Se você planeja conectar troncos SIP de operadoras de telecomunicações ou usuários remotos ao sistema 3CX e o seu PBX estiver localizado em uma rede privada, as portas deverão ser publicadas estaticamente (“encaminhadas”) no firewall.
Os aplicativos de VoIP usam o protocolo RTP para transmitir fluxos de multimídia (áudio e vídeo). Ao passar por dispositivos de rede de borda (firewalls e roteadores), a operação do protocolo pode causar dificuldades. Isso ocorre porque o RTP usa números de porta aleatórios para enviar e receber tráfego de multimídia. A configuração incorreta do firewall se manifesta como audibilidade unidirecional ou nenhum som do provedor de VoIP e usuários remotos.
Problema de VoIP NAT simétrico
Ao usar NAT simétrico, o dispositivo de rede de borda altera dinamicamente o número da porta na qual o fluxo de áudio é recebido. Por exemplo, ao fazer uma chamada através de um tronco SIP do operador, o 3CX faz uma solicitação STUN para determinar seu endereço IP externo e número da porta atual. Em seguida, esse endereço e porta são transferidos para o servidor SIP do operador para comunicações mútuas. Mas, neste momento, seu firewall fecha dinamicamente essa porta (que já foi transmitida ao operador - indicada no cabeçalho INVITE). A transmissão de áudio falha. Obviamente, devido a esse recurso, não é possível garantir uma operação confiável de VoIP. Nos guias de configuração do firewall, essa tecnologia é chamada NAT simétrica.
Resolvendo o problema de audibilidade unidirecional em VoIP - Full Cone NAT
Para resolver o problema com audibilidade unidirecional (ou "silêncio" completo)), você deve configurar o chamado NAT cônico (NAT de cone completo), que também é conhecido como NAT um a um. Nele, as portas necessárias no endereço externo do roteador são mapeadas (ou "encaminhadas") para um endereço interno específico (o número da porta é salvo). O host externo troca pacotes RTP com o host interno, enviando-os primeiro para o endereço externo do roteador e a porta externa (mapeada).
De fato, a grande maioria dos dispositivos de rede suporta esse modo. Normalmente, isso é chamado de "Mapeamento de porta estática". A publicação estática garante que uma porta específica permaneça sempre aberta e nunca seja alterada por um firewall. Alguns roteadores muito baratos não implementam corretamente essa função, mas a maioria, como já foi dito, permite configurar corretamente o encaminhamento de porta. No final do artigo, há exemplos das configurações apropriadas para vários dispositivos de rede.
Verificando a exatidão do serviço do firewall 3CX Firewall Checker
Uma boa maneira de verificar a configuração do dispositivo de rede (para descobrir se você está com o Symmetric NAT e outros problemas de configuração) é usar o serviço 3CX Firewall Checker.
O 3CX Firewall Checker permite pré-verificar se o seu dispositivo de rede de borda processa corretamente o tráfego de VoIP de operadores SIP, pontes 3CX, clientes SIP externos e conexões de túnel 3CX. Vejamos um exemplo simples de como usar este serviço. Por exemplo, suponha que o servidor 3CX tenha um endereço 192.168.0.100, o teste seja realizado na porta 9500 e o endereço externo da sua rede seja 11.22.33.44.
Como mencionado, a publicação correta da porta significa que qualquer pacote UDP de saída do servidor PBX com o endereço IP :: Port de origem é 192.168.0.100::9500 deve chegar ao destinatário (geralmente é o servidor SIP da operadora, o telefone IP remoto ou outro PBX 3CX) com o endereço IP de origem "reescrito" IP :: Port - 11.22.33.44::9500. Apesar do fato de haver uma tradução do endereço (necessário para rotear o pacote na WAN pública), a
porta do
pacote não muda . Além disso, qualquer pacote UDP proveniente da WAN com o endereço IP :: Port - 11.22.33.44::9500 deve alcançar o servidor 3CX com o endereço IP :: Port - 192.168.0.100::9500. O 3CX Firewall Checker é usado apenas para verificar a tradução correta dos endereços e também descobre outra importante.
