Fejlsøgning af eksterne udvidelser og VoIP-udbydere ved hjælp af 3CX Firewall Checker
Indledning til 3CX Firewall Checker
3CX Firewall Checker er et værktøj, som kan bruges til at kontrollere, at din router eller firewall tillader netværkstrafik med VoIP-udbydere, broer, eksterne udvidelser og 3CX Tunnel-forbindelser. En understøttet konfiguration af 3CX-telefonsystemet kræver, at alle de nødvendige porte viderestilles en-til-en ind i LAN’et mod 3CX-telefonsystemets maskine. Alt andet end dette anses for at være en ikke-støttet konfiguration. Vi vil bruge et simpelt eksempel til at demonstrere brugen af 3CX Firewall checker længere nede.
For at dette eksempel kan fungere, vil vi foretage nogle antagelser:
- 3CX Phone System-maskinen har en IP-adresse på “192.168.0.100”, og at testen er for port “9500”.
- Den offentlige IP-adresse for din WAN-port på din WAN-to-LAN-enhed er “11.22.33.44”, dvs. den eksterne IP-adresse.
Oplysninger om portvideresendelse
Grundlæggende gælder det, at for at en port kan videresendes korrekt til 3CX Phone System-maskinen, skal enhver UDP-pakke, der stammer fra PBX-maskinen og derfor i sine headere har “source IP::Port”, der lyder “192.168.0.0.100::5060”, skal nå sin endelige destination (typisk en VoIP-udbydertjeneste, en fjernudvidelse eller en overbroget PBX) med Ethernet-headeren “source IP::Port”, der lyder “11.22.33.44::5060”. Så selv om IP-adressen skal oversættes (så trafikken kan dirigeres gennem internetskyen), skal porten IKKE oversættes. Desuden skal enhver UDP-pakke, der kommer fra WAN med Ethernet-headere med “destination IP::Port”, der lyder “11.22.33.44::5060”, nå frem til 3CX Phone System-maskinen med Ethernet-headere med “destination IP::Port”, der lyder “192.168.0.100::5060”.
Den 3CX Firewall Checker kan bruges til at bestemme, om porttilknytninger er konfigureret korrekt, og også give yderligere oplysninger, som kan hjælpe dig med at konfigurere din firewall korrekt.
Kørsel af 3CX Firewall Checker
For at køre 3CX Firewall Checker skal du logge ind på 3CX Management Console med dine legitimationsoplysninger og:
- I “Dashboard” skal du klikke på “Firewall Check” i afsnittet “PBX Status”.
- Klik på “Run” (Kør) for at starte firewallkontrollen.
Når firewallkontrollen starter, udføres netværkstests, og afhængigt af konfigurationen af din firewall eller grænseenhed indeholder de leverede resultater oplysninger om, hvad du kan gøre for at løse/afhjælpe problemet.
📄 Bemærkninger:
- Vigtigt: Når du starter firewallkontrollen, stopper du alle 3CX-tjenester. PBX’en vil ikke være tilgængelig i den periode, hvor testene udføres. Testene varer 1 sekund for hver port, der kontrolleres, hvis testene er vellykkede, eller et sted mellem 5 og 10 sekunder, hvis porten ikke består portkontrollen. Som standard kontrollerer firewallkontrollen porte i intervallet 9000 – 10999. Hvis alt er konfigureret korrekt, bør testene tage mindre end et minut. Hvis der er problemer med alle porte, kan testen tage mellem 4 og 9 minutter. Du har også mulighed for at annullere testen.
- Firewall Checker anmoder den STUN-server, der er konfigureret i fanen “Settings” > “Network” > “Public IP”, om at oprette forbindelser til den og på de porte, der kontrolleres. Nogle firewalls kan registrere en portscanning, da portene kontrolleres i rækkefølge. Når dette sker, vil 3CX Firewall Checker begynde at rapportere problemer, efter at de første få porte er blevet kontrolleret. Hvis det sker, bør du måske deaktivere kontrollen af portscanning på din firewall, mens du kører 3CX Firewall Checker.
