Si vous prévoyez de connecter des lignes réseau SIP d'opérateurs de télécommunications ou d'utilisateurs distants au système 3CX et que votre PBX est situé dans un réseau privé, les ports doivent être publiés de manière statique («transférés») sur le pare-feu.
Les applications VoIP utilisent le protocole RTP pour transmettre des flux multimédias (audio et vidéo). Lors du passage à travers des périphériques réseau frontaliers (pare-feu et routeurs), le fonctionnement du protocole peut entraîner des difficultés. En effet, RTP utilise des numéros de port aléatoires pour envoyer et recevoir du trafic multimédia. Une configuration incorrecte du pare-feu se manifeste par une audibilité unidirectionnelle ou aucun son du fournisseur VoIP et des utilisateurs distants.
Problème de VoIP NAT symétrique
Lors de l'utilisation de NAT symétrique, le périphérique réseau de périphérie modifie dynamiquement le numéro de port sur lequel le flux audio est reçu. Par exemple, lors d'un appel sortant via une ligne réseau SIP d'opérateur, 3CX effectue d'abord une demande STUN pour déterminer son adresse IP externe et son numéro de port actuel. Cette adresse et ce port sont ensuite transférés au serveur SIP de l'opérateur pour des communications mutuelles. Mais à ce moment, votre pare-feu ferme dynamiquement ce port (qui a déjà été transmis à l'opérateur - indiqué dans l'en-tête INVITE). La transmission audio échoue. De toute évidence, en raison de cette fonctionnalité, il n'est pas possible d'assurer un fonctionnement VoIP fiable. Dans les guides de configuration du pare-feu, cette technologie est appelée NAT symétrique.
Résolution du problème d'audibilité unidirectionnelle en VoIP - NAT à cône complet
Pour résoudre le problème avec une audibilité unidirectionnelle (ou un «silence» complet), vous devez configurer le NAT dit conique (NAT à cône complet), également appelé NAT un à un. Dans ce document, les ports nécessaires sur l'adresse externe du routeur sont mappés (ou «transférés») à une adresse interne spécifique (le numéro de port est enregistré). L'hôte externe échange des paquets RTP avec l'hôte interne, les envoyant d'abord à l'adresse externe du routeur et au port externe (mappé).
En fait, la grande majorité des périphériques réseau prennent en charge ce mode. En règle générale, il est appelé «Mappage de port statique». La publication statique garantit qu'un port spécifique reste toujours ouvert et n'est jamais modifié par un pare-feu. Certains routeurs très bon marché n'implémentent pas correctement cette fonction, mais la plupart, comme cela a été dit, vous permettent de configurer correctement la redirection de port. À la fin de l'article, vous trouverez des exemples de paramètres appropriés pour divers périphériques réseau.
Vérification de l'exactitude du service de pare-feu 3CX Firewall Checker
Un bon moyen de vérifier la configuration du périphérique réseau (pour savoir si vous êtes derrière Symmetric NAT et d'autres problèmes de configuration) consiste à utiliser le service 3CX Firewall Checker.
Le vérificateur de pare-feu 3CX vous permet de pré-vérifier que votre périphérique réseau périphérique traite correctement le trafic VoIP des opérateurs SIP, des ponts 3CX, des clients SIP externes et des connexions de tunnel 3CX. Regardons un exemple simple de la façon d'utiliser ce service. Par exemple, supposons que le serveur 3CX ait une adresse de 192.168.0.100, que les tests soient effectués sur le port 9500 et que l'adresse externe de votre réseau soit 11.22.33.44.
Comme mentionné, la publication de port correcte signifie que tout paquet UDP sortant du serveur PBX avec l'adresse source IP :: Port source est 192.168.0.100::9500 doit atteindre le destinataire (généralement c'est le serveur SIP du fournisseur de services, un téléphone IP distant ou un autre PBX 3CX) avec l'adresse source source "réécrite" IP :: Port - 11.22.33.44::9500. Malgré le fait qu'il y ait une traduction de l'adresse (qui est nécessaire pour acheminer le paquet sur le WAN public), le
port de paquet ne change pas . De plus, tout paquet UDP provenant du WAN avec l'adresse de destination IP :: Port - 11.22.33.44::9500 doit atteindre le serveur 3CX avec l'adresse IP :: Port de destination - 192.168.0.100::9500. Le vérificateur de pare-feu 3CX est juste utilisé pour vérifier la traduction correcte des adresses, et en trouve également une autre importante.