Para iniciar o 3CX Firewall Checker, vá para a interface de gerenciamento 3CX> Seção principal> Seção Status do PBX> clique em Firewall> Executar.
Após o início, os testes de rede serão iniciados. Dependendo do tipo de dispositivo de borda e da configuração real, você verá o resultado junto com as dicas de solução de problemas.
Atenção: A inicialização do 3CX Firewall Checker interrompe alguns serviços 3CX; portanto, durante o período de teste, o PBX ficará indisponível. Se o teste da porta foi bem-sucedido, leva 1 segundo. O teste de porta sem êxito dura de 5 a 10 segundos. Por padrão, são testadas portas no intervalo de 9000 a 10999. Se tudo foi inicialmente configurado corretamente, o teste não levará mais que um minuto. Se surgirem problemas - o teste é atrasado por 4-9 minutos. No entanto, você pode interromper o teste a qualquer momento.
O serviço usa o servidor 3CX STUN, que deve ser instalado na seção Configurações> Rede> IP público. Alguns firewalls podem qualificar isso erroneamente como uma verificação de porta. Se isso acontecer, o 3CX Firewall Checker relata o problema no início do teste. Portanto, no firewall, você deve desativar o teste de verificação antes de iniciar o teste.
Testes 3CX Firewall Checker
O utilitário verifica a correção das configurações de hardware fazendo várias solicitações aos servidores STUN. Dois testes são realizados.
Acessibilidade à Internet
Este teste verifica a disponibilidade dos servidores STUN a partir das portas verificadas do servidor 3CX. Ele também verifica a operação do DNS (os servidores STUN no 3CX são indicados pelo FQDN).
Se esse teste falhar, os seguintes problemas podem ocorrer:
- Um problema comum com o acesso à Internet. Se um navegador estiver instalado no servidor, tente fazer login em algum site. Talvez você precise abrir o acesso do servidor PBX à Internet nas portas especificadas neste guia .
- O teste poderá falhar se o servidor STUN estiver indisponível. Verifique as configurações em Configurações> Rede> IP público ou use o servidor de backup.
- Verifique qual porta está especificada para STUN (3478 por padrão)
- Verifique se o firewall no servidor 3CX, como o Firewall do Windows, permite a conexão às portas que estão sendo testadas. Antivírus ou outros programas de segurança também podem bloquear portas. Desconecte ou remova-os completamente do servidor durante o teste (um simples desligamento nem sempre ajuda).
- Você também pode bloquear portas no lado do seu provedor de serviços de Internet - você deve excluir essa possibilidade.
Correção de publicação de porta (NAT de cone completo)
Este teste testa a capacidade de um servidor localizado na Internet se comunicar com um servidor 3CX em uma rede interna. O ajuste de conversão de porta um para um (NAT Full Cone) está sendo testado.
O 3CX Firewall Checker envia uma solicitação ao servidor STUN da porta (número) que está sendo verificada e solicita ao servidor STUN que crie uma conexão com o servidor PBX nessa porta a partir de um endereço IP externo. Se o segundo teste falhar, verifique as seguintes configurações:
- Seu firewall deve ter uma regra estática de publicação de porta um para um. Dispositivos baratos, como regra, oferecem apenas esse tipo de regra.
- Algumas portas exigem uma regra para o tráfego TCP e UDP. Veja a lista de portas necessárias para o 3CX funcionar .
Resultados do teste / mensagens de erro
Listamos os resultados do teste e os erros retornados pelo Firewall Checker.
Êxito - O encaminhamento de porta está implementado corretamente para esta porta. VoIP pode funcionar. Esta configuração é suportada. (Sucesso - a publicação da porta está correta. As comunicações VoIP funcionarão. Esta configuração é suportada pela 3CX).Todos os testes foram aprovados com sucesso. Seu dispositivo de borda permite o tráfego da Internet a partir da porta que está sendo testada e executa corretamente a conversão de porta um para um. Configuração suportada.
