В настоящее время я пытаюсь настроить два разных ASA 5510 для правильной переадресации всех портов, используемых в видеоконференцсвязи h323, на соответствующую настройку оборудования для видеоконференцсвязи во внутренней сети на каждом соответствующем сайте.
Наша общая схема сети выглядит следующим образом;
У меня есть два отдельных рабочих сайта, каждый с независимым облачным доступом. Я установил VPN-туннель между сайтами, который обеспечивает обмен файлами между сайтами и доступ между сайтами к нашему серверу обмена. Прямо сейчас видеоконференцсвязь между сайтами работает нормально, так как она проходит через VPN, но у меня возникают проблемы с настройкой межсетевых экранов для выполнения вызовов h323 из внешних источников.
Я сотрудничал с желаемыми внешними клиентами видеоконференцсвязи, чтобы отразить открытые на их стороне порты.
Я пытаюсь настроить наш брандмауэр, чтобы разрешить доступ из портов:
1718 udp
1719 udp
1720 tcp
1731 tcp
80 tcp
3230-3235 tcp
2326-2485 udp
3230-3280 udp
1024-65535 tcp/udp
Прежде чем меня начнут критиковать за то, что я оставил так много портов открытыми, позвольте мне сказать, что я действительно не собираюсь держать все эти порты открытыми. Я сужу диапазон портов, как только мы придем к соглашению о том, насколько широким будет наш диапазон динамических портов TCP / UDP.
Моя главная забота - это самый быстрый и простой способ настроить брандмауэр для покрытия такого широкого диапазона портов.
Моя первоначальная идея заключалась в том, чтобы создать группу служб TCP / UDP, которая включает все перечисленные выше диапазоны портов, и интегрировать эту группу служб в правила ACL и NAT, но группа служб не распространяется, когда я пытаюсь создать правила.
(Я пытался использовать ASDM, так как мой уровень комфорта с командной строкой в этом случае немного шаткий. Сейчас я использую ASA 8.4 / ASDM 6.4)
Текущее правило ACL:
access-list outside_access_in extended permit object-group TCPUDP any object VC_Unit object-group VC_services
(где VC_unit - это внутреннее оборудование для видеоконференций, а VC_services - группа сервисных объектов, содержащая все желаемые порты / диапазоны портов.
Раньше я просто назначал правила переадресации портов, перейдя в сам сетевой объект, но он, похоже, поддерживает назначение только одного конкретного порта (например, 3389 при пересылке RDP ... не диапазон портов или несколько диапазонов портов как мне нужно в этом случае.)
Вероятно, это довольно простой вопрос, поэтому, пожалуйста, простите мое невежество, но любая помощь в этом вопросе будет принята с благодарностью.