Pour démarrer le vérificateur de pare-feu 3CX, accédez à l'interface de gestion 3CX> section principale> section état du PBX> cliquez sur pare-feu> exécuter.
Après le démarrage, les tests de réseau commenceront. Selon le type de périphérique périphérique et la configuration réelle, vous verrez le résultat ainsi que des conseils de dépannage.
Attention: Le démarrage de 3CX Firewall Checker arrête certains services 3CX. Par conséquent, pendant la période de test, le PBX sera indisponible. Si le test de port a réussi, cela prend 1 seconde. Les tests de port infructueux durent de 5 à 10 secondes. Par défaut, les ports compris entre 9 000 et 10 999 sont testés. Si tout a été correctement configuré au départ, le test ne prendra pas plus d'une minute. Si des problèmes surviennent - le test est retardé de 4 à 9 minutes. Cependant, vous pouvez arrêter le test à tout moment.
Le service utilise le serveur 3CX STUN, qui doit être installé dans la section Paramètres> Réseau> IP publique. Certains pare-feu peuvent par erreur qualifier cela de scan de port. Si cela se produit, le vérificateur de pare-feu 3CX signale le problème au tout début du test. Par conséquent, dans le pare-feu, vous devez désactiver le test d'analyse avant de commencer le test.
Teste le vérificateur de pare-feu 3CX
L'utilitaire vérifie l'exactitude des paramètres matériels en faisant diverses requêtes aux serveurs STUN. Deux tests sont effectués.
Accessibilité Internet
Ce test vérifie la disponibilité des serveurs STUN à partir des ports vérifiés du serveur 3CX. Il vérifie également le fonctionnement du DNS (les serveurs STUN dans 3CX sont indiqués par le FQDN).
Si ce test échoue, les problèmes suivants peuvent survenir:
- Un problème commun avec l'accès à Internet. Si un navigateur est installé sur le serveur, essayez simplement de vous connecter à un site. Vous devrez peut-être ouvrir l'accès du serveur PBX à Internet aux ports spécifiés dans ce guide .
- Le test peut échouer si le serveur STUN n'est pas disponible. Vérifiez les paramètres sous Paramètres> Réseau> IP publique ou utilisez le serveur de sauvegarde.
- Vérifiez quel port est spécifié pour STUN (3478 par défaut)
- Assurez-vous que le pare-feu sur le serveur 3CX lui-même, tel que le pare-feu Windows, permet la connexion aux ports testés. Les antivirus ou autres programmes de sécurité peuvent également bloquer les ports. Déconnectez-les ou supprimez-les complètement du serveur pendant les tests (un simple arrêt n'aide pas toujours).
- Vous pouvez également bloquer les ports du côté de votre fournisseur de services Internet - vous devez exclure cette possibilité.
Exactitude de la publication de port (Full Cone NAT)
Ce test teste la capacité d'un serveur situé sur Internet à communiquer avec un serveur 3CX sur un réseau interne. L'optimisation de la traduction de port un à un (Full Cone NAT) est en cours de test.
Le vérificateur de pare-feu 3CX envoie une demande au serveur STUN à partir du port (numéro) en cours de vérification et demande au serveur STUN de créer une connexion au serveur PBX sur ce port à partir d'une adresse IP externe. Si le deuxième test échoue, vérifiez les paramètres suivants:
- Votre pare-feu doit avoir une règle de publication de port un-à-un statique. Les appareils bon marché n'offrent généralement que ce type de règle.
- Certains ports nécessitent une règle pour le trafic TCP et UDP. Consultez la liste des ports requis pour que 3CX fonctionne .
Résultats des tests / messages d'erreur
Nous répertorions les résultats des tests et les erreurs renvoyés par le vérificateur de pare-feu.
Succès - La redirection de port est correctement implémentée pour ce port. La VoIP peut fonctionner. Cette configuration est prise en charge. (Réussite - la publication du port est correcte. Les communications VoIP fonctionneront. Cette configuration est prise en charge par 3CX).Tous les tests ont réussi. Votre périphérique frontière autorise le trafic Internet à partir du port testé et effectue correctement la conversion de port un-à-un. Configuration prise en charge.
