3CX-Support antwortet der Router für VoIP-PBX-Server konfigurieren

  • Tutorial
Wenn Sie SIP-Amtsleitungen von Telekommunikationsbetreibern oder Remotebenutzern mit dem 3CX-System verbinden möchten und sich Ihre TK-Anlage in einem privaten Netzwerk befindet, sollten Sie eine statische Veröffentlichung ("Weiterleitung") von Ports in der Firewall durchführen.

VoIP-Anwendungen verwenden das RTP-Protokoll zur Übertragung von Multimedia-Streams (Audio und Video). Beim Passieren von Netzwerkgeräten (Firewalls und Routern) können Schwierigkeiten auftreten. Dies liegt daran, dass RTP zum Senden und Empfangen von Multimediadaten zufällige Portnummern verwendet. Die falsche Konfiguration der Firewall äußert sich als Einweghörbarkeit oder gar kein Ton von VoIP-Provider und Remote-Benutzern.

VoIP Problem mit symmetrischen NAT (Symmetric NAT)


Bei Verwendung von symmetrischem NAT ändert das Edge-Netzwerkgerät dynamisch die Portnummer, an die der Audiostrom empfangen wird. Wenn Sie zum Beispiel einen ausgehenden Anruf über die SIP-Leitung des Betreibers tätigen, stellt 3CX zunächst eine STUN-Anforderung, um seine externe IP-Adresse und die aktuelle Portnummer zu ermitteln. Anschließend werden diese Adresse und dieser Port zur gegenseitigen Kommunikation an den SIP-Server des Betreibers übermittelt. Zu diesem Zeitpunkt schließt Ihre Firewall diesen Port (der bereits an den Betreiber übertragen wurde - dynamisch, wie im INVITE-Header angegeben). Es liegt ein Fehler bei der Audioübertragung vor. Offensichtlich ist es aufgrund dieser Funktion unmöglich, einen zuverlässigen Betrieb von VoIP zu gewährleisten. In den Firewall-Konfigurationshandbüchern wird diese Technologie als symmetrisches NAT (Symmetric NAT) bezeichnet.

Beheben des Problems mit Einweghörbarkeit in VoIP - Full Cone NAT


Um das Problem mit Einweghörbarkeit (oder vollständiger Stille) zu lösen, sollten Sie das sogenannte konische NAT (Full Cone NAT) konfigurieren, das auch als One-to-One-NAT bezeichnet wird. Dabei werden die erforderlichen Ports auf der externen Adresse des Routers einer bestimmten internen Adresse zugeordnet ("weitergeleitet") (die Portnummer bleibt erhalten). Der externe Host tauscht RTP-Pakete mit dem internen Host aus und sendet sie zuerst an die externe Adresse des Routers und den externen (zugeordneten) Port.

Tatsächlich unterstützt die große Mehrheit der Netzwerkgeräte diesen Modus. In der Regel heißt es "Static Port Mapping". Die statische Veröffentlichung stellt sicher, dass ein bestimmter Port immer geöffnet bleibt und sich niemals mit einer Firewall ändert. Einige sehr billige Router implementieren diese Funktion falsch, aber die meisten ermöglichen es Ihnen, die "Weiterleitung" von Ports richtig zu konfigurieren. Am Ende des Artikels finden Sie Beispiele für die geeignete Konfiguration verschiedener Netzwerkgeräte.

Überprüfen des korrekten Betriebs des Firewall-Dienstes 3CX Firewall Checker


Eine gute Möglichkeit, die Konfiguration eines Netzwerkgeräts zu überprüfen (um herauszufinden, ob Sie sich hinter Symmetric NAT und anderen Konfigurationsproblemen befinden), ist die Verwendung des 3CX Firewall Checker-Dienstes.

Mit dem 3CX Firewall Checker können Sie vorab überprüfen, ob Ihr Edge-Netzwerkgerät VoIP-Verkehr von SIP-Betreibern, 3CX-Bridges, externen SIP-Clients und Verbindungen mit der 3CX-Tunnel-Technologie ordnungsgemäß verarbeitet. Betrachten Sie ein einfaches Beispiel für die Verwendung dieses Dienstes. Wir gehen beispielsweise davon aus, dass der 3CX-Server die Adresse 192.168.0.100 hat, der Test an Port 9500 ausgeführt wird und die externe Adresse Ihres Netzwerks 11.22.33.44 lautet.

Wie bereits gesagt, bedeutet die korrekte Veröffentlichung des Ports, dass alle ausgehenden UDP-Pakete vom PBX-Server mit der Quell-IP :: Port-Quelladresse - 192.168.0.100::9500 den Empfänger erreichen sollen (normalerweise ist dies der SIP-Server, das Remote-IP-Telefon oder das IP-Telefon des Anbieters) eine andere TK-Anlage 3CX) mit der "umgeschriebenen" Quelladresse des Quell-IP :: Port - 11.22.33.44::9500. Obwohl eine Adressumsetzung stattfindet (was für das Routen eines Pakets in einem öffentlichen WAN erforderlich ist), ändert sich der Paketport nicht . Außerdem sollte jedes UDP-Paket, das aus dem WAN mit der Ziel-IP :: Port-Zieladresse - 11.22.33.44::9500 kommt, den 3CX-Server mit der Ziel-IP :: Port-Adresse - 192.168.0.100::9500 erreichen. Der 3CX Firewall Checker dient lediglich zur Überprüfung der korrekten Adressübersetzung und ermittelt eine weitere wichtige.

