إجابات الدعم الفني لـ 3CX: قم بتكوين جهاز التوجيه لخادم PBX VoIP

إذا كنت تخطط لتوصيل جذوع SIP من مشغلي الاتصالات أو المستخدمين عن بعد بنظام 3CX ، ويقع PBX في شبكة خاصة ، فيجب نشر المنافذ بشكل ثابت ("إعادة التوجيه") على جدار الحماية.

تستخدم تطبيقات VoIP بروتوكول RTP لنقل تدفقات الوسائط المتعددة (الصوت والفيديو). عند المرور عبر أجهزة الشبكة الحدودية (جدران الحماية وأجهزة التوجيه) ، يمكن أن يسبب تشغيل البروتوكول صعوبات. وذلك لأن RTP يستخدم أرقام المنافذ العشوائية لإرسال واستقبال حركة مرور الوسائط المتعددة. يظهر التكوين غير الصحيح لجدار الحماية نفسه على أنه صوت أحادي الاتجاه أو لا صوت على الإطلاق من موفر VoIP والمستخدمين عن بُعد.

متماثل NAT الصوت عبر بروتوكول الإنترنت المشكلة

عند استخدام NAT المتماثل ، يغير جهاز الشبكة الحافة رقم المنفذ الذي يتم استقبال دفق الصوت عليه ديناميكيًا. على سبيل المثال ، عند إجراء مكالمة صادرة من خلال مشغل SIP trunk ، تقوم 3CX أولاً بطلب STUN لتحديد عنوان IP الخارجي ورقم المنفذ الحالي. ثم يتم نقل هذا العنوان والمنفذ إلى خادم SIP للمشغل للاتصالات المتبادلة. ولكن في هذا الوقت ، يقوم جدار الحماية الخاص بك بإغلاق هذا المنفذ ديناميكيًا (والذي تم إرساله بالفعل إلى المشغل - المشار إليه في رأس INVITE). فشل نقل الصوت. من الواضح ، بسبب هذه الميزة ، لا يمكن ضمان تشغيل موثوق عبر بروتوكول الإنترنت. في أدلة تكوين جدار الحماية ، تُسمى هذه التقنية متماثل NAT.

حل مشكلة السمع في اتجاه واحد في VoIP - Full Cone NAT

لحل المشكلة من خلال تجربة أحادية الاتجاه (أو "الصمت" الكامل) ، يجب عليك تكوين ما يسمى بـ مخروطي NAT (Full Cone NAT) ، والذي يُعرف أيضًا باسم NAT واحد لواحد. فيه ، يتم تعيين المنافذ الضرورية على العنوان الخارجي لجهاز التوجيه (أو "إعادة توجيه") إلى عنوان داخلي محدد (يتم حفظ رقم المنفذ). يتبادل المضيف الخارجي حزم RTP مع المضيف الداخلي ، ويرسلها أولاً إلى العنوان الخارجي لجهاز التوجيه والمنفذ الخارجي (المعين).

في الواقع ، الغالبية العظمى من أجهزة الشبكة تدعم هذا الوضع. عادةً ما يطلق عليه "تعيين منفذ ثابت". يضمن النشر الثابت بقاء منفذ معين مفتوحًا دائمًا وعدم تغييره أبدًا بواسطة جدار الحماية. لا تقوم بعض أجهزة التوجيه الرخيصة جدًا بتنفيذ هذه الوظيفة بشكل صحيح ، ولكن معظمها ، كما قيل ، تسمح لك بتكوين إعادة توجيه المنفذ بشكل صحيح. في نهاية المقال أمثلة للإعدادات المناسبة لأجهزة الشبكة المختلفة.

التحقق من صحة جدار الحماية 3CX Firewall Checker service

هناك طريقة جيدة للتحقق من تكوين جهاز الشبكة (لمعرفة ما إذا كنت تقف وراء NAT Symmetric ومشاكل التكوين الأخرى) هي استخدام خدمة 3CX Firewall Checker.