Le serveur STUN n'a pas de deuxième adresse (le serveur STUN n'a pas de deuxième adresse).Un message apparaît si le serveur STUN n'est pas configuré correctement dans l'interface 3CX. Le serveur STUN doit avoir deux adresses. Dans la section Paramètres> Réseau> IP publique, spécifiez les serveurs STUN suivants: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.
Échec - Aucune réponse reçue ou le mappage de port est fermé. La redirection de port n'est pas configurée correctement. (Échec - aucune réponse reçue ou port fermé. Paramètre de publication de port incorrect).La publication du port en cours de vérification est mal configurée. Dans ce cas, les fournisseurs VoIP et les téléphones IP distants ne fonctionneront pas. Configurez la publication de port pour
ces guides .
Échec - La vérification du pare-feu a échoué. Des erreurs ont été détectées. Veuillez vérifier la configuration de votre pare-feu et recommencer le test. (Échec - la vérification du pare-feu a échoué. Des erreurs ont été détectées. Vérifiez la configuration du pare-feu et réessayez).Ce message apparaît si certains ports réussissent le test, mais d'autres non. Veuillez noter quels ports spécifiques ont échoué au test et les publier. Assurez-vous également que ces ports ne sont pas déjà publiés sur le routeur pour une adresse IP interne différente.
Échec - Réponse mal formée reçue - (alias NAT symétrique). La redirection de port n'est pas correctement implémentée (Échec - a reçu une réponse incorrecte (peut-être NAT symétrique). La publication de port est configurée de manière incorrecte).La réponse indique que le Full Cone NAT ne fonctionne pas correctement pour vous.
Le serveur STUN n'a pas répondu ou la redirection de port n'est pas configurée sur votre pare-feu (le serveur STUN n'a pas répondu ou la publication de port n'a pas été configurée sur le pare-feu).Votre serveur STUN ne répond pas. Raisons possibles:
- Le serveur STUN n'est pas disponible sur le serveur 3CX.
- Le serveur STUN est actuellement en panne.
- Publication de port non configurée.
L'adresse du serveur STUN ne peut pas être résolue (l'adresse IP DNS du serveur n'est pas résolue).Impossible de déterminer l'adresse IP du serveur STUN par son nom. Cela peut indiquer un problème avec votre serveur DNS, mais aussi que ce serveur STUN a cessé de fonctionner pour toujours.
Échec - Malformé ou aucune réponse reçue des serveurs STUN configurés. Vérifiez votre connexion Internet, les paramètres DNS ou modifiez les serveurs STUN à partir de la section Paramètres → Réseau → Configuration IP externe (Échec - reçu une réponse incorrecte des serveurs STUN configurés. Vérifiez votre connexion Internet, les paramètres DNS ou utilisez un autre STUN dans la section Paramètres → Réseau → section IP externe).La réponse indique que la publication de port est effectuée correctement ou que votre pare-feu bloque les paquets.
Échec - Le port est utilisé par une autre application sur cet ordinateur OU le port SIP est utilisé par le processus {0}. Le vérificateur de pare-feu 3CX nécessite que le port SIP soit libre (Échec - le port est utilisé par une autre application sur ce serveur OU Le port SIP est utilisé par le processus {0}. Le vérificateur de pare-feu 3CX nécessite un port SIP libre.Le port testé est utilisé par une autre application installée sur ce serveur. Pour déterminer un processus spécifique, exécutez la commande
netstat -ano | findstr /I /C:"PID" /C:":9500"où 9500 est le numéro de port. Dans la colonne PID, vous verrez l'ID du processus. Utilisez le Gestionnaire des tâches pour identifier le processus. Vous pouvez également exécuter la commande
tasklist /fi "pid eq 4"où 4 est l'ID du processus.
Les serveurs STUN ne sont pas accessibles. Impossible d'effectuer une vérification du pare-feu. Cette configuration n'est pas prise en charge (les serveurs STUN ne sont pas disponibles. Impossible d'effectuer une vérification du pare-feu. La configuration n'est pas prise en charge).Les serveurs STUN configurés sur l'interface 3CX ne sont pas disponibles. Cela est généralement dû à des problèmes d'accès à Internet. Dans la section Paramètres> Réseau> IP publique, spécifiez les serveurs STUN suivants: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.
Information additionnelle