3CX Firewall Checker Tests
Firewallchecken kontrollerer forbindelsesmulighederne ved at foretage forskellige anmodninger til STUN-serverne. Firewallchecken udfører følgende to test:
Test 1 – Internet Reachability Test
Denne test kontrollerer, at 3CX PBX er i stand til at kommunikere med STUN-serveren, der kører på internettet fra den port, der kontrolleres. Denne test udfører også en DNS-opløsningskontrol, hvis STUN-serverens værtsnavn er angivet. Denne test kontrollerer den grundlæggende forbindelse til internettet, og at STUN-serveren kan nås.
Kontroller følgende, hvis du får en fejl ved test 1:
- Du har muligvis et generelt problem med at oprette forbindelse til internettet. For at bekræfte det skal du åbne en browser på serveren og kontrollere, at du kan oprette forbindelse til internettet ved at gå til et websted.
- Du skal muligvis konfigurere din firewall til at tillade forbindelser fra den maskine, der kører 3CX Phone System, til internettet på den port, der kontrolleres. Gennemgå de porte, der bruges af 3CX Phone System.
- Din firewall skal muligvis konfigureres til at tillade begge forbindelser til den port, der kontrolleres, på både TCP- og UDP-porten. Kontroller endnu en gang de porte, der anvendes af 3CX Phone System.
- Denne test vil mislykkes, hvis STUN-serveren ikke er tilgængelig. Bekræft, at STUN-serverindstillingerne i “Indstillinger” > “Netværk” > “Offentlig IP” er korrekte, eller brug en anden STUN-server til at teste.
- Bekræft den port, der bruges af STUN-serveren. STUN-serveren kører måske på en anden port.
- Ud over WAN til LAN-enheden (router eller firewall) skal du også kontrollere, at Windows Firewall, der er installeret på den lokale maskine, tillader forbindelser på de porte, der kontrolleres. Anti-virus- og anden anti-malware-software er kendt for at forstyrre denne proces. Du skal deaktivere eller afinstallere disse for at bekræfte det. Bemærk: Det er muligvis ikke tilstrækkeligt at deaktivere disse antimalware-programmer for at bestå testene.
- Din internetudbyder blokerer muligvis trafik på den port, der kontrolleres.
Test 2 – Test af en enkelt portforwarding (a.k.a. indgående forbindelse)
I denne test forsøger firewallkontrollen at fastslå, om en server på internettet er i stand til at oprette forbindelse og kommunikere med 3CX Phone System på den port, der kontrolleres. Dette afgør, om en til en port forwarding (også kendt som Full Cone Nat) er konfigureret som krævet af 3CX PBX på firewallindstillingerne.
I denne test sender 3CX Firewall Checker en anmodning til STUN-serveren fra den port, der kontrolleres, og anmoder STUN-serveren om at oprette en forbindelse til PBX’en fra en anden IP-adresse på den port, der kontrolleres.
Hvis test 1 lykkes, men test 2 mislykkes, skal du kontrollere følgende:
- Din WAN til LAN-enhed (firewall eller router) har statisk, en til en portvideresendelse konfigureret for de porte, der kontrolleres.
- Nogle porte har brug for statisk porttilknytning konfigureret for både TCP og UDP. Tjek endnu engang dette blogindlæg, som dokumenterer de porte, der bruges af 3CX Phone System.
Resultater / fejlmeddelelser
Dette afsnit indeholder en liste over resultater / fejl, der kan returneres af Firewall Checker.
“Succes – Port forwarding er korrekt implementeret for denne port. VoIP kan fungere. Denne konfiguration er understøttet.”
Alle testene er gennemført med succes. Din WAN til LAN-enhed (firewall/router) tillader forbindelser til internettet på den angivne port og udfører en til en port forwarding korrekt. Denne konfiguration understøttes.
“STUN-server har ingen anden adresse.”
Du får denne fejlmeddelelse, når du bruger en forkert konfigureret STUN-server. STUN-serveren skal have 2 adresser. Du skal bruge en anden STUN-server til disse test.
- Log ind på 3CX Management Console.
- Klik på “Settings” > “Network” > “Public IP”.