يسمح لك مدقق جدار الحماية 3CX بالتحقق المسبق من أن جهاز شبكة الحافة الخاص بك يعالج حركة مرور VoIP بشكل صحيح من مشغلي SIP وجسور 3CX وعملاء SIP الخارجيين واتصالات 3CX Tunnel. دعونا نلقي نظرة على مثال بسيط لكيفية استخدام هذه الخدمة. على سبيل المثال ، افترض أن خادم 3CX لديه عنوان 192.168.0.100 ، ويتم إجراء الاختبار على المنفذ 9500 ، والعنوان الخارجي لشبكتك هو 11.22.33.44.

كما ذكرنا ، يعني المنشور الصحيح للمنفذ أن أي حزمة UDP صادرة من خادم PBX مع عنوان مصدر IP :: Port المصدر هي 192.168.0.100::9500 يجب أن تصل إلى المستلم (عادة ما يكون خادم SIP الخاص بشركة الاتصالات أو هاتف IP البعيد أو PBX 3CX آخر) مع مصدر عنوان IP المصدر: "إعادة كتابة" IP :: Port - 11.22.33.44::9500. على الرغم من حقيقة أن العنوان يتم ترجمته (وهو أمر ضروري لتوجيه الحزمة على شبكة WAN العامة) ، فإن منفذ الحزمة لا يتغير . بالإضافة إلى ذلك ، يجب أن تصل أي حزمة UDP تأتي من WAN بعنوان الوجهة IP :: Port - 11.22.33.44::9500 إلى خادم 3CX مع IP :: Port - 192.168.0.100::9500. يستخدم مدقق جدار الحماية 3CX فقط للتحقق من الترجمة الصحيحة للعناوين ، ويكتشف أيضًا ترجمة مهمة أخرى.

لبدء تشغيل مدقق جدار الحماية 3CX ، انتقل إلى واجهة إدارة 3CX> القسم الرئيسي> قسم حالة PBX> انقر فوق جدار الحماية> تشغيل.



بعد البدء ، ستبدأ اختبارات الشبكة. بناءً على نوع جهاز الحافة والتكوين الفعلي ، سترى النتيجة مع نصائح استكشاف الأخطاء وإصلاحها.

انتباه: بدء تشغيل مدقق جدار الحماية 3CX يوقف بعض خدمات 3CX ، وبالتالي ، لن تكون PBX متاحة خلال فترة الاختبار. إذا كان اختبار المنفذ ناجحًا ، فسيستغرق ذلك ثانية واحدة. يستمر اختبار المنفذ غير الناجح لمدة 5 إلى 10 ثوانٍ. بشكل افتراضي ، يتم اختبار المنافذ في حدود 9000 - 10999. إذا تم إعداد كل شيء في البداية بشكل صحيح ، فلن يستغرق الاختبار أكثر من دقيقة. إذا ظهرت مشاكل - يتم تأخير الاختبار لمدة 4-9 دقائق. ومع ذلك ، يمكنك إيقاف الاختبار في أي وقت.

تستخدم الخدمة خادم 3CX STUN ، والذي يجب تثبيته في قسم الإعدادات> الشبكة> IP العام. قد تكون بعض جدران الحماية مؤهلة عن طريق الخطأ باعتبارها تفحص منفذ. إذا حدث هذا ، يقوم مدقق جدار الحماية 3CX بالإبلاغ عن المشكلة في بداية الاختبار. لذلك ، في جدار الحماية ، يجب عليك تعطيل اختبار المسح الضوئي قبل بدء الاختبار.

اختبارات 3CX جدار الحماية مدقق

تقوم الأداة بالتحقق من صحة إعدادات الأجهزة عن طريق تقديم طلبات مختلفة إلى خوادم STUN. يتم إجراء اختبارين.

إمكانية الوصول إلى الإنترنت

يتحقق هذا الاختبار من توفر خوادم STUN من المنافذ المحددة لخادم 3CX. كما يتحقق تشغيل DNS (تتم الإشارة إلى خوادم STUN في 3CX بواسطة FQDN).

إذا فشل هذا الاختبار ، فقد تحدث المشكلات التالية:

• مشكلة شائعة في الوصول إلى الإنترنت. إذا تم تثبيت متصفح على الخادم ، فحاول فقط تسجيل الدخول إلى بعض المواقع. ربما تحتاج إلى فتح الوصول من خادم PBX إلى الإنترنت في المنافذ المحددة في هذا الدليل .
  
