Wenn Sie vorhaben, SIP-Amtsleitungen von Telekommunikationsbetreibern oder Remotebenutzern mit dem 3CX-System zu verbinden und sich Ihre TK-Anlage in einem privaten Netzwerk befindet, müssen die Ports statisch in der Firewall veröffentlicht („weitergeleitet“) werden.
VoIP-Anwendungen verwenden das RTP-Protokoll zur Übertragung von Multimedia-Streams (Audio und Video). Beim Durchgang durch Grenznetzwerkgeräte (Firewalls und Router) kann der Protokollbetrieb zu Schwierigkeiten führen. Dies liegt daran, dass RTP zufällige Portnummern zum Senden und Empfangen von Multimedia-Verkehr verwendet. Eine falsche Konfiguration der Firewall äußert sich in einer Einweg-Hörbarkeit oder überhaupt keinem Ton vom VoIP-Anbieter und den Remote-Benutzern.
Symmetrisches NAT-VoIP-Problem
Bei Verwendung von symmetrischem NAT ändert das Edge-Netzwerkgerät dynamisch die Portnummer, an der der Audiostream empfangen wird. Wenn Sie beispielsweise einen ausgehenden Anruf über eine SIP-Amtsleitung eines Betreibers tätigen, sendet 3CX zunächst eine STUN-Anforderung, um die externe IP-Adresse und die aktuelle Portnummer zu ermitteln. Diese Adresse und dieser Port werden dann zur gegenseitigen Kommunikation an den SIP-Server des Betreibers übertragen. Zu diesem Zeitpunkt schließt Ihre Firewall diesen Port jedoch dynamisch (der bereits an den Bediener übertragen wurde - wie im INVITE-Header angegeben). Die Audioübertragung schlägt fehl. Aufgrund dieser Funktion ist es offensichtlich nicht möglich, einen zuverlässigen VoIP-Betrieb sicherzustellen. In Firewall-Konfigurationshandbüchern wird diese Technologie als Symmetric NAT bezeichnet.
Lösen des One-Way-Audibility-Problems in VoIP - Full Cone NAT
Um das Problem mit Einweg-Hörbarkeit (oder vollständiger "Stille") zu lösen, sollten Sie das sogenannte konische NAT (Full Cone NAT) konfigurieren, das auch als Eins-zu-Eins-NAT bezeichnet wird. Darin werden die erforderlichen Ports an der externen Adresse des Routers einer bestimmten internen Adresse zugeordnet (oder "weitergeleitet") (die Portnummer wird gespeichert). Der externe Host tauscht RTP-Pakete mit dem internen Host aus und sendet sie zuerst an die externe Adresse des Routers und den externen (zugeordneten) Port.
Tatsächlich unterstützt die überwiegende Mehrheit der Netzwerkgeräte diesen Modus. In der Regel wird es als "statische Portzuordnung" bezeichnet. Durch statisches Publizieren wird sichergestellt, dass ein bestimmter Port immer offen bleibt und niemals von einer Firewall geändert wird. Einige sehr billige Router implementieren diese Funktion nicht korrekt, aber die meisten ermöglichen es Ihnen, wie bereits erwähnt, die Portweiterleitung ordnungsgemäß zu konfigurieren. Am Ende des Artikels finden Sie Beispiele für die entsprechenden Einstellungen für verschiedene Netzwerkgeräte.
Überprüfen der Richtigkeit des Firewall 3CX Firewall Checker-Dienstes
Eine gute Möglichkeit, die Konfiguration des Netzwerkgeräts zu überprüfen (um herauszufinden, ob Sie hinter Symmetric NAT und anderen Konfigurationsproblemen stehen), ist die Verwendung des 3CX Firewall Checker-Dienstes.