- Find afsnittet “External IP Configuration” (Ekstern IP-konfiguration), og konfigurer en af følgende stun-servere: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
“Mislykkedes – Der er ikke modtaget noget svar, eller porttilknytningen er lukket. Portforwarding er ikke konfigureret korrekt.”
Portforwarding er ikke konfigureret korrekt for den port, der kontrolleres. I dette tilfælde VIL VoIP-udbydere og fjernudvidelser IKKE VIRKE. Log ind på din router/firewall, og konfigurer port forwarding ved at indtaste de porte, der kræves af 3CX, og videresende dem til IP-adressen på 3CX Phone System-maskinen.
“Failed – Firewall check failed. Der blev opdaget nogle fejl. Kontroller venligst din firewallkonfiguration, og prøv testen igen.”
Du får denne meddelelse, hvis nogle porte består testen, og andre ikke gør det. Du skal undersøge, hvilke porte der ikke bestod testen, og kontrollere port forwarding for disse porte. Kontroller også, at firewallen/routeren ikke videresender forbindelser på den specifikke port til en anden IP-adresse. Portene skal viderestilles til 3CX-telefonsystemets IP-adresse.
“Failed – Malformed response received – (aka Symmetric NAT). Port forwarding not correctly implemented.”
Svaret, vi fik fra STUN-serveren, viser, at du ikke har en én til én NAT (Full cone NAT). 3CX Phone-systemet kræver en 1 til 1 port forwarding indadgående og udadgående, for at VoIP-udbydere, broer og eksterne udvidelser kan fungere.
“STUN-serveren svarede ikke, eller port forwarding er ikke konfigureret på din firewall.”
Den STUN-server, der blev brugt til denne test, svarede ikke. Mulige årsager kan være:
- STUN-serveren kan ikke nås.
- STUN-serveren er nede.
- Port forwarding er ikke konfigureret korrekt.
“STUN-serveradressen kan ikke opløses.”
Den DNS-opløsning, der blev brugt til at opløse STUN-serverens IP-adresse, mislykkedes. Det kan være et DNS-problem, eller STUN-serveren er helt ophørt med at fungere.
“Mislykkedes – Der er modtaget et misdannet eller intet svar fra konfigurerede STUN-servere. Kontroller din internetforbindelse, DNS-indstillingerne, eller ændr STUN-servere fra afsnittet Indstillinger > Netværk > Ekstern IP-konfiguration.”
Hvis du får denne meddelelse, skal du kontrollere, at port forwarding er korrekt implementeret. Din firewall blokerer muligvis pakker. Se denne artikel om, hvordan du konfigurerer statisk portviderestilling.
“Mislykkedes – Port er i brug af et andet program på denne computer.” ELLER “SIP-porten er i brug af proces {0}. 3CX Firewall-checkeren kræver, at SIP-porten er fri.”
Den port, der er nødvendig for denne test, er i øjeblikket i brug af et andet program, der er installeret på computeren. Hvis du vil bestemme den proces, der bruger på den angivne port, skal du køre følgende kommando i kommandoprompten:
netstat -ano | findstr /I /C: “PID” /C:”:9500″
Erstat 9500 med det portnummer, som du skal kontrollere. Du vil finde proces-id’et for den proces, der lytter på den angivne port, i kolonnen PID. Brug dette nummer til at identificere processen ved hjælp af Task Manager eller ved at køre følgende kommando i kommandoprompten:
tasklist /fi “pid eq 4”
Erstat 4 med det PID, der blev identificeret tidligere.
“STUN-servere kan ikke nås. Kan ikke udføre kontrol af firewall. This configuration is not supported”
De STUN-servere, der er konfigureret i afsnittet “Network” > “External IP Configuration”, kan ikke nås. Den mest sandsynlige årsag er normalt et problem med internetforbindelsen:
- Log ind på 3CX Management Console.
- Klik på “Settings” > “Network” (Indstillinger” > “Netværk”).
- Gå til afsnittet “External IP Configuration” (Ekstern IP-konfiguration), og ændr STUN-serverne til en af følgende, som hostes af 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.