Co je kontrola brány firewall 3CX a proč ji potřebuji?

Posted on by admin

Řešení problémů se vzdálenými rozšířeními a poskytovateli VoIP pomocí nástroje 3CX Firewall Checker

Úvod do nástroje 3CX Firewall Checker

3CX Firewall Checker je nástroj, který lze použít ke kontrole, zda váš směrovač nebo brána firewall umožňuje síťový provoz s poskytovateli VoIP, mosty, externími rozšířeními a tunelovými připojeními 3CX. Podporovaná konfigurace systému 3CX Phone vyžaduje, aby byly všechny potřebné porty přesměrovány jeden na jeden do sítě LAN směrem k počítači systému 3CX Phone. Cokoli menšího je považováno za nepodporovanou konfiguraci. Pro demonstraci použití nástroje 3CX Firewall checker dále použijeme jednoduchý příklad:

Pro fungování tohoto příkladu učiníme několik předpokladů:

  1. Stroj 3CX Phone System má IP adresu „192.168.0.100“ a že test je určen pro port „9500“.
  2. Veřejná IP adresa pro port WAN na zařízení WAN-to-LAN je „11.22.33.44“, tj. vnější IP adresa.

Informace o přesměrování portu

Zásadně platí, že pro správné přesměrování portu na zařízení 3CX Phone System musí být každý paket UDP, který pochází ze zařízení PBX a má tedy v hlavičce „source IP::Port“ hodnotu „192.168.0.100::5060“, musí dosáhnout svého konečného cíle (typicky služby poskytovatele VoIP, vzdálené přípojky nebo přemostěné pobočkové ústředny) se záhlavím Ethernet „source IP::Port“ „11.22.33.44::5060“. Takže v podstatě, i když je třeba přeložit IP adresu (aby mohl být provoz směrován přes internetový cloud), port NESMÍ být přeložen. Kromě toho musí jakýkoli paket UDP, který pochází z WAN s hlavičkami Ethernet „destination IP::Port“ ve znění „11.22.33.44::5060“, dorazit do zařízení systému 3CX Phone System s hlavičkami Ethernet „destination IP::Port“ ve znění „192.168.0.100::5060“.

Pomocí nástroje 3CX Firewall Checker lze zjistit, zda je mapování portů správně nakonfigurováno, a také získat další informace, které vám mohou pomoci správně nakonfigurovat firewall.

Spuštění nástroje 3CX Firewall Checker

Pro spuštění nástroje 3CX Firewall Checker se přihlaste do konzoly 3CX Management Console pomocí svých přihlašovacích údajů a:

  1. V části „Dashboard“ klikněte na „Firewall Check“, v části „PBX Status“.

Kontrola brány firewall v konzole 3CX Management Console.

  1. Kliknutím na „Spustit“ spustíte kontrolu brány firewall.

Po spuštění nástroje Kontrola brány firewall budou provedeny síťové testy a v závislosti na konfiguraci brány firewall nebo hraničního zařízení budou poskytnuté výsledky obsahovat informace o tom, co můžete udělat pro odstranění/vyřešení problému.

📄 Poznámky:

  • Důležité: Spuštění nástroje Kontrola brány firewall zastaví všechny služby 3CX. Ústředna nebude po dobu testů dostupná. Testy trvají 1 sekundu pro každý kontrolovaný port, pokud jsou testy úspěšné, nebo kdekoli mezi 5 a 10 sekundami, pokud port kontrolou neprojde. Ve výchozím nastavení kontroluje firewall porty v rozsahu 9000 – 10999. Pokud je vše správně nakonfigurováno, testy by měly trvat méně než minutu. Pokud se vyskytnou problémy se všemi porty, může test trvat 4 až 9 minut. Máte také možnost test zrušit.
  • Kontrola brány firewall si vyžádá server STUN nakonfigurovaný v záložce „Nastavení“ > „Síť“ > „Veřejná IP“, aby na něj a na kontrolované porty navázal spojení. Některé brány firewall mohou detekovat kontrolu portů, protože porty jsou kontrolovány postupně. V takovém případě začne nástroj 3CX Firewall Checker hlásit problémy po kontrole několika prvních portů. Pokud se tak stane, možná budete chtít vypnout kontrolu skenování portů na bráně firewall při spuštění programu 3CX Firewall Checker.