Mit 3CX Firewall Checker können Sie vorab überprüfen, ob Ihr Edge-Netzwerkgerät den VoIP-Verkehr von SIP-Betreibern, 3CX-Bridges, externen SIP-Clients und 3CX-Tunnelverbindungen korrekt verarbeitet. Schauen wir uns ein einfaches Beispiel für die Verwendung dieses Dienstes an. Angenommen, der 3CX-Server hat eine Adresse von 192.168.0.100, der Test wird an Port 9500 durchgeführt und die externe Adresse Ihres Netzwerks lautet 11.22.33.44.
Wie bereits erwähnt, bedeutet die korrekte Portveröffentlichung, dass jedes ausgehende UDP-Paket vom PBX-Server mit der Quell-IP :: Port-Quelladresse 192.168.0.100::9500 den Empfänger erreichen sollte (normalerweise ist es der SIP-Server des Netzbetreibers, ein Remote-IP-Telefon oder eine andere PBX 3CX) mit der "umgeschriebenen" Quelladresse Quell-IP :: Port - 11.22.33.44::9500. Trotz der Tatsache, dass eine Übersetzung der Adresse vorliegt (die zum Weiterleiten des Pakets im öffentlichen WAN erforderlich ist),
ändert sich der
Paketport nicht . Darüber hinaus sollte jedes UDP-Paket, das vom WAN mit der Ziel-IP :: Port-Zieladresse 11.22.33.44::9500 kommt, den 3CX-Server mit der Ziel-IP :: Port-Adresse 192.168.0.100::9500 erreichen. 3CX Firewall Checker wird nur verwendet, um die korrekte Übersetzung von Adressen zu überprüfen und um eine weitere wichtige Adresse herauszufinden.
Um 3CX Firewall Checker zu starten, gehen Sie zur 3CX-Verwaltungsoberfläche> Hauptabschnitt> PBX-Statusabschnitt> klicken Sie auf Firewall> Ausführen.
Nach dem Start beginnen die Netzwerktests. Abhängig vom Typ des Edge-Geräts und der tatsächlichen Konfiguration wird das Ergebnis zusammen mit Tipps zur Fehlerbehebung angezeigt.
Achtung: Durch das Starten von 3CX Firewall Checker werden einige 3CX-Dienste gestoppt. Daher ist die TK-Anlage während des Testzeitraums nicht verfügbar. Wenn der Port-Test erfolgreich war, dauert es 1 Sekunde. Der nicht erfolgreiche Port-Test dauert 5-10 Sekunden. Standardmäßig werden Ports im Bereich von 9000 bis 10999 getestet. Wenn alles ursprünglich korrekt eingerichtet wurde, dauert das Testen nicht länger als eine Minute. Bei Problemen verzögert sich der Test um 4-9 Minuten. Sie können den Test jedoch jederzeit beenden.
Der Dienst verwendet den 3CX STUN-Server, der im Abschnitt Einstellungen> Netzwerk> Öffentliche IP installiert werden muss. Einige Firewalls qualifizieren dies möglicherweise fälschlicherweise als Port-Scan. In diesem Fall meldet der 3CX Firewall Checker das Problem zu Beginn des Tests. Daher müssen Sie in der Firewall den Scan-Test deaktivieren, bevor Sie den Test starten.
Testet 3CX Firewall Checker
Das Dienstprogramm überprüft die Richtigkeit der Hardwareeinstellungen, indem es verschiedene Anforderungen an die STUN-Server sendet. Es werden zwei Tests durchgeführt.
Internetzugang
Dieser Test überprüft die Verfügbarkeit von STUN-Servern an den überprüften Ports des 3CX-Servers. Es überprüft auch den Betrieb von DNS (STUN-Server in 3CX werden durch FQDN angezeigt).
Wenn dieser Test fehlschlägt, können die folgenden Probleme auftreten:
- Ein häufiges Problem beim Internetzugang. Wenn auf dem Server ein Browser installiert ist, melden Sie sich einfach bei einer Site an. Möglicherweise müssen Sie den Zugriff vom PBX-Server auf das Internet an den in diesem Handbuch angegebenen Ports öffnen.