Um den 3CX Firewall Checker zu starten, rufen Sie die 3CX-Verwaltungsschnittstelle> Abschnitt Home> Abschnitt PBX-Status auf> Firewall> Start.



Nach dem Start beginnen die Netzwerktests. Je nach Typ des Kantengeräts und der tatsächlichen Konfiguration werden das Ergebnis mit Tipps zur Fehlerbehebung angezeigt.

Achtung:Durch Starten des 3CX Firewall Checker werden einige 3CX-Dienste angehalten. Während der Tests steht die TK-Anlage nicht zur Verfügung. Wenn der Port erfolgreich getestet wurde, dauert es 1 Sekunde. Der erfolglose Test des Ports wird um 5-10 Sekunden verlängert. Standardmäßig werden Ports im Bereich von 9000 bis 10999 getestet. Wenn zunächst alles richtig konfiguriert ist, dauert der Testvorgang weniger als eine Minute. Wenn Probleme auftreten, wird der Test um 4-9 Minuten verzögert. Sie können den Test jedoch jederzeit abbrechen.

Der Dienst verwendet den STUN-Server von 3CX, der im Abschnitt Einstellungen> Netzwerk> Öffentliche IP-Adresse installiert werden sollte. Einige Firewalls qualifizieren diesen Test möglicherweise fälschlicherweise als Port-Scans. In diesem Fall meldet der 3CX Firewall Checker ein Problem ganz zu Beginn des Tests. Daher sollten Sie in der Firewall den Scan-Scan vor dem Test deaktivieren.

Tests 3CX Firewall Checker


Das Dienstprogramm überprüft die Hardwareeinstellungen, verschiedene Anfragen STUN-Server zu machen. Zwei Tests durchgeführt.

Internet Verfügbarkeit


Dieser Test überprüft die Verfügbarkeit der STUN - Server 3CX - Server - Ports gescannt werden. Es überprüft auch die DNS (STUN-Server in 3CX von FQDN angegeben).  

Wenn dieser Test fehlschlägt, werden die folgenden Probleme:

  • Das allgemeine Problem des Internetzugangs. Wenn auf dem Server ein Browser installiert ist, gehen Sie einfach zu einer Website. Möglicherweise müssen Sie den Zugang vom PBX-Server zum Internet über die in diesem Handbuch angegebenen Ports öffnen .
  • Der Test kann nicht passieren, wenn STUN-Server nicht verfügbar ist. Überprüfen Sie die Einstellungen unter Optionen> Netzwerk> öffentlichen IP oder einen Backup-Server verwenden.
  • Schauen Sie sich, welcher Port für STUN angegeben (Standard 3478)
  • Stellen Sie sicher, dass der Firewall auf dem 3CX-Server, wie die Windows-Firewall ermöglicht Verbindungen zu den Testports. Antivirus oder andere Sicherheits-Software kann auch Ports blockieren. Deaktivieren oder sogar entfernen Sie es vollständig vom Server zum Zeitpunkt der Prüfung (eine einfache Fahrt nicht immer funktioniert).
  • Block-Ports können auch auf der Seite des Internet Betreibers sein - sollte diese Möglichkeit auszuschließen.

Correctness Veröffentlichung Ports (Full Cone NAT)


Dieser Test testet die Fähigkeit des Servers im Internet, mit dem 3CX-Server im internen Netzwerk zu kommunizieren. Die Konfiguration der One-to-One-Port-Übersetzung (Full Cone NAT) wird getestet.

3CX Firewall Checker sendet eine Anforderung vom (nummerierten) Port an den STUN-Server und fordert den STUN-Server auf, eine Verbindung zum PBX-Server an diesem Port von der externen IP-Adresse herzustellen. Wenn der zweite Test fehlschlägt, überprüfen Sie die folgenden Einstellungen:

  • Ihre Firewall sollte über eine statische Eins-zu-Eins-Port-Veröffentlichungsregel verfügen. Preiswerte Geräte bieten in der Regel nur solche Regeln an.
  • Einige Ports erfordern eine Regel sowohl für den TCP- als auch für den UDP-Verkehr. Siehe die Liste der für den 3CX-Betrieb erforderlichen Ports .

Testergebnisse / Fehlermeldungen


Wir listen die Testergebnisse und Fehler auf, die vom Firewall Checker zurückgegeben wurden.

Dies ist ein Port für die Weiterleitung. VoIP kann funktionieren. Diese Konfiguration wird unterstützt (Erfolg - der Port wird ordnungsgemäß veröffentlicht. VoIP-Kommunikation funktioniert. Diese Konfiguration wird von 3CX unterstützt).

