Atualmente, estou tentando configurar dois ASAs 5510s diferentes para encaminhar corretamente todas as portas usadas na videoconferência h323 para a configuração adequada do equipamento de videoconferência na rede interna em cada site respectivo.
Nosso layout geral de rede é o seguinte:
Eu tenho dois sites de trabalho separados, cada um com acesso independente à nuvem. Eu configurei um túnel VPN site-a-site que fornece compartilhamento de arquivos entre sites e acesso entre sites ao nosso servidor Exchange. No momento, a videoconferência site a site funciona bem, pois está passando pela VPN, mas estou tendo problemas para configurar os firewalls para realizar chamadas h323 de fontes externas.
Eu colaborei com os clientes de videoconferência externos desejados para espelhar as portas abertas por eles.
Estou tentando configurar nosso firewall para permitir o acesso de portas:
1718 udp
1719 udp
1720 tcp
1731 tcp
80 tcp
3230-3235 tcp
2326-2485 udp
3230-3280 udp
1024-65535 tcp/udp
Antes de começar a ser mal-humorado por deixar tantas portas abertas, deixe-me dizer que não pretendo manter todas essas portas abertas. Eu estreitarei o intervalo de portas assim que chegarmos a um acordo sobre quão ampla será nossa gama de portas TCP / UDP dinâmicas.
Minha principal preocupação é a maneira mais rápida e simples de configurar o firewall para abranger uma ampla variedade de portas.
Minha ideia original era criar um grupo de serviços TCP / UDP que incluísse todos os intervalos de portas listados acima e integrar esse grupo de serviços às regras de ACL e NAT, mas o grupo de serviço não se propaga quando estou tentando criar regras.
(Eu tenho tentado usar o ASDM já que meu nível de conforto com a linha de comando neste caso é um pouco instável. Atualmente estou executando o ASA 8.4 / ASDM 6.4)
A regra atual da ACL é:
access-list outside_access_in extended permit object-group TCPUDP any object VC_Unit object-group VC_services
(com VC_unit sendo o equipamento de videoconferência localizado internamente e VC_services sendo o grupo de objetos de serviço contendo todas as portas / intervalos de portas desejados.
No passado, eu acabei de atribuir regras de encaminhamento de porta indo para o objeto de rede em si, mas parece apoiar apenas a designação de uma porta específica (por exemplo, 3389 ao encaminhar o RDP ... não um intervalo de portas ou vários intervalos de portas, como é minha necessidade neste caso.)
Esta é provavelmente uma pergunta bastante simples, então, por favor, perdoe minha ignorância, mas qualquer ajuda neste assunto seria muito apreciada.