3CX Firewall Checker Tests

Kontrola brány firewall bude kontrolovat připojení pomocí různých požadavků na servery STUN. Kontrolor brány firewall provádí následující dva testy:

Test 1 – Test dosažitelnosti z internetu

Tento test ověřuje, zda je ústředna 3CX schopna komunikovat se serverem STUN běžícím na internetu z kontrolovaného portu. Tento test také provede kontrolu rozlišení DNS, pokud je zadán název hostitele serveru STUN. Tento test kontroluje základní připojení k internetu a zda je server STUN dosažitelný.

Pokud dojde k selhání testu 1, zkontrolujte následující:

  • Možná máte obecný problém s připojením k internetu. Chcete-li to potvrdit, otevřete na serveru prohlížeč a zkontrolujte, zda se můžete připojit k internetu tak, že přejdete na webovou stránku.
  • Možná bude nutné nakonfigurovat bránu firewall tak, aby povolila připojení počítače se systémem 3CX Phone System k internetu na kontrolovaném portu. Zkontrolujte porty používané systémem 3CX Phone System.
  • Možná bude nutné nakonfigurovat bránu firewall tak, aby povolila připojení ke kontrolovanému portu TCP i UDP. Znovu zkontrolujte Porty používané systémem 3CX Phone System.
  • Tento test se nezdaří, pokud server STUN není k dispozici. Zkontrolujte, zda je nastavení serveru STUN v nabídce „Settings“ > „Network“ > „Public IP“ správné, nebo k testu použijte jiný server STUN.
  • Potvrdit port používaný serverem STUN. Server STUN může běžet na jiném portu.
  • Kromě zařízení WAN to LAN (směrovač nebo firewall) byste měli také zkontrolovat, zda brána Windows Firewall nainstalovaná na místním počítači povoluje připojení na kontrolovaných portech. Je známo, že antivirový a jiný antimalwarový software tento proces narušuje. Pro potvrzení je třeba je zakázat nebo odinstalovat. Poznámka: Vypnutí těchto antimalwarových programů nemusí být pro úspěšné absolvování testů dostačující.
  • Váš poskytovatel internetového připojení může blokovat provoz na kontrolovaném portu.

Test 2 – Test přesměrování portů jeden na jednoho (neboli test příchozího připojení)

V tomto testu se kontrolor brány firewall snaží zjistit, zda se server na internetu může připojit a komunikovat s telefonním systémem 3CX na kontrolovaném portu. Tím se zjišťuje, zda je v nastavení brány firewall nakonfigurováno přesměrování portů jedna ku jedné (známé také jako Full Cone Nat) podle požadavků ústředny 3CX.

Při tomto testu odešle kontrola brány firewall 3CX požadavek na server STUN z kontrolovaného portu a požádá server STUN, aby navázal spojení s ústřednou z jiné IP adresy na kontrolovaném portu.

Pokud test 1 proběhne úspěšně, ale test 2 selže, měli byste zkontrolovat následující:

  • Vaše zařízení WAN to LAN (firewall nebo směrovač) má pro kontrolované porty nakonfigurováno statické přesměrování portů jedna ku jedné.
  • Některé porty potřebují statické mapování portů nakonfigurované pro TCP i UDP. Ještě jednou se podívejte na tento příspěvek na blogu, který dokumentuje porty používané telefonním systémem 3CX.

Výsledky / chybová hlášení

Tato část obsahuje seznam výsledků / chyb, které může vrátit nástroj Firewall Checker.

„Úspěch – Přesměrování portů je pro tento port správně implementováno. VoIP může fungovat. Tato konfigurace je podporována.“

Všechny testy proběhly úspěšně. Vaše zařízení WAN to LAN (firewall / směrovač) umožňuje připojení k internetu na zadaném portu a správně provádí přesměrování portů jedna ku jedné. Tato konfigurace je podporována.

„Server STUN nemá druhou adresu.“

Tuto chybovou zprávu obdržíte, pokud používáte nesprávně nakonfigurovaný server STUN. Server STUN musí mít dvě adresy. Pro tyto testy budete muset použít jiný server STUN.