• قد يفشل الاختبار إذا كان خادم STUN غير متوفر. تحقق من الإعدادات ضمن الإعدادات> الشبكة> IP العام أو استخدم خادم النسخ الاحتياطي.
  
• تحقق من المنفذ المحدد لـ STUN (3478 افتراضيًا)
  
• تأكد من أن جدار الحماية على خادم 3CX نفسه ، مثل جدار حماية Windows ، يسمح بالاتصال بالمنافذ التي يجري اختبارها. يمكن أن تقوم برامج مكافحة الفيروسات أو برامج الأمان الأخرى بحظر المنافذ. افصلها أو أخرجها تمامًا من الخادم أثناء الاختبار (لا يساعد إيقاف التشغيل البسيط دائمًا).
  
• يمكنك أيضًا حظر المنافذ على جانب مزود خدمة الإنترنت لديك - يجب عليك استبعاد هذا الاحتمال.
  

صحة نشر المنفذ (Full Cone NAT)

يختبر هذا الاختبار قدرة الخادم الموجود على الإنترنت على الاتصال بخادم 3CX على شبكة داخلية. يجري اختبار توليف ترجمة المنفذ الفردي (Full Cone NAT).

يرسل 3CX Firewall Checker طلبًا إلى خادم STUN من المنفذ (الرقم) الذي يتم التحقق منه ، ويطلب من خادم STUN إنشاء اتصال بخادم PBX على هذا المنفذ من عنوان IP خارجي. إذا فشل الاختبار الثاني ، تحقق من الإعدادات التالية:

• يجب أن يحتوي جدار الحماية لديك على قاعدة ثابتة لنشر منفذ واحد إلى واحد. الأجهزة الرخيصة ، كقاعدة عامة ، تقدم فقط هذا النوع من القواعد.
  
• تتطلب بعض المنافذ قاعدة لكل من TCP و UDP. انظر قائمة المنافذ اللازمة ل 3 CX للعمل .
  

نتائج الاختبار / رسائل الخطأ

ندرج نتائج الاختبار والأخطاء التي أرجعها مدقق جدار الحماية.

نجاح - تم تنفيذ إعادة توجيه المنفذ بشكل صحيح لهذا المنفذ. الصوت عبر بروتوكول الإنترنت يمكن أن تعمل. هذا التكوين مدعوم (نشر منفذ النجاح صحيح. اتصالات VoIP ستعمل. هذا التكوين مدعوم من 3CX).

كل الاختبارات مرت بنجاح. يسمح الجهاز الحدودي بحركة مرور الإنترنت من المنفذ الجاري اختباره ويقوم بتحويل منفذ واحد إلى واحد بشكل صحيح. التكوين المدعومة.

لا يشتمل خادم STUN على العنوان الثاني (لا يشتمل خادم STUN على العنوان الثاني).

تظهر رسالة إذا تم تكوين خادم STUN بشكل غير صحيح في واجهة 3CX. يجب أن يكون خادم STUN عنوانين. في قسم الإعدادات> الشبكة> IP العام ، حدد خوادم STUN التالية: stun-eu.3cx.com ، stun2.3cx.com ، stun3.3cx.com.

فشل - لم يتم تلقي أي استجابة أو إغلاق منفذ. لم يتم تكوين إعادة توجيه المنفذ بشكل صحيح. (فشل - لم يتم تلقي استجابة أو إغلاق المنفذ. إعداد نشر المنفذ غير صحيح).

تم تكوين المنشور المنفذ قيد التحقق بشكل غير صحيح. في هذه الحالة ، لن يعمل موفري خدمة VoIP وهواتف IP البعيدة. تكوين نشر المنفذ لهذه الأدلة .

فشل - فشل اختبار جدار الحماية. تم اكتشاف بعض الأخطاء. يرجى التحقق من تكوين جدار الحماية الخاص بك وإعادة المحاولة. (فشل - فشل اختبار جدار الحماية. تم اكتشاف الأخطاء. تحقق من تكوين جدار الحماية وحاول مرة أخرى).

