如果您打算将SIP中继从电信运营商或远程用户连接到3CX系统,并且您的PBX位于专用网络中,则必须在防火墙上静态发布(“转发”)端口。
VoIP应用程序使用RTP协议来传输多媒体流(音频和视频)。 通过边界网络设备(防火墙和路由器)时,协议操作可能会造成困难。 这是因为RTP使用随机端口号发送和接收多媒体流量。 防火墙的错误配置表现为VoIP提供商和远程用户的单向可听性或根本没有声音。
对称NAT VoIP问题
使用对称NAT时,边缘网络设备会动态更改接收音频流的端口号。 例如,当通过运营商SIP干线拨出电话时,3CX首先发出STUN请求,以确定其外部IP地址和当前端口号。 然后,此地址和端口将传输到运营商的SIP服务器以进行相互通信。 但是此时,您的防火墙会动态关闭此端口(已发送给操作员的端口-在INVITE标头中指示)。 音频传输失败。 显然,由于此功能,无法确保可靠的VoIP操作。 在防火墙配置指南中,此技术称为对称NAT。
解决VoIP中的单向可听性问题-全锥NAT
要解决单向可听性(或完整的“静音”)问题,您应该配置所谓的圆锥NAT(全锥NAT),也称为一对一NAT。 其中,路由器外部地址上的必要端口被映射(或“转发”)到特定的内部地址(端口号已保存)。 外部主机与内部主机交换RTP数据包,然后先将它们发送到路由器的外部地址和外部(映射的)端口。
实际上,绝大多数网络设备都支持此模式。 通常,它称为“静态端口映射”。 静态发布可确保特定端口始终保持打开状态,并且不会被防火墙更改。 一些非常便宜的路由器无法正确实现此功能,但是正如已经说过的,大多数路由器都允许您正确配置端口转发。 本文结尾是各种网络设备的适当设置的示例。
检查防火墙3CX Firewall Checker服务的正确性
检查网络设备配置(找出是否存在对称NAT和其他配置问题)的一种好方法是使用3CX Firewall Checker服务。
3CX防火墙检查器使您可以预先验证边缘网络设备是否正确处理了来自SIP运营商,3CX桥接器,外部SIP客户端和3CX隧道连接的VoIP流量。 让我们看一下如何使用此服务的简单示例。 例如,假设3CX服务器的地址为192.168.0.100,在端口9500上进行了测试,并且网络的外部地址为11.22.33.44。
如上所述,正确的端口发布意味着来自PBX服务器且源IP ::端口源地址为192.168.0.100::9500的所有UDP UDP数据包都必须到达收件人(通常是运营商的SIP服务器,远程IP电话或另一台PBX 3CX),其“重写的”源地址源IP ::端口-11.22.33.44::9500。 尽管存在地址转换(这是在公共WAN上路由数据包所必需的)的事实,但
数据包端口不会更改 。 此外,任何来自WAN且目标地址IP ::端口-11.22.33.44::9500的UDP数据包都必须到达目标IP ::端口-192.168.0.100::9500的3CX服务器。 3CX防火墙检查器仅用于验证地址的正确翻译,还可以发现另一重要信息。
要启动3CX防火墙检查器,请转至3CX管理界面>主要部分> PBX状态部分>单击防火墙>运行。
启动后,将开始网络测试。 根据边缘设备的类型和实际配置,您将看到结果以及故障排除提示。
注意:启动3CX Firewall Checker会停止某些3CX服务,因此,在测试期间,PBX将不可用。 如果端口测试成功,则需要1秒钟。 端口测试失败,持续5-10秒。 默认情况下,将测试9000-10999范围内的端口,如果最初设置正确,则测试将不超过一分钟。 如果出现问题-测试会延迟4-9分钟。 但是,您可以随时停止测试。
该服务使用3CX STUN服务器,该服务器必须安装在“设置”>“网络”>“公共IP”部分中。 某些防火墙可能会错误地将此视为端口扫描。 如果发生这种情况,3CX Firewall Checker会在测试开始时报告该问题。 因此,在防火墙中,必须在开始测试之前禁用扫描测试。
测试3CX防火墙检查器
该实用程序通过向STUN服务器发出各种请求来检查硬件设置的正确性。 进行了两个测试。
互联网可访问性
该测试从3CX服务器的检查端口检查STUN服务器的可用性。 它还检查DNS的操作(3CX中的STUN服务器由FQDN指示)。
如果此测试失败,则可能会出现以下问题:
- 互联网访问的常见问题。 如果服务器上安装了浏览器,请尝试仅登录某个站点。 也许您需要在本指南中指定的端口上打开从PBX服务器到Internet的访问。
- 如果STUN服务器不可用,则测试可能会失败。 检查“设置”>“网络”>“公共IP”下的设置,或使用备用服务器。
