iT邦幫忙

1

SDX-500電話主機 Fortinet FG-100F port開啟問題

  • 分享至 

  • xImage

近期要設定兩地辦公室的分機共用,SDX-500已裝DSP卡與授權
將話機接到數據機下,測試兩邊分機可以互通。現在要改接到Fortinet底下。
經詢問廠商只要開以下PORT即可
https://ithelp.ithome.com.tw/upload/images/20241218/20160873t5KhiJmCfV.jpg
因為該話機沒有WAN PORT,所以用MGMT作
原本設定:MGMT=WAN 主機直接對外,可以通
更改設定:MGMT=DMZ MGMT指定PRIVATE DMZ IP 並透過防火牆轉PUBLIC
Fortinet虛擬IP:WAN 指定PORT 轉 DMZ 指定PORT
Fortinet 政策:WAN to DMZ all PORT

以上設定後測試還是無法,因為怕被盜打希望話機不要直接對外。
請問有人用類似的設定嗎?

hauyaren iT邦新手 3 級 ‧ 2024-12-18 09:44:20 檢舉
SDX-500有WAN Port,經實測實際應該不只表上那些Port,
最終我的系統外網還是直接走WAN埠省事。
我的環境是沒點對點連接,但有很多外點網路電話及行動分機。
大辣辣的走外網沒這麼恐怖啦~
harry731 iT邦新手 1 級 ‧ 2024-12-18 16:10:57 檢舉
我也很好奇有沒有正確解法
因為之前我也試過,PORT也開了,策略也建立了
只是還是沒成功
後來也是直接走外網
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
bluegrass
iT邦高手 1 級 ‧ 2024-12-18 11:35:09

Fortinet虛擬IP是一個 OBJECT
這個OBJECT要放到你 Fortinet 政策 的DESTINATION 中才會有效
Fortinet虛擬IP假設名子是 "VIP-WAN2DMZPort123"

Fortinet 政策:
名子:"WAN to DMZ"
SOURCE ADDRESS: "ALL"
DESTINATION ADDRESS: "VIP-WAN2DMZPort123"
Service: Any [恩, 建議收緊]
ACTION: ALLOW
NAT: NO

好熊寶 iT邦新手 3 級 ‧ 2024-12-18 16:20:01 檢舉

要開的PORT真的太多了..

bluegrass iT邦高手 1 級 ‧ 2024-12-19 15:19:57 檢舉

如果你WAN IP只給那個設備用, 你可以考慮整個WAN MAP 到那個設備上

再在POLICY上限制要放行的PORT 就可以了

或在 Fortinet虛擬IP 上套用SERVICE FILTER 也可以

好熊寶 iT邦新手 3 級 ‧ 2024-12-20 16:55:13 檢舉

採用限定來源IP的方式指定VIP,目前測試兩邊可互通。
應該是有使用到額外的PORT

0
mytiny
iT邦超人 1 級 ‧ 2024-12-18 20:36:52

之前話機有接到數據機之下
所以應該有用到一個實體IP

現在放到防火牆之後
直接將該IP做成VIP對應
所有service port可直接對應

資安防護限制來源IP及開啟資安檢核就好
但是通話使用會不會正常就難說了
應該找電話及防火牆的廠商一起來現場處理到好
要MIS能應付所有狀況不太容易
如果廠商不肯來就是規範沒訂好
當然更可能是錢付的不夠
那還是照原來方式繼續接吧

0
stgtv32100
iT邦新手 3 級 ‧ 2024-12-23 16:33:07

您可以參考下方FortiGate的文檔,當啟用NAT時需使用下方三個選項之一。

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Disabling-VoIP-Inspection/ta-p/194131

我這邊的狀況是照文檔由session-helper移除SIP,並把ALG MODE切換成kernel-helper-based就有聲音了。

我要發表回答

立即登入回答