3CX menjawab dukungan teknis: mengkonfigurasi router untuk server VoIP PBX

Jika Anda berencana untuk menyambungkan batang SIP dari operator telekomunikasi atau pengguna jarak jauh ke sistem 3CX, dan PBX Anda terletak di jaringan pribadi, publikasi statis ("maju") dari port harus dilakukan pada firewall.

Aplikasi VoIP menggunakan protokol RTP untuk mengirimkan aliran multimedia (audio dan video). Ketika melewati perangkat jaringan perbatasan (firewall dan router), operasi protokol dapat menyebabkan kesulitan. Ini karena RTP menggunakan nomor port acak untuk mengirim dan menerima lalu lintas multimedia. Konfigurasi firewall yang salah memanifestasikan dirinya sebagai kemampuan mendengar satu arah atau tidak ada suara sama sekali dari penyedia VoIP dan pengguna jarak jauh.

Masalah VoIP VoIP Simetris

Saat menggunakan NAT simetris, perangkat jaringan tepi secara dinamis mengubah nomor port tempat aliran audio diterima. Misalnya, ketika melakukan panggilan keluar melalui trunk SIP operator, 3CX pertama-tama membuat permintaan STUN untuk menentukan alamat IP eksternal dan nomor port saat ini. Kemudian alamat dan port ini ditransfer ke server SIP operator untuk komunikasi timbal balik. Tetapi pada saat ini, firewall Anda secara dinamis menutup port ini (yang telah dikirimkan ke operator - ditunjukkan pada header INVITE). Pengiriman audio gagal. Jelas, karena fitur ini, tidak mungkin untuk memastikan operasi VoIP yang andal. Dalam panduan konfigurasi firewall, teknologi ini disebut Symmetric NAT.

Memecahkan Masalah Audibilitas Satu Arah dalam VoIP - NAT Cone Penuh

Untuk menyelesaikan masalah dengan kemampuan mendengar satu arah (atau menyelesaikan "keheningan"), Anda harus mengonfigurasi yang disebut NAT kerucut (NAT Kerucut Penuh), yang juga dikenal sebagai NAT satu-ke-satu. Di dalamnya, port yang diperlukan pada alamat eksternal router dipetakan (atau "diteruskan") ke alamat internal tertentu (nomor port disimpan). Host eksternal bertukar paket RTP dengan host internal, mengirimkannya terlebih dahulu ke alamat eksternal router dan port eksternal (yang dipetakan).

Bahkan, sebagian besar perangkat jaringan mendukung mode ini. Biasanya, ini disebut "Pemetaan port statis." Penerbitan statis memastikan bahwa port tertentu selalu tetap terbuka dan tidak pernah diubah oleh firewall. Beberapa router yang sangat murah tidak mengimplementasikan fungsi ini dengan benar, tetapi sebagian besar, seperti yang telah dikatakan, memungkinkan Anda untuk mengkonfigurasi port forwarding. Di akhir artikel adalah contoh pengaturan yang sesuai untuk berbagai perangkat jaringan.

Memeriksa kebenaran layanan firewall 3CX Firewall Checker

Cara yang baik untuk memeriksa konfigurasi perangkat jaringan (untuk mengetahui apakah Anda berada di belakang Symmetric NAT dan masalah konfigurasi lainnya) adalah dengan menggunakan layanan 3CX Firewall Checker.

3CX Firewall Checker memungkinkan Anda melakukan pra-verifikasi bahwa perangkat jaringan tepi Anda dengan benar memproses lalu lintas VoIP dari operator SIP, jembatan 3CX, klien SIP eksternal, dan koneksi Terowongan 3CX. Mari kita lihat contoh sederhana tentang cara menggunakan layanan ini. Misalnya, asumsikan bahwa server 3CX memiliki alamat 192.168.0.100, pengujian dilakukan pada port 9500, dan alamat eksternal jaringan Anda adalah 11.22.33.44.

Seperti disebutkan, publikasi port yang benar berarti bahwa setiap paket UDP keluar dari server PBX dengan IP sumber :: Alamat sumber port adalah 192.168.0.100::9500 harus menjangkau penerima (biasanya itu adalah server SIP operator, telepon IP jarak jauh, atau PBX 3CX lain) dengan sumber alamat sumber "ditulis ulang" IP :: Port - 11.22.33.44::9500. Terlepas dari kenyataan bahwa ada terjemahan alamat (yang diperlukan untuk merutekan paket pada WAN publik), port paket tidak berubah . Selain itu, paket UDP apa pun yang berasal dari WAN dengan alamat tujuan IP :: Port - 11.22.33.44::9500 harus mencapai server 3CX dengan IP tujuan :: Port - 192.168.0.100::9500. 3CX Firewall Checker hanya digunakan untuk memverifikasi terjemahan alamat yang benar, dan juga mencari tahu yang penting lainnya.