- 检查为STUN指定了哪个端口(默认为3478)
- 确保3CX服务器本身的防火墙(例如Windows防火墙)允许连接到要测试的端口。 防病毒软件或其他安全程序也可能阻止端口。 在测试过程中,将它们从服务器断开甚至完全从服务器中删除(简单的关机并不总是有帮助的)。
- 您也可以在Internet服务提供商的侧面阻止端口-您应排除这种可能性。
端口发布正确性(全锥NAT)
此测试测试位于Internet上的服务器与内部网络上的3CX服务器进行通信的能力。 正在测试一对一端口转换调整(全锥NAT)。
3CX Firewall Checker从正在检查的(数字)端口向STUN服务器发送请求,并要求STUN服务器从外部IP地址在此端口上创建与PBX服务器的连接。 如果第二项测试失败,请检查以下设置:
- 您的防火墙应具有静态的一对一端口发布规则。 廉价的设备通常只提供这种类型的规则。
- 某些端口需要TCP和UDP流量规则。 请参阅3CX运行所需的端口列表 。
测试结果/错误信息
我们列出了防火墙检查程序返回的测试结果和错误。
成功-已为此端口正确实施端口转发。 VoIP可以正常工作。 支持此配置(成功-端口发布正确。VoIP通信将起作用。3CX支持此配置)。所有测试均成功通过。 您的边界设备允许来自被测端口的Internet流量,并正确执行一对一端口转换。 支持配置。
STUN服务器没有第二个地址(STUN服务器没有第二个地址)。如果STUN服务器在3CX界面中配置不正确,则会出现一条消息。 STUN服务器必须具有两个地址。 在“设置”>“网络”>“公共IP”部分中,指定以下STUN服务器:stun-eu.3cx.com,stun2.3cx.com,stun3.3cx.com。
失败-未收到响应或端口映射已关闭。 端口转发配置不正确(失败-未收到响应或端口关闭。端口发布设置不正确)。被检查的端口的发布配置不正确。 在这种情况下,VoIP提供商和远程IP电话将无法使用。 为
这些指南配置端口发布。
失败-防火墙检查失败。 检测到一些错误。 请检查防火墙配置,然后重试(失败-防火墙检查失败。检测到错误。请检查防火墙配置,然后重试)。如果某些端口通过测试,但某些端口没有通过测试,则会显示此消息。 请注意哪些特定端口未通过测试并发布它们。 此外,请确保这些端口尚未针对其他内部IP地址发布在路由器上。
失败-收到格式错误的响应-(即对称NAT)。 端口转发未正确实施(失败-收到错误响应(可能是对称NAT)。端口发布配置不正确)。答案表明Full Cone NAT无法为您正常工作。
STUN服务器未应答或防火墙上未配置端口转发(STUN服务器未响应或防火墙上未配置端口发布)。您的STUN服务器没有响应。 可能的原因:
- STUN服务器从3CX服务器不可用。
- STUN服务器当前已关闭。
- 未配置端口发布。
无法解析STUN服务器地址(未解析服务器的DNS IP地址)。无法通过名称确定STUN服务器的IP地址。 这可能表明您的DNS服务器存在问题,但也表明该STUN服务器已永远停止工作。
失败-格式错误或未从配置的STUN服务器收到响应。 检查Internet连接,DNS设置,或从“设置”→“网络”→“外部IP配置”部分更改STUN服务器(失败-收到来自已配置STUN服务器的错误响应。检查Internet连接,DNS设置,或在“设置”→“网络”→“部分”中使用另一个STUN外部IP)。答案表明端口发布正确完成,或者防火墙阻止了数据包。
失败-该计算机上的另一个应用程序正在使用该端口,或者进程{0}正在使用SIP端口。 3CX防火墙检查程序要求释放SIP端口(不成功-该端口由该服务器上的另一个应用程序使用,或者该SIP端口由进程{0}使用。3CX防火墙检查程序要求具有空闲的SIP端口。被测端口由该服务器上安装的另一个应用程序使用。 要确定特定进程,请运行以下命令
netstat -ano | findstr /I /C:"PID" /C:":9500"其中9500是端口号。 在PID列中,您将看到进程ID。 使用任务管理器确定过程。 您也可以运行命令
tasklist /fi "pid eq 4"其中4是进程ID。
无法访问STUN服务器。 无法执行防火墙检查。 不支持此配置(STUN服务器不可用。无法检查防火墙。不支持配置)。在3CX接口上配置的STUN服务器不可用。 这通常是由于Internet访问问题。 在“设置”>“网络”>“公共IP”部分中,指定以下STUN服务器:stun-eu.3cx.com,stun2.3cx.com,stun3.3cx.com。
附加信息