Alle Tests wurden erfolgreich bestanden. Ihr Grenzgerät ermöglicht den Datenverkehr vom Testport zum Internet und konvertiert die Ports korrekt in eins. Konfiguration unterstützt.

STUN-Server hat keine zweite Adresse (STUN-Server hat keine zweite Adresse).

Die Meldung wird angezeigt, wenn der STUN-Server in der 3CX-Schnittstelle falsch konfiguriert ist. Der STUN-Server muss zwei Adressen haben. Geben Sie im Abschnitt Einstellungen> Netzwerk> Öffentliche IP-Adresse die folgenden STUN-Server an: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.

Fehlgeschlagen - Es wurde keine Antwort empfangen oder die Portzuordnung wurde geschlossen. Die Portweiterleitung ist nicht richtig konfiguriert. Die Antwort wird nicht empfangen oder der Port wird geschlossen. Falsche Konfiguration der Veröffentlichung des Ports.

Die Veröffentlichung des geprüften Ports ist falsch konfiguriert. In diesem Fall funktionieren VoIP-Betreiber und Remote-IP-Telefone nicht. Richten Sie das Port-Publishing für diese Handbücher ein .

Fehlgeschlagen - Firewall-Überprüfung fehlgeschlagen. Einige Fehler wurden festgestellt. Bitte überprüfen Sie Ihre Firewall-Konfiguration und führen Sie den Test erneut aus.

Diese Meldung wird angezeigt, wenn einige Ports den Test bestanden haben, andere jedoch nicht. Achten Sie darauf, welche Ports den Test nicht bestanden haben, und veröffentlichen Sie sie. Stellen Sie außerdem sicher, dass diese Ports nicht mehr für eine andere interne IP-Adresse auf dem Router veröffentlicht werden.

Fehlgeschlagen - Falsche Antwort erhalten - (aka Symmetric NAT). Portweiterleitung nicht korrekt implementiert (Es wurde eine falsche Antwort empfangen (möglicherweise symmetrisches NAT). Die Veröffentlichung von Ports wurde falsch konfiguriert).

Die Antwort zeigt an, dass Full Cone NAT für Sie nicht richtig funktioniert.

Der STUN-Server hat nicht geantwortet oder Portweiterleitung (der STUN-Server hat nicht geantwortet oder die Ports wurden in der Firewall nicht konfiguriert).

Ihr STUN-Server antwortet nicht. Mögliche Gründe:

  • STUN-Server ist mit dem 3CX-Server nicht verfügbar ist.
  • STUN-Server ist derzeit deaktiviert.
  • Port-Publishing ist nicht konfiguriert.

STUN-Serveradresse kann nicht aufgelöst werden (die IP-Adresse des Servers wird nicht von DNS aufgelöst).

Die IP-Adresse des STUN-Servers konnte anhand des Namens nicht ermittelt werden. Dies kann auf Probleme mit Ihrem DNS-Server hinweisen, aber auch, dass der STUN-Server dauerhaft heruntergefahren ist.

Fehlgeschlagen - Server mit fehlerhaften oder fehlerhaften Servern. STUN-Server unter Einstellungen → Netzwerk → Externe IP-Konfiguration Prüfen Sie, ob eine Internetverbindung oder DNS-Einstellungen vorhanden ist, oder verwenden Sie ein anderes STUN im Bereich Einstellungen → Netzwerk →. Externe IP).

Die Antwort besagt, dass die Veröffentlichung von Ports korrekt ist oder Ihre Firewall Pakete blockiert.

Fehlgeschlagen - Port {0} oder SIP-Port. Der 3CX Firewall Checker setzt voraus, dass der SIP-Port frei ist (Der Port wird von einer anderen Anwendung auf diesem Server verwendet ODER der SIP-Port wird vom Prozess {0} verwendet. Der 3CX Firewall-Überprüfungsdienst benötigt einen freien SIP-Port.

Der getestete Port wird von einer anderen auf diesem Server installierten Anwendung verwendet Um den bestimmten Prozess zu ermitteln, führen Sie den Befehl aus,

netstat -ano | findstr /I /C:"PID" /C:":9500"

wobei 9500 die Portnummer ist. In der Spalte PID wird die Prozess-ID angezeigt. Verwenden Sie den Task-Manager, um den Prozess zu identifizieren. Alternativ können Sie den Befehl ausführen,

tasklist /fi "pid eq 4"

wobei 4 die Prozess-ID ist.

STUN-Server sind nicht erreichbar. Firewall-Prüfung kann nicht durchgeführt werden. Diese Konfiguration wird nicht unterstützt (STUN-Server sind nicht verfügbar. Firewall-Überprüfung kann nicht durchgeführt werden. Konfiguration wird nicht unterstützt).

In der 3CX-Schnittstelle konfigurierte STUN-Server sind nicht verfügbar. In der Regel liegt dies an Problemen mit dem Internetzugang. Geben Sie im Abschnitt Einstellungen> Netzwerk> Öffentliche IP-Adresse die folgenden STUN-Server an: stun-eu.3cx.com, stun2.3cx.com, stun3.3cx.com.

Weitere Informationen



Jetzt auch beliebt: