Si planea conectar troncales SIP de operadores de telecomunicaciones o usuarios remotos al sistema 3CX, y su PBX está ubicada en una red privada, los puertos deben publicarse estáticamente ("reenviados") en el firewall.
Las aplicaciones de VoIP utilizan el protocolo RTP para transmitir transmisiones multimedia (audio y video). Al pasar a través de dispositivos de red fronterizos (firewalls y enrutadores), la operación del protocolo puede causar dificultades. Esto se debe a que RTP utiliza números de puerto aleatorios para enviar y recibir tráfico multimedia. La configuración incorrecta del firewall se manifiesta como audibilidad unidireccional o ningún sonido del proveedor de VoIP y usuarios remotos.
Problema simétrico de VoIP NAT
Cuando se utiliza NAT simétrica, el dispositivo de red perimetral cambia dinámicamente el número de puerto en el que se recibe la transmisión de audio. Por ejemplo, cuando realiza una llamada saliente a través de un enlace troncal SIP del operador, 3CX primero realiza una solicitud STUN para determinar su dirección IP externa y el número de puerto actual. Luego, esta dirección y puerto se transfieren al servidor SIP del operador para comunicaciones mutuas. Pero en este momento, su firewall cierra dinámicamente este puerto (que ya se ha transmitido al operador, indicado en el encabezado INVITE). La transmisión de audio falla. Obviamente, debido a esta característica, no es posible garantizar un funcionamiento confiable de VoIP. En las guías de configuración de firewall, esta tecnología se llama NAT simétrica.
Resolviendo el problema de audibilidad unidireccional en VoIP - Full Cone NAT
Para resolver el problema con la audibilidad unidireccional (o el "silencio" completo), debe configurar el llamado NAT cónico (NAT de cono completo), que también se conoce como NAT uno a uno. En él, los puertos necesarios en la dirección externa del enrutador se asignan (o "reenvían") a una dirección interna específica (se guarda el número de puerto). El host externo intercambia paquetes RTP con el host interno, enviándolos primero a la dirección externa del enrutador y al puerto externo (mapeado).
De hecho, la gran mayoría de los dispositivos de red admiten este modo. Por lo general, se llama "asignación de puertos estáticos". La publicación estática garantiza que un puerto específico siempre permanezca abierto y nunca sea modificado por un firewall. Algunos enrutadores muy baratos no implementan correctamente esta función, pero la mayoría, como se ha dicho, le permite configurar correctamente el reenvío de puertos. Al final del artículo hay ejemplos de la configuración adecuada para varios dispositivos de red.
Comprobación de la corrección del firewall 3CX Firewall Checker service
Una buena forma de verificar la configuración del dispositivo de red (para saber si está detrás de NAT simétrica y otros problemas de configuración) es usar el servicio 3CX Firewall Checker.
3CX Firewall Checker le permite verificar previamente que su dispositivo de red perimetral procese correctamente el tráfico VoIP de operadores SIP, puentes 3CX, clientes SIP externos y conexiones de túnel 3CX. Veamos un ejemplo simple de cómo usar este servicio. Por ejemplo, suponga que el servidor 3CX tiene una dirección de 192.168.0.100, la prueba se realiza en el puerto 9500 y la dirección externa de su red es 11.22.33.44.
Como se mencionó, la publicación correcta del puerto significa que cualquier paquete UDP saliente del servidor PBX con la IP de origen :: La dirección de origen del puerto es 192.168.0.100::9500 debe llegar al destinatario (generalmente es el servidor SIP del operador, un teléfono IP remoto o otra PBX 3CX) con la dirección de origen "reescrita" IP de origen :: Puerto - 11.22.33.44::9500. A pesar de que hay una traducción de la dirección (que es necesaria para enrutar el paquete en la WAN pública), el
puerto del
paquete no cambia . Además, cualquier paquete UDP que provenga de la WAN con la dirección de destino IP :: Puerto de destino es 11.22.33.44::9500 debe llegar al servidor 3CX con la dirección de puerto IP :: 192.168.0.100::9500 de destino. 3CX Firewall Checker solo se utiliza para verificar la traducción correcta de las direcciones, y también descubre otra importante.
Para iniciar 3CX Firewall Checker, vaya a la interfaz de administración de 3CX> Sección principal> sección Estado de PBX> haga clic en Firewall> Ejecutar.
Después de comenzar, comenzarán las pruebas de red. Dependiendo del tipo de dispositivo de borde y la configuración real, verá el resultado junto con consejos para la solución de problemas.
Atención: al iniciar 3CX Firewall Checker se detienen algunos servicios de 3CX, por lo tanto, durante el período de prueba, la PBX no estará disponible. Si la prueba del puerto fue exitosa, toma 1 segundo. La prueba de puerto fallida dura de 5 a 10 segundos. De forma predeterminada, se prueban los puertos en el rango de 9000 a 10999. Si todo se configuró inicialmente correctamente, la prueba no tomará más de un minuto. Si surgen problemas, la prueba se retrasa de 4 a 9 minutos. Sin embargo, puede detener la prueba en cualquier momento.
El servicio utiliza el servidor 3CX STUN, que debe instalarse en la sección Configuración> Red> IP pública. Algunos firewalls pueden calificar esto erróneamente como un escaneo de puertos. Si esto sucede, el 3CX Firewall Checker informa el problema al comienzo de la prueba. Por lo tanto, en el firewall, debe deshabilitar la prueba de escaneo antes de comenzar la prueba.
Pruebas 3CX Firewall Checker
La utilidad verifica la corrección de la configuración del hardware haciendo varias solicitudes a los servidores STUN. Se realizan dos pruebas.
Accesibilidad a internet
Esta prueba verifica la disponibilidad de los servidores STUN desde los puertos verificados del servidor 3CX. También verifica el funcionamiento de DNS (los servidores STUN en 3CX se indican mediante FQDN).
Si esta prueba falla, pueden ocurrir los siguientes problemas:
- Un problema común con el acceso a internet. Si hay un navegador instalado en el servidor, intente iniciar sesión en algún sitio. Quizás necesite abrir el acceso del servidor PBX a Internet en los puertos especificados en esta guía .
- La prueba puede fallar si el servidor STUN no está disponible. Verifique la configuración en Configuración> Red> IP pública o use el servidor de respaldo.
- Compruebe qué puerto se especifica para STUN (3478 por defecto)
- Asegúrese de que el firewall en el servidor 3CX mismo, como el Firewall de Windows, permita la conexión a los puertos que se están probando. Los antivirus u otros programas de seguridad también pueden bloquear puertos. Desconecte o incluso elimínelos por completo del servidor durante la prueba (un simple apagado no siempre ayuda).
- También puede bloquear los puertos del lado de su proveedor de servicios de Internet; debe excluir esta posibilidad.
Corrección de publicación de puertos (Full Cone NAT)
Esta prueba prueba la capacidad de un servidor ubicado en Internet para comunicarse con un servidor 3CX en una red interna. Se está probando el ajuste de traducción de puerto uno a uno (Full Cone NAT).
3CX Firewall Checker envía una solicitud al servidor STUN desde el puerto (número) que se está verificando, y le pide al servidor STUN que cree una conexión al servidor PBX en este puerto desde una dirección IP externa. Si la segunda prueba falla, verifique las siguientes configuraciones:
- Su cortafuegos debe tener una regla de publicación de puertos uno a uno estática. Los dispositivos económicos, por regla general, ofrecen solo este tipo de regla.
- Algunos puertos requieren una regla para el tráfico TCP y UDP. Consulte la lista de puertos necesarios para que 3CX funcione .
Resultados de la prueba / Mensajes de error
Enumeramos los resultados de las pruebas y los errores devueltos por el Firewall Checker.
Correcto: el reenvío de puertos se implementa correctamente para este puerto. VoIP puede funcionar. Esta configuración es compatible. (Éxito: la publicación del puerto es correcta. Las comunicaciones VoIP funcionarán. Esta configuración es compatible con 3CX).Todas las pruebas pasaron con éxito. Su dispositivo de borde permite el tráfico de Internet desde el puerto que se está probando y realiza correctamente la conversión de puerto uno a uno. Configuración compatible.