Untuk memulai Pemeriksa Firewall 3CX, buka antarmuka manajemen 3CX> Bagian utama> Bagian Status PBX> klik Firewall> Jalankan.



Setelah memulai, tes jaringan akan dimulai. Tergantung pada jenis perangkat tepi dan konfigurasi aktual, Anda akan melihat hasilnya bersama dengan tips pemecahan masalah.

Perhatian: Memulai 3CX Firewall Checker menghentikan beberapa layanan 3CX, oleh karena itu, selama periode pengujian PBX tidak akan tersedia. Jika tes port berhasil, dibutuhkan 1 detik. Pengujian port yang gagal berlangsung selama 5-10 detik. Secara default, port dalam kisaran 9000 - 10999 diuji. Jika semuanya awalnya diatur dengan benar, pengujian akan memakan waktu tidak lebih dari satu menit. Jika masalah muncul - pengujian ditunda selama 4-9 menit. Namun, Anda dapat menghentikan tes kapan saja.

Layanan ini menggunakan server 3CX STUN, yang harus diinstal di bagian Pengaturan> Jaringan> IP Publik. Beberapa firewall mungkin keliru memenuhi syarat ini sebagai pemindaian porta. Jika ini terjadi, Pemeriksa Firewall 3CX melaporkan masalah di awal pengujian. Oleh karena itu, di firewall, Anda harus menonaktifkan tes pemindaian sebelum memulai tes.

Menguji 3CX Firewall Checker

Utilitas memeriksa kebenaran pengaturan perangkat keras dengan membuat berbagai permintaan ke server STUN. Dua tes dilakukan.

Aksesibilitas internet

Tes ini memeriksa ketersediaan server STUN dari port yang diperiksa dari server 3CX. Itu juga memeriksa operasi DNS (STUN server di 3CX ditunjukkan oleh FQDN).

Jika tes ini gagal, masalah berikut dapat terjadi:

• Masalah umum dengan akses internet. Jika browser diinstal di server, coba masuk ke beberapa situs. Mungkin Anda perlu membuka akses dari server PBX ke Internet di port yang ditentukan dalam panduan ini.
  
• Tes mungkin gagal jika server STUN tidak tersedia. Periksa pengaturan di bawah Pengaturan> Jaringan> IP Publik atau gunakan server cadangan.
  
• Periksa port mana yang ditentukan untuk STUN (3478 secara default)
  
• Pastikan firewall di server 3CX itu sendiri, seperti Windows Firewall, memungkinkan koneksi ke port yang sedang diuji. Antivirus atau program keamanan lainnya juga dapat memblokir port. Putuskan atau bahkan sepenuhnya menghapusnya dari server selama pengujian (shutdown sederhana tidak selalu membantu).
  
• Anda juga dapat memblokir port di sisi penyedia layanan Internet Anda - Anda harus mengecualikan kemungkinan ini.
  

Port Publishing Correctness (NAT Kerucut Penuh)

Tes ini menguji kemampuan server yang berlokasi di Internet untuk berkomunikasi dengan server 3CX di jaringan internal. Penalaan terjemahan port satu-ke-satu (Full Cone NAT) sedang diuji.

3CX Firewall Checker mengirimkan permintaan ke server STUN dari port (nomor) yang sedang diperiksa, dan meminta server STUN untuk membuat koneksi ke server PBX pada port ini dari alamat IP eksternal. Jika tes kedua gagal, periksa pengaturan berikut:

• Firewall Anda harus memiliki aturan penerbitan port satu-ke-satu yang statis. Perangkat murah, biasanya hanya menawarkan jenis aturan ini.
  
• Beberapa port memerlukan aturan untuk traffic TCP dan UDP. Lihat daftar port yang diperlukan agar 3CX dapat berfungsi .
  

Pesan Hasil Uji / Kesalahan

Kami mencantumkan hasil pengujian dan kesalahan yang dikembalikan oleh Firewall Checker.

Sukses - Penerusan port diterapkan dengan benar untuk port ini. VoIP bisa berfungsi. Konfigurasi ini didukung. (Sukses - penerbitan port sudah benar. Komunikasi VoIP akan berfungsi. Konfigurasi ini didukung oleh 3CX).

Semua tes berhasil lulus. Perangkat perbatasan Anda memungkinkan lalu lintas Internet dari port yang diuji dan melakukan konversi port satu-ke-satu dengan benar. Konfigurasi didukung.

Server STUN tidak memiliki alamat kedua (server STUN tidak memiliki alamat kedua).

Sebuah pesan muncul jika server STUN dikonfigurasi secara tidak benar pada antarmuka 3CX. Server STUN harus memiliki dua alamat. Di bagian Pengaturan> Jaringan> IP Publik, tentukan server STUN berikut: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.

Gagal - Tidak ada respons yang diterima atau pemetaan port ditutup. Penerusan port tidak dikonfigurasikan dengan benar. (Gagal - tidak ada respons yang diterima atau port ditutup. Pengaturan penerbitan port salah).

Publikasi port yang diperiksa tidak dikonfigurasi dengan benar. Dalam hal ini, penyedia VoIP dan telepon IP jarak jauh tidak akan berfungsi. Konfigurasikan penerbitan port untuk panduan ini .

Gagal - Pemeriksaan firewall gagal. Beberapa kesalahan terdeteksi. Silakan periksa konfigurasi firewall Anda dan coba tes lagi. (Gagal - pemeriksaan firewall gagal. Kesalahan terdeteksi. Periksa konfigurasi firewall dan coba lagi).

Pesan ini muncul jika beberapa port lulus tes, tetapi beberapa tidak. Harap perhatikan port spesifik mana yang gagal tes dan publikasikan. Pastikan juga port-port ini belum dipublikasikan di router untuk alamat IP internal yang berbeda.

Gagal - Respons cacat diterima - (alias Symmetric NAT). Port forwarding tidak diimplementasikan dengan benar (Gagal - menerima respons yang salah (mungkin NAT simetris). Penerbitan port tidak dikonfigurasi dengan benar).

Jawabannya menunjukkan bahwa Full Cone NAT tidak berfungsi dengan benar untuk Anda.

Server STUN tidak menjawab atau penerusan port tidak dikonfigurasikan pada firewall Anda (server STUN tidak merespons atau penerbitan port tidak dikonfigurasikan pada firewall).

Server STUN Anda tidak merespons. Alasan yang mungkin:

• Server STUN tidak tersedia dari server 3CX.
  
• Server STUN sedang down.
  
• Penerbitan port tidak dikonfigurasi.
  

Alamat server STUN tidak dapat diselesaikan (alamat IP DNS server tidak diselesaikan).

Gagal menentukan alamat IP server STUN dengan namanya. Ini mungkin menunjukkan masalah dengan server DNS Anda, tetapi juga bahwa server STUN ini telah berhenti bekerja selamanya.

Gagal - Tidak berbentuk atau tidak ada respons yang diterima dari server STUN yang dikonfigurasi. Periksa koneksi internet Anda, pengaturan DNS, atau ubah server STUN dari Pengaturan → Jaringan → Bagian Konfigurasi IP Eksternal (Gagal - menerima respons yang salah dari server STUN yang dikonfigurasi. Periksa koneksi Internet Anda, pengaturan DNS atau gunakan STUN lain di bagian Pengaturan → Jaringan → IP eksternal).

Jawabannya mengatakan bahwa penerbitan port dilakukan dengan benar atau firewall Anda memblokir paket.

Gagal - Port sedang digunakan oleh aplikasi lain di komputer ini ATAU port SIP sedang digunakan oleh proses {0}. Pemeriksa 3CX Firewall membutuhkan port SIP untuk bebas (Tidak berhasil - port digunakan oleh aplikasi lain di server ini ATAU Port SIP digunakan oleh proses {0}. 3CX Firewall checker memerlukan port SIP gratis.

Port yang sedang diuji digunakan oleh aplikasi lain yang diinstal pada server ini. Untuk menentukan proses tertentu, jalankan perintah

netstat -ano | findstr /I /C:"PID" /C:":9500"

di mana 9500 adalah nomor port. Di kolom PID, Anda akan melihat ID proses. Gunakan Task Manager untuk mengidentifikasi prosesnya. Anda juga dapat menjalankan perintah

tasklist /fi "pid eq 4"

di mana 4 adalah ID proses.

Server STUN tidak dapat dijangkau. Tidak dapat melakukan pemeriksaan Firewall. Konfigurasi ini tidak didukung (STUN server tidak tersedia. Tidak dapat melakukan pemeriksaan firewall. Konfigurasi tidak didukung).

Server STUN yang dikonfigurasikan pada antarmuka 3CX tidak tersedia. Ini biasanya karena masalah dengan akses Internet. Di bagian Pengaturan> Jaringan> IP Publik, tentukan server STUN berikut: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.

Informasi tambahan

• Berbagai jenis NAT
  
• Operasi NAT dan VoIP
  
• Firewall lancom
  
• Firewall Sonicwall
  
• Draytek 2820
  
• Zyxel P-662H-D1
  
• AVM FritzBox
  
• CISCO
  
• FortiGate 80C
  
• WatchGuard XTM
  
• pfSense
  
• Kontrol kerio
  
• MikroTik