Resolvamos este problema.

Discussion in 'Elastix 2.x' started by zeoneo, Dec 9, 2009.

  1. zeoneo

    Joined:
    Sep 24, 2009
    Messages:
    549
    Likes Received:
    0
    Si bien no es algo que sea muy complicado, aun no logro hacerlo, pero para eso estamos todos, para resolver estos problemas...

    Situacion...:

    Se encuentra un Servidor (192.168.0.135) con un VMWare en el cual corre Elastix (192.168.0.177)

    Obiamente en el servidor tenemos software que ocupan internet y que me obligan a tenerlo en la zona DMZ de mi router. (D-Link Di-604), y elastix, imagino que tambien deberia estar conectado directamente a la Internet.

    Las preguntas...:

    ¿Podriamos configurar el ROuter para dejar abiertos solo los puertos de Elastix?

    Si es asi...¿Que puertos deberia abrir?

    ¿Sera mejor dejar a elastix en DMZ y abrir los otros puertos para el servidor?


    ¿Como dejar a elastix con algo asi como xxx.no-ip.org?

    Veamos esto primero y luego profundizamos....


    Un abraso a todos


    Nos vemos
     
  2. arusnet

    Joined:
    Sep 11, 2008
    Messages:
    298
    Likes Received:
    0
    Lo ideal sería abrir solamente los puertos que necesita tu elastix:
    5060 a 5084 ... Señalizacion SIP
    10000 al 20000 .. Puertos RTP (Transportan la voz)
    22 .............. Acceso por consola
    443 ............. Acceso al servicio web de elastix
    4445 ............ Acceso al FOP panel

    Creo que no se me olvida ninguno, si no, que me lo recuerde algún compi del foro.
    Con respecto a dejar al Elastix en DMZ, yo soy partidario en abrir solamente los necesarios ni uno más, por temas de seguridad claro.

    ¿Como dejar a elastix con algo asi como xxx.no-ip.org?
    Te vas a www.no-ip.com, te abres una cuenta. Después te vas a crear host y ahí le pones mielastix.no-ip.org y listo. Y después tendrás que programar el elastix para registre la cuenta de no-ip y refresque la ip cada cierto tiempo. Yo personalmente lo tengo hecho con DYNDNS y la cuenta la tengo activada directamente en el router, mas facil que tocar el Elastix.

    Saludos,
    Arusnet
     
  3. ramoncio

    Joined:
    May 12, 2010
    Messages:
    1,663
    Likes Received:
    0
    Hola zeoneo,

    Dependiendo de los servicios a los que necesites acceder desde la WAN tendrás que abrir unos puertos u otros.
    Normalmente, si sólo es para administración remota y acceso web, con abrir el puerto del HTTPS (443) te bastará.

    Si quieres tener registros de peers desde la WAN necesitarás abrir más puertos: 4569 UDP para IAX2; 5060 UDP y 10000-20000 UDP para SIP.
    Si usas webmin, necesitarás abrir el puerto 10000 TCP, si quieres acceso por ssh, el puerto 22 TCP. El 1194 UDP para openvpn, etc.

    Dependiendo del router que tengas, quizá no te permita administrar muchos puertos individuales, por lo que puedes usar el DMZ para el Elastix, pero esto puede ser un grave problema de seguridad. En ese caso deberás configurar un firewall en la máquina Elastix, como iptables por ejemplo.

    Otra cosa, te recomiendo cambiar los puertos por defecto para los servicios más comunes, como ssh, ya que últimamente están proliferando mucho los ataques a ssh, buscando equipos con contraseñas débiles. Las contraseñas tienen que ser difíciles de romper por fuerza bruta, más de 8 caractéres y mezclando números, símbolos, mayúsculas, minúsculas, etc, y todavía más la de root. Tampoco estaría de más que instalaras fail2ban para mayor seguridad.

    En cuanto a lo de no-ip (o dyndns), hay muchos routers que tienen integrado un cliente que actualiza automáticamente tu ip en el servidor cuando ésta cambia. Si tu router no lo soporta, tendrás que meter el cliente en una máquina de la red, ya sea el Elastix o cualquier otra máquina que siempre esté encendida.
     
  4. zeoneo

    Joined:
    Sep 24, 2009
    Messages:
    549
    Likes Received:
    0
    Les agradesco el aporte...

    Pero solo me quedaria pedirles un pequeño manual de como configurar dyndns de mi router con elastix....

    ya que hasta donde se es necesario tener el DMZ activado en el router con la ip del elastix para uqe pueda acceder.

    Porfavor, detallar esa area..

    Gracias
     
  5. arusnet

    Joined:
    Sep 11, 2008
    Messages:
    298
    Likes Received:
    0
    Con respecto a lo del DMZ puedes leer lo que pusimos mas arriba ramocio y yo.
    Para lo del DYNDNS, tienes que entrar a la administracion web del router, buscas DDNS por los menus y cuando lo encuentres rellenas los datos con lo que registraste en DYNDNS y listo, es bastante facil, intentalo y se te complica comentanos el problema.
    Un saludo,
    Arusnet
     
  6. ramoncio

    Joined:
    May 12, 2010
    Messages:
    1,663
    Likes Received:
    0
    Revisa tus fuentes de información.
    Que actives el DMZ no tiene NADA que ver con cualquier servicio de ip dinámica como dyndns o no-ip.
    Si activas el DMZ para un host, se redirigen todas las conexiones entrantes a cualquier puerto a ese host.

    Normalmente DMZ se usa cuando un programa o servicio (como algunos juegos) necesitan muchos puertos o rangos abiertos para funcionar correctamente y la interfaz web de administración del router en cuestión está limitada a un número de puertos para nat insuficiente para tus necesidades.
    Pero usar DMZ no es una práctica demasiado recomendable, ya que al abrir todos los puertos expones tu máquina a un mayor número de posibles vulnerabilidades.
    Para que funcionen dyndns o no-ip no es necesario que abras ningún puerto, para nada.

    Lo único que necesitas es encontrar la opción DDNS en tu router y activarla con una cuenta previamente creada. Pero antes de crear la cuenta asegúrate con qué servicios es compatible tu router, ya que hay algunos que no funcionan con no-ip y sólo puedes configurar dyndns (y quizá otros lo contrario). En caso que tu router no tenga la opción, entonces tendrás que instalar un cliente dentro de la red, en tu Elastix o donde quieras, pero conviene que sea un equipo que siempre esté en marcha. Entonces el cliente publicará los cambios en tu ip en el servidor de dyndns/no-ip y tu dominio será redirigido a la ip que tengas en cada momento.
     

Share This Page