O servidor STUN não possui um segundo endereço (o servidor STUN não possui um segundo endereço).Uma mensagem será exibida se o servidor STUN estiver configurado incorretamente na interface 3CX. O servidor STUN deve ter dois endereços. Na seção Configurações> Rede> IP público, especifique os seguintes servidores STUN: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.
Falha - Nenhuma resposta recebida ou o mapeamento de porta está fechado. O encaminhamento de porta não está configurado corretamente. (Falha - nenhuma resposta recebida ou porta fechada. Configuração incorreta de publicação de porta).A publicação da porta que está sendo verificada está configurada incorretamente. Nesse caso, os provedores de VoIP e os telefones IP remotos não funcionarão. Configure a publicação de portas para
esses guias .
Falha - a verificação do firewall falhou. Alguns erros foram detectados. Verifique a configuração do firewall e tente o teste novamente. (Falha - a verificação do firewall falhou. Foram detectados erros. Verifique a configuração do firewall e tente novamente).Esta mensagem aparece se algumas portas passarem no teste, mas outras não. Observe quais portas específicas falharam no teste e publique-as. Verifique também se essas portas ainda não estão publicadas no roteador para um endereço IP interno diferente.
Falha - resposta malformada recebida - (também conhecida como NAT simétrica). O encaminhamento de porta não foi implementado corretamente (Falha - recebeu uma resposta incorreta (possivelmente NAT simétrico). A publicação da porta está configurada incorretamente).A resposta indica que o NAT do cone completo não está funcionando corretamente para você.
O servidor STUN não respondeu ou o encaminhamento de porta não está configurado no firewall (o servidor STUN não respondeu ou a publicação da porta não foi configurada no firewall).Seu servidor STUN não está respondendo. Possíveis razões:
- O servidor STUN não está disponível no servidor 3CX.
- O servidor STUN está inativo no momento.
- Publicação de porta não configurada.
O endereço do servidor STUN não pode ser resolvido (o endereço IP do DNS do servidor não está resolvido).Falha ao determinar o endereço IP do servidor STUN por seu nome. Isso pode indicar um problema com o servidor DNS, mas também que esse servidor STUN parou de funcionar para sempre.
Falha - resposta mal formada ou nenhuma resposta recebida dos servidores STUN configurados. Verifique sua conexão com a Internet, configurações DNS ou altere os servidores STUN da seção Configurações → Rede → Configuração de IP externo (Falha - recebeu uma resposta incorreta dos servidores STUN configurados. Verifique sua conexão com a Internet, configurações DNS ou use outro STUN na seção Configurações → Rede → IP externo).A resposta diz que a publicação da porta é feita corretamente ou seu firewall está bloqueando pacotes.
Falha - a porta está sendo usada por outro aplicativo neste computador OU a porta SIP está sendo usada pelo processo {0}. O verificador 3CX Firewall exige que a porta SIP esteja livre (sem êxito - a porta é usada por outro aplicativo neste servidor OU A porta SIP é usada pelo processo {0}.) O verificador 3CX Firewall requer uma porta SIP livre.A porta em teste é usada por outro aplicativo instalado neste servidor. Para determinar um processo específico, execute o comando
netstat -ano | findstr /I /C:"PID" /C:":9500"onde 9500 é o número da porta. Na coluna PID, você verá o ID do processo. Use o Gerenciador de tarefas para identificar o processo. Você também pode executar o comando
tasklist /fi "pid eq 4"onde 4 é o ID do processo.
Servidores STUN não estão acessíveis. Não é possível executar a verificação do firewall. Esta configuração não é suportada (os servidores STUN não estão disponíveis. Não é possível executar uma verificação do firewall. A configuração não é suportada).Servidores STUN configurados na interface 3CX não estão disponíveis. Isso geralmente ocorre devido a problemas com o acesso à Internet. Na seção Configurações> Rede> IP público, especifique os seguintes servidores STUN: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.
Informações Adicionais