تظهر هذه الرسالة إذا نجحت بعض المنافذ في الاختبار ، لكن البعض الآخر لم ينجح في ذلك. يرجى ملاحظة المنافذ المحددة التي فشلت في الاختبار ونشرها. تأكد أيضًا من عدم نشر هذه المنافذ بالفعل على جهاز التوجيه لعنوان IP داخلي مختلف.

فشل - تم تلقي استجابة مشوهة - (الملقب NAT متماثل). لم يتم تنفيذ إعادة توجيه المنفذ بشكل صحيح (فشل - تلقى استجابة غير صحيحة (ربما متماثل NAT). تم تكوين نشر المنفذ بشكل غير صحيح).

تشير الإجابة إلى أن Full Cone NAT لا يعمل بشكل صحيح من أجلك.

لم يرد خادم STUN أو لم يتم تكوين إعادة توجيه المنفذ على جدار الحماية الخاص بك (لم يستجب خادم STUN أو لم يتم تكوين نشر المنفذ على جدار الحماية).

خادم STUN لا يستجيب. الأسباب المحتملة:

• خادم STUN غير متاح من خادم 3CX.
  
• خادم STUN معطلة حاليًا.
  
• منفذ النشر غير مكون.
  

لا يمكن حل عنوان خادم STUN (لم يتم حل عنوان IP الخاص بخادم DNS).

فشل في تحديد عنوان IP لخادم STUN حسب اسمه. قد يشير هذا إلى وجود مشكلة في خادم DNS ، ولكن أيضًا توقف خادم STUN عن العمل إلى الأبد.

فشل - تالف أو لم يتلق استجابة من خوادم STUN المكونة. تحقق من اتصالك بالإنترنت أو إعدادات DNS أو قم بتغيير خوادم STUN من الإعدادات → الشبكة → قسم تكوين IP الخارجي (فشل - تلقى استجابة غير صحيحة من خوادم STUN المكونة. تحقق من اتصال الإنترنت أو إعدادات DNS أو استخدم STUN آخر في قسم الإعدادات → الشبكة → IP الخارجي).

توضح الإجابة أن نشر المنفذ يتم بشكل صحيح أو أن جدار الحماية الخاص بك يحظر الحزم.

فشل - المنفذ قيد الاستخدام من قبل تطبيق آخر على هذا الكمبيوتر أو منفذ SIP قيد الاستخدام عن طريق العملية {0}. يتطلب مدقق جدار الحماية 3CX أن يكون منفذ SIP مجانيًا (غير ناجح - يتم استخدام المنفذ من قبل تطبيق آخر على هذا الخادم أو يتم استخدام منفذ SIP بواسطة العملية {0}. يتطلب مدقق جدار الحماية 3CX منفذ SIP مجاني.

يتم استخدام المنفذ قيد الاختبار من قبل تطبيق آخر مثبت على هذا الخادم. لتحديد عملية محددة ، قم بتشغيل الأمر

netstat -ano | findstr /I /C:"PID" /C:":9500"

حيث 9500 هو رقم المنفذ. في العمود PID ، سترى معرف العملية. استخدم "إدارة المهام" لتحديد العملية. يمكنك أيضا تشغيل الأمر

tasklist /fi "pid eq 4"

حيث 4 هو معرف العملية.

لا يمكن الوصول إلى خوادم STUN. لا يمكن إجراء فحص جدار الحماية. هذا التكوين غير مدعوم (خوادم STUN غير متوفرة. غير قادر على إجراء فحص جدار الحماية. التكوين غير مدعوم).

لا تتوفر خوادم STUN المكونة على واجهة 3CX. هذا عادة ما يكون بسبب مشاكل في الوصول إلى الإنترنت. في قسم الإعدادات> الشبكة> IP العام ، حدد خوادم STUN التالية: stun-eu.3cx.com ، stun2.3cx.com ، stun3.3cx.com.

معلومات اضافية

• أنواع مختلفة من NAT
  
• NAT و VoIP العملية
  
• جدار الحماية Lancom
  
• سونيك وول جدار الحماية
  
• درايتيك 2820
  
• ZYXEL P-662H-D1
  
• AVM FritzBox
  
• سيسكو
  
• FortiGate 80C
  
• WatchGuard XTM
  
• pfSense
  
• كيريو السيطرة
  
• MikroTik