  1. Přihlaste se do konzoly 3CX Management Console.
  2. Klikněte na „Settings“ > „Network“ > „Public IP“.
  3. Najděte část „Konfigurace externí IP“ a nakonfigurujte jeden z následujících omračovacích serverů: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.

„Failed – No response received or port mapping is closed. Port forwarding není správně nakonfigurován.“

Port Forwarding není pro kontrolovaný port správně nakonfigurován. V takovém případě poskytovatelé VoIP a vzdálená rozšíření NEBUDOU FUNGOVAT. Přihlaste se ke směrovači / bráně firewall a nakonfigurujte přesměrování portů zadáním portů požadovaných systémem 3CX a jejich přesměrováním na IP adresu počítače s telefonním systémem 3CX.

„Failed – Firewall check failed. Byly zjištěny některé chyby. Zkontrolujte prosím konfiguraci brány firewall a zkuste test provést znovu.“

Tuto zprávu obdržíte, pokud některé porty testem projdou a jiné ne. Budete muset prozkoumat, které porty testem neprošly, a zkontrolovat přesměrování portů pro tyto porty. Také se ujistěte, že brána firewall / směrovač nepřesměrovává spojení na konkrétním portu na jinou IP adresu. Porty by měly být přesměrovány na IP adresu telefonního systému 3CX.

„Failed – Malformed response received – (aka Symmetric NAT). Port forwarding not correctly implemented.“

Odpověď, kterou jsme obdrželi od serveru STUN, naznačuje, že nemáte NAT jedna ku jedné (Full cone NAT). Systém 3CX Phone vyžaduje přesměrování příchozích a odchozích portů 1:1, aby fungovali poskytovatelé VoIP, mosty a externí přípony.

„Server STUN neodpověděl nebo přesměrování portů není na vaší bráně firewall nakonfigurováno.“

Server STUN použitý pro tento test neodpověděl. Možné důvody mohou být:

  1. Server STUN není dosažitelný.
  2. Server STUN je mimo provoz.
  3. Port forwarding není správně nakonfigurován.

„Adresu serveru STUN nelze přeložit.“

Překlad DNS použitý k přeložení IP adresy serveru STUN selhal. Může se jednat o problém s DNS nebo server STUN přestal fungovat úplně.

„Failed – Malformed or no response received from configured STUN servers. Zkontrolujte připojení k internetu, nastavení DNS nebo změňte servery STUN v části Nastavení > Síť > Konfigurace externí IP.“

Pokud se zobrazí tato zpráva, zkontrolujte, zda je správně implementováno přesměrování portů. Váš firewall možná blokuje pakety. Podívejte se na tento článek o tom, jak nakonfigurovat statické přesměrování portů.

„Neúspěšný – Port je v tomto počítači používán jinou aplikací.“ NEBO „Port SIP je používán procesem {0}. Kontrola brány 3CX Firewall vyžaduje, aby byl port SIP volný.“

Port potřebný pro tento test je v současné době používán jinou aplikací nainstalovanou v počítači. Chcete-li zjistit proces, který je používán na uvedeném portu, spusťte v příkazovém řádku následující příkaz:

netstat -ano | findstr /I /C: „PID“ /C:“:9500″

Nahraďte 9500 číslem portu, který potřebujete zkontrolovat. Ve sloupci PID najdete id procesu, který naslouchá na zadaném portu. Toto číslo použijte k identifikaci procesu pomocí Správce úloh nebo spuštěním následujícího příkazu v příkazovém řádku:

tasklist /fi „pid eq 4“

Nahraďte 4 dříve identifikovaným PID.

„Servery STUN nejsou dosažitelné. Nelze provést kontrolu brány firewall. Tato konfigurace není podporována“

Servery STUN nakonfigurované v části „Síť“ >“Konfigurace externí IP“ nejsou dosažitelné. Nejpravděpodobnější příčinou bývá problém s připojením k internetu:

  1. Přihlaste se do konzoly 3CX Management Console.
  2. Klikněte na „Settings“ > „Network“.
  3. Přejděte do sekce „External IP Configuration“ a změňte servery STUN na jeden z následujících, které jsou hostovány společností 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.