- Der Test kann fehlschlagen, wenn der STUN-Server nicht verfügbar ist. Überprüfen Sie die Einstellungen unter Einstellungen> Netzwerk> Öffentliche IP oder verwenden Sie den Sicherungsserver.
- Überprüfen Sie, welcher Port für STUN angegeben ist (standardmäßig 3478).
- Stellen Sie sicher, dass die Firewall auf dem 3CX-Server selbst, z. B. die Windows-Firewall, die Verbindung zu den getesteten Ports ermöglicht. Antivirenprogramme oder andere Sicherheitsprogramme können auch Ports blockieren. Trennen Sie sie während des Tests vom Server oder entfernen Sie sie sogar vollständig vom Server (ein einfaches Herunterfahren hilft nicht immer).
- Sie können auch Ports auf der Seite Ihres Internetdienstanbieters blockieren - Sie sollten diese Möglichkeit ausschließen.
Port Publishing-Korrektheit (Full Cone NAT)
Dieser Test testet die Fähigkeit eines Servers im Internet, mit einem 3CX-Server in einem internen Netzwerk zu kommunizieren. Die Optimierung der Eins-zu-Eins-Port-Übersetzung (Full Cone NAT) wird getestet.
3CX Firewall Checker sendet eine Anfrage vom zu überprüfenden (Nummern-) Port an den STUN-Server und fordert den STUN-Server auf, von einer externen IP-Adresse aus eine Verbindung zum PBX-Server an diesem Port herzustellen. Wenn der zweite Test fehlschlägt, überprüfen Sie die folgenden Einstellungen:
Testergebnisse / Fehlermeldungen
Wir listen die Testergebnisse und Fehler auf, die vom Firewall Checker zurückgegeben werden.
Erfolg - Die Portweiterleitung ist für diesen Port korrekt implementiert. VoIP kann funktionieren. Diese Konfiguration wird unterstützt. (Erfolgreich - Port-Publishing ist korrekt. VoIP-Kommunikation funktioniert. Diese Konfiguration wird von 3CX unterstützt.)Alle Tests wurden erfolgreich bestanden. Ihr Grenzgerät lässt den Internetverkehr vom getesteten Port zu und führt die Eins-zu-Eins-Portkonvertierung korrekt durch. Konfiguration unterstützt.
Der STUN-Server hat keine zweite Adresse (der STUN-Server hat keine zweite Adresse).Eine Meldung wird angezeigt, wenn der STUN-Server in der 3CX-Schnittstelle falsch konfiguriert ist. Der STUN-Server muss zwei Adressen haben. Geben Sie im Abschnitt Einstellungen> Netzwerk> Öffentliche IP die folgenden STUN-Server an: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.
Fehlgeschlagen - Keine Antwort empfangen oder Portzuordnung geschlossen. Portweiterleitung nicht richtig konfiguriert. (Fehlgeschlagen - keine Antwort empfangen oder Port geschlossen. Falsche Einstellung für die Portveröffentlichung).Die Veröffentlichung des zu überprüfenden Ports ist falsch konfiguriert. In diesem Fall funktionieren VoIP-Anbieter und Remote-IP-Telefone nicht. Konfigurieren Sie die Portveröffentlichung für
diese Handbücher .
Fehlgeschlagen - Firewall-Prüfung fehlgeschlagen. Einige Fehler wurden erkannt. Überprüfen Sie Ihre Firewall-Konfiguration und wiederholen Sie den Test. (Fehlgeschlagen - Die Firewall-Prüfung ist fehlgeschlagen. Es wurden Fehler festgestellt. Überprüfen Sie die Firewall-Konfiguration und versuchen Sie es erneut.)Diese Meldung wird angezeigt, wenn einige Ports den Test bestehen, andere jedoch nicht. Bitte beachten Sie, welche spezifischen Ports den Test nicht bestanden haben, und veröffentlichen Sie sie. Stellen Sie außerdem sicher, dass diese Ports nicht bereits für eine andere interne IP-Adresse auf dem Router veröffentlicht wurden.