El servidor STUN no tiene una segunda dirección (el servidor STUN no tiene una segunda dirección).Aparece un mensaje si el servidor STUN está configurado incorrectamente en la interfaz 3CX. El servidor STUN debe tener dos direcciones. En la sección Configuración> Red> IP pública, especifique los siguientes servidores STUN: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.
Error: no se recibió respuesta o se cerró la asignación de puertos. El reenvío de puertos no está configurado correctamente. (Error: no se recibió respuesta o se cerró el puerto. Configuración de publicación de puerto incorrecta).La publicación del puerto que se está verificando está configurada incorrectamente. En este caso, los proveedores de VoIP y los teléfonos IP remotos no funcionarán. Configure la publicación de puertos para
estas guías .
Falló - Falló la verificación del firewall. Se detectaron algunos errores. Verifique la configuración de su firewall e intente la prueba nuevamente. (Falló: la verificación del firewall falló. Se detectaron errores. Verifique la configuración del firewall e intente nuevamente).Este mensaje aparece si algunos puertos pasan la prueba, pero otros no. Tenga en cuenta qué puertos específicos fallaron la prueba y publíquelos. También asegúrese de que estos puertos no estén publicados en el enrutador para una dirección IP interna diferente.
Error: se recibió una respuesta con formato incorrecto (también conocido como NAT simétrica). El reenvío de puertos no se implementó correctamente (Error: recibió una respuesta incorrecta (posiblemente NAT simétrica). La publicación de puertos está configurada incorrectamente).La respuesta indica que Full Cone NAT no funciona correctamente para usted.
El servidor STUN no respondió o el reenvío de puertos no está configurado en su firewall (el servidor STUN no respondió o la publicación de puertos no se configuró en el firewall).Su servidor STUN no responde. Posibles razones:
- El servidor STUN no está disponible desde el servidor 3CX.
- El servidor STUN está actualmente inactivo.
- Publicación de puertos no configurada.
La dirección del servidor STUN no se puede resolver (la dirección IP DNS del servidor no se resuelve).No se pudo determinar la dirección IP del servidor STUN por su nombre. Esto puede indicar un problema con su servidor DNS, pero también que este servidor STUN ha dejado de funcionar para siempre.
Fallido - Malformado o no se recibió respuesta de los servidores STUN configurados. Compruebe su conexión a Internet, la configuración de DNS o cambie los servidores STUN desde la sección Configuración → Red → Configuración de IP externa (Falló: se recibió una respuesta incorrecta de los servidores STUN configurados. Compruebe la conexión a Internet, la configuración DNS o use otro STUN en la sección Configuración → Red → IP externa).La respuesta dice que la publicación del puerto se realizó correctamente o que su firewall está bloqueando los paquetes.
Fallido: el puerto está en uso por otra aplicación en esta computadora O el puerto SIP está en uso por el proceso {0}. El verificador de Firewall 3CX requiere que el puerto SIP esté libre (Sin éxito - el puerto lo utiliza otra aplicación en este servidor O el puerto SIP lo utiliza el proceso {0}. El verificador de Firewall 3CX requiere un puerto SIP libre.El puerto bajo prueba lo utiliza otra aplicación instalada en este servidor. Para determinar un proceso específico, ejecute el comando
netstat -ano | findstr /I /C:"PID" /C:":9500"donde 9500 es el número de puerto. En la columna PID, verá la ID del proceso. Use el Administrador de tareas para identificar el proceso. También puedes ejecutar el comando
tasklist /fi "pid eq 4"donde 4 es la ID del proceso.
Los servidores STUN no son accesibles. No se puede realizar la verificación del firewall. Esta configuración no es compatible (los servidores STUN no están disponibles. No se puede realizar una verificación del firewall. La configuración no es compatible).Los servidores STUN configurados en la interfaz 3CX no están disponibles. Esto generalmente se debe a problemas con el acceso a Internet. En la sección Configuración> Red> IP pública, especifique los siguientes servidores STUN: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.
Información adicional