. sono sicuramente esperienze interessanti, che "accellerano" l'apprendimento (anche se non sempre..) ma in questi anni la fonte primaria di informazioni, anche di elevato contenuto tecnico, le ho sempre trovate disponibili "open" in rete.
Sono quindi convinto che se ci siano accorgimenti o consigli da dare sull'utilizzo di una tecnologia e si sia qui in un forum pubblico a discuterne, la soluzione migliore sia spiegare tecnicamente e dettagliatamente quali sono questi accorgimenti in modo da potersi confrontare con altri che, magari, hanno soluzioni diverse da quelle che abbiamo applicato noi, ma altrettanto valide o addirittura migliori...