Fehlgeschlagen - Fehlerhafte Antwort empfangen - (auch bekannt als Symmetric NAT). Portweiterleitung nicht korrekt implementiert (Fehlgeschlagen - falsche Antwort erhalten (möglicherweise symmetrisches NAT). Portveröffentlichung ist falsch konfiguriert).Die Antwort zeigt an, dass Full Cone NAT für Sie nicht richtig funktioniert.
Der STUN-Server hat nicht geantwortet oder die Portweiterleitung ist in Ihrer Firewall nicht konfiguriert (der STUN-Server hat nicht geantwortet oder die Portveröffentlichung wurde in der Firewall nicht konfiguriert).Ihr STUN-Server antwortet nicht. Mögliche Gründe:
- Der STUN-Server ist auf dem 3CX-Server nicht verfügbar.
- Der STUN-Server ist derzeit nicht verfügbar.
- Port Publishing nicht konfiguriert.
Die STUN-Serveradresse kann nicht aufgelöst werden (die DNS-IP-Adresse des Servers wird nicht aufgelöst).Fehler beim Ermitteln der IP-Adresse des STUN-Servers anhand seines Namens. Dies kann auf ein Problem mit Ihrem DNS-Server hinweisen, aber auch darauf, dass dieser STUN-Server für immer nicht mehr funktioniert.
Fehlgeschlagen - Fehlerhafte oder keine Antwort von konfigurierten STUN-Servern empfangen. Überprüfen Sie Ihre Internetverbindung, DNS-Einstellungen oder ändern Sie die STUN-Server im Abschnitt Einstellungen → Netzwerk → Externe IP-Konfiguration (Fehlgeschlagen - Von den konfigurierten STUN-Servern wurde eine falsche Antwort empfangen. Überprüfen Sie die Internetverbindung, die DNS-Einstellungen oder verwenden Sie einen anderen STUN im Abschnitt Einstellungen → Netzwerk → Externe IP).Die Antwort besagt, dass die Portveröffentlichung korrekt durchgeführt wurde oder Ihre Firewall Pakete blockiert.
Fehlgeschlagen - Der Port wird von einer anderen Anwendung auf diesem Computer verwendet, oder der SIP-Port wird vom Prozess {0} verwendet. Für die 3CX-Firewall-Prüfung muss der SIP-Port frei sein (nicht erfolgreich - der Port wird von einer anderen Anwendung auf diesem Server verwendet ODER der SIP-Port wird vom {0} -Prozess verwendet. Für die 3CX-Firewall-Prüfung ist ein freier SIP-Port erforderlich.Der zu testende Port wird von einer anderen auf diesem Server installierten Anwendung verwendet. Führen Sie den Befehl aus, um einen bestimmten Prozess zu bestimmen
netstat -ano | findstr /I /C:"PID" /C:":9500"Dabei ist 9500 die Portnummer. In der Spalte PID sehen Sie die Prozess-ID. Verwenden Sie den Task-Manager, um den Prozess zu identifizieren. Sie können den Befehl auch ausführen
tasklist /fi "pid eq 4"Dabei ist 4 die Prozess-ID.
STUN-Server sind nicht erreichbar. Firewall-Prüfung kann nicht durchgeführt werden. Diese Konfiguration wird nicht unterstützt (STUN-Server sind nicht verfügbar. Die Firewall kann nicht überprüft werden. Die Konfiguration wird nicht unterstützt.)Auf der 3CX-Schnittstelle konfigurierte STUN-Server sind nicht verfügbar. Dies ist normalerweise auf Probleme mit dem Internetzugang zurückzuführen. Geben Sie im Abschnitt Einstellungen> Netzwerk> Öffentliche IP die folgenden STUN-Server an: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.
Weitere Informationen