Ouverture Firewall sur USG Unifi (Pas de forwarding)

[max]

Hello,

 

Pour que des softphones dans mon LAN puissent communiquer avec le serveur IPBX dans le cloud de mon fournisseur de téléphonie, je dois ouvrir une série de port pour tout mon LAN. Donc pas du portforwarding vers des IP fixes.

 

Est-ce possible avec un usg pro ?

 

Merci.

[Exelsis]

Dans quel sens ? LAn vers wan où inverse ?

[max]

Dans les deux sens.

 

[Exelsis]

T es sur ? Je dirais lan vers wan

[max]

Ben je suppose : la communication doit quitter mon LAN pour joindre le serveur dans le cloud puis le flux doit revenir.

[Pyrithe]

A mon avis, uniquement LAN vers WAN. Tu accède au portail web de ton fournisseur de solution sur le port 80, non l'inverse.

Et puis franchement, ouvrir tout ce qui vient de l'exterieur vers ces ports... ouïe!!!

Le fournisseur doit pouvoir te donner les bonnes infos.

[ramius179]

Le 28/01/2020 à 08:06, max a dit :

Dans les deux sens.

 

 

Salut,

 

Sur ton contrôleur, le réseau que tu utilise est configuré en Corporate ou Guest ?

de base, l'USG ne bloque pas en sortie si ton réseau est en corporate.

 

Je te conseil d’ailleurs de mettre tes téléphones dans un Vlan séparer.

 

as-tu déjà essayé de mettre un téléphone sur ton réseau pour voir ce que cela donne ?

 

pense a vérifier par contre que le SIP ALG est désactiver

(Routing&Firewall / Firewall / Settings / SIP doit etre sur OFF).

cela a tendance a causé des problèmes sur la téléphonie.

[max]

J'essaierai donc d'abord en LAN vers WAN. C'est dans quel menu que je dois configurer ? WAN IN ou WAN OUT ou LAN IN ou LAN OUT ou plusieurs ?

 

Le réseau sur le controlleur est en corporate. J''ai pas encore testé le tout, ce sera installé dans les semaines à venir.

 

Pour les téléphones sur le VLAN, ce sont 2 réseaux séparés donc il n'y a pas de VLAN.

 

Je désactiverai le SIP ALG, je note.

 

Pour remettre un peu de contexte il y a (connecté dans l'ordre) :

 

Une connexion VDSL avec QoS pour la VoIP sur

Un routeur de l'opérateur VoIP connecté sur

Un switch de l'opérateur VoIP connecté à 10 téléphones VoIP et connectés à

1 routeur unifi (usg pro)  qui prend une IP dans le range du routeur de l'opérateur VoIP connecté à

1 switch 64 ports Unifi

1 switch 8 ports PoE Unifi

1 cloud key

 

Les PC's connectés sur le switch Unifi ont un softphone qui doit pouvoir communiquer avec le serveur VoIP dans le cloud de l'opérateur (il n'y a pas de serveur sur site).

 

Soit j'ouvre les ports listés sur l'USG pro pour que la communication puisse se faire soit je désactive totalement le firewall de l'usg pro vu qu'il y a quand même le pare feu du routeur de l'opérateur VoIP.

 

Si vous avez d'autres idées, je prends  

[ramius179]

normalement tu n'as rien a ouvrir.

j'ai pas mal d'installe SIP sur des USG, si les règles sont par Default, cela fonctionne très bien.

 

par contre je te déconseille d'avoir deux routeurs en cascade.

si tout ton réseau sera derrière ton USG, passe l'autre routeur en mode Bridge pour éviter tout problème de blocage ou autre.

[Pyrithe]

il y a 32 minutes, ramius179 a dit :

par contre je te déconseille d'avoir deux routeurs en cascade.

si tout ton réseau sera derrière ton USG, passe l'autre routeur en mode Bridge pour éviter tout problème de blocage ou autre.

Et ca évitera les problèmes de double NAT, etc.

On fini toujours par s'embrouiller et chercher dans tous les sens en oubliant un des routeurs!

[max]

Hello et merci,

 

Je ne peux pas retirer le routeur du fournisseur VoIP car les téléphones VoIP sont dessus et il y a une config particulière à laquelle je n'ai pas accès.

 

Par contre, j'ai demandé qu'il place le USG pro en DMZ histoire de ne pas avoir de soucis.

 

Le principe c'est que je ne touche pas au réseau "VoIP" mais que je gère le réseau PC et DATA via l'infra Unifi.

 

Pour rebondir sur le comentaire de ramius179, je ne sais pas encore tester car l'infra n'est pas encore en place mais le fournisseur VoIP me dit que je dois ouvrir ces ports pour que les softphones puissent communiquer avec le PBX cloud.

[ramius179]

Il y a 13 heures, max a dit :

Hello et merci,

 

Je ne peux pas retirer le routeur du fournisseur VoIP car les téléphones VoIP sont dessus et il y a une config particulière à laquelle je n'ai pas accès.

 

Par contre, j'ai demandé qu'il place le USG pro en DMZ histoire de ne pas avoir de soucis.

 

Le principe c'est que je ne touche pas au réseau "VoIP" mais que je gère le réseau PC et DATA via l'infra Unifi.

 

Pour rebondir sur le comentaire de ramius179, je ne sais pas encore tester car l'infra n'est pas encore en place mais le fournisseur VoIP me dit que je dois ouvrir ces ports pour que les softphones puissent communiquer avec le PBX cloud.

 

peux tu faire une schéma du réseau ?

je ne comprend pas ce que tu expliques.

 

le fournisseur VOIP ? on parle du fournisseur d'accès a internet (FAI) ?

 

si je comprend bien, le mieux serais de mettre un switch manageable et déclarer un Vlan dessus qui sera en direct sur le routeur VOIP et sur tes téléphones.

 

PS: attention au terme DMZ, qui ne veux pas dire la même chose sur une box grand public que sur un routeur Pro.

 

PS2: je t'ai fait un schéma rapide de ce que j'ai en tête.

 

 

[max]

Voici : 

 

 

C'est plus clair avec ça ?

[ramius179]

Pourquoi veux tu ouvrir des ports si les téléphones ne seront pas sur ton réseau ??

je ne comprend pas l idée ??

[Exelsis]

Il a des softphones

[max]

yes, des softphones sur les PC qui doivent communiquer avec l'IPBX cloud.

[ramius179]

Le 01/02/2020 à 11:54, max a dit :

yes, des softphones sur les PC qui doivent communiquer avec l'IPBX cloud.

 

HAAAA !!!

 

aucun problème, l'USG ne le bloqueras pas si tu creer le réseau en corporate

[max]

le réseau en corporate ?

 

Mon LAN ou le WAN ?

 

Pour être sûr que nous parlions de la même chose : dans quel point de menu dois-je configurer ça ?

[ramius179]

il y a 16 minutes, max a dit :

le réseau en corporate ?

 

Mon LAN ou le WAN ?

 

Pour être sûr que nous parlions de la même chose : dans quel point de menu dois-je configurer ça ?

 

dans ton controleur le type de réseau de ton Wan est Wan .

 

pour ton Lan tu as plusieurs options dans Network (Corporate - Guest - Vlan Only ...)

corporate est le mode de base.

il ne propose de base aucune filtrage en sortie et permet nativement la communication inter-Vlan (pour toutes les Vlans de type corporate)

c'est celui que tu dois utiliser pour ton réseau.

[max]

Ok là je comprends.

 

Je vais tester, on va bien voir