Was ist der 3CX-Firewall-Checker und warum brauche ich ihn?

Fehlersuche bei entfernten Nebenstellen und VoIP-Providern mit dem 3CX Firewall Checker

Einführung in den 3CX Firewall Checker

Der 3CX Firewall Checker ist ein Tool, mit dem Sie überprüfen können, ob Ihr Router oder Ihre Firewall den Netzwerkverkehr mit VoIP-Providern, Bridges, externen Nebenstellen und 3CX-Tunnelverbindungen erlaubt. Bei einer unterstützten Konfiguration der 3CX-Telefonanlage müssen alle erforderlichen Ports eins zu eins in das LAN zum 3CX-Telefonanlagenrechner weitergeleitet werden. In allen anderen Fällen handelt es sich um eine nicht unterstützte Konfiguration. Anhand eines einfachen Beispiels soll die Verwendung des 3CX-Firewall-Checkers demonstriert werden.

Damit dieses Beispiel funktioniert, müssen einige Annahmen getroffen werden:

1. Die 3CX-Telefonanlage hat die IP-Adresse „192.168.0.100“ und der Test bezieht sich auf Port „9500“.
2. Die öffentliche IP-Adresse für den WAN-Port an Ihrem WAN-zu-LAN-Gerät lautet „11.22.33.44“, d. h. die externe IP-Adresse.

Informationen zur Port-Weiterleitung

Damit ein Port korrekt an die 3CX-Telefonanlage weitergeleitet werden kann, muss jedes UDP-Paket, das von der Telefonanlage stammt und daher in seinem Header den „Quell-IP::Port“ mit dem Wert „192.168.0.100::5060“, muss sein endgültiges Ziel (in der Regel ein VoIP-Provider-Dienst, eine Nebenstelle oder eine überbrückte Telefonanlage) mit dem Ethernet-„Quell-IP::Port“-Header „11.22.33.44::5060“ erreichen. Obwohl also die IP-Adresse übersetzt werden muss (damit der Datenverkehr über die Internet-Cloud geleitet werden kann), darf der Port NICHT übersetzt werden. Darüber hinaus muss jedes UDP-Paket, das aus dem WAN kommt und dessen Ethernet-Kopfzeile „destination IP::Port“ den Wert „11.22.33.44::5060“ hat, die 3CX-Telefonanlage mit der Ethernet-Kopfzeile „destination IP::Port“ den Wert „192.168.0.100::5060“ erreichen.

Mit dem 3CX Firewall Checker kann festgestellt werden, ob die Port-Zuordnungen korrekt konfiguriert sind, und es können zusätzliche Informationen bereitgestellt werden, die bei der korrekten Konfiguration der Firewall helfen.

Ausführen des 3CX Firewall Checker

Um den 3CX Firewall Checker auszuführen, melden Sie sich mit Ihren Zugangsdaten an der 3CX-Verwaltungskonsole an und:

1. Klicken Sie im „Dashboard“ im Bereich „PBX-Status“ auf „Firewall Check“.

1. Klicken Sie auf „Ausführen“, um den Firewall-Check zu starten.

Nach dem Start des Firewall-Checkers werden Netzwerktests durchgeführt, und je nach Konfiguration Ihrer Firewall oder Ihres Border-Geräts enthalten die bereitgestellten Ergebnisse Informationen darüber, was Sie tun können, um das Problem zu beheben/zu beheben.

📄 Hinweise:

• Wichtig: Durch den Start des Firewall-Checkers werden alle 3CX-Dienste angehalten. Die Telefonanlage ist für die Dauer der Tests nicht verfügbar. Die Tests dauern 1 Sekunde für jeden geprüften Port, wenn die Tests erfolgreich sind, oder zwischen 5 und 10 Sekunden, wenn der Port die Prüfung nicht besteht. Standardmäßig prüft der Firewall-Checker Ports im Bereich 9000 – 10999. Wenn alles richtig konfiguriert ist, sollten die Tests weniger als eine Minute dauern. Wenn es Probleme mit allen Ports gibt, kann der Test zwischen 4 und 9 Minuten dauern. Sie haben auch die Möglichkeit, den Test abzubrechen.
• Der Firewall-Checker fordert den STUN-Server, der in der Registerkarte „Einstellungen“ > „Netzwerk“ > „Öffentliche IP“ konfiguriert ist, auf, Verbindungen zu ihm und zu den geprüften Ports herzustellen. Einige Firewalls erkennen möglicherweise einen Port-Scan, da die Ports nacheinander geprüft werden. In diesem Fall meldet der 3CX Firewall Checker Probleme, nachdem die ersten Ports überprüft wurden. In diesem Fall sollten Sie die Port-Scan-Prüfung auf Ihrer Firewall deaktivieren, während Sie den 3CX Firewall Checker ausführen.

Tests des 3CX-Firewall-Checkers

Der Firewall-Checker prüft die Konnektivität, indem er verschiedene Anfragen an die STUN-Server stellt. Der Firewall-Checker führt die folgenden zwei Tests durch:

Test 1 – Internet-Erreichbarkeitstest

Dieser Test prüft, ob die 3CX-Telefonanlage mit dem STUN-Server kommunizieren kann, der im Internet über den geprüften Port läuft. Dieser Test führt auch eine DNS-Auflösungsprüfung durch, wenn der Hostname des STUN-Servers angegeben ist. Dieser Test prüft die grundlegende Konnektivität mit dem Internet und die Erreichbarkeit des STUN-Servers.

Prüfen Sie Folgendes, wenn Test 1 fehlschlägt:

• Möglicherweise haben Sie ein generelles Problem mit der Verbindung zum Internet. Um dies zu überprüfen, öffnen Sie einen Browser auf dem Server und stellen Sie sicher, dass Sie eine Verbindung zum Internet herstellen können, indem Sie eine Website aufrufen.
• Möglicherweise müssen Sie Ihre Firewall so konfigurieren, dass Verbindungen von dem Rechner mit der 3CX IP-Telefonanlage zum Internet über den geprüften Port zugelassen werden. Überprüfen Sie die von der 3CX-Telefonanlage verwendeten Ports.
• Möglicherweise muss Ihre Firewall so konfiguriert werden, dass sie sowohl TCP- als auch UDP-Verbindungen zu dem geprüften Port zulässt. Überprüfen Sie erneut die von der 3CX-Telefonanlage verwendeten Ports.
• Dieser Test schlägt fehl, wenn der STUN-Server nicht verfügbar ist. Vergewissern Sie sich, dass die STUN-Server-Einstellungen unter „Einstellungen“ > „Netzwerk“ > „Öffentliche IP“ korrekt sind, oder verwenden Sie einen anderen STUN-Server für den Test.
• Bestätigen Sie den vom STUN-Server verwendeten Port. Der STUN-Server läuft möglicherweise an einem anderen Port.
• Neben dem WAN-zu-LAN-Gerät (Router oder Firewall) sollten Sie auch überprüfen, ob die auf dem lokalen Rechner installierte Windows-Firewall Verbindungen an den überprüften Ports zulässt. Antiviren- und andere Anti-Malware-Software sind dafür bekannt, dass sie diesen Prozess stören. Zur Bestätigung müssen Sie diese deaktivieren oder deinstallieren. Hinweis: Die Deaktivierung dieser Antimalware-Programme reicht möglicherweise nicht aus, um die Tests zu bestehen.
• Es kann sein, dass Ihr Internet-Provider den Datenverkehr an dem zu prüfenden Port blockiert.

Test 2 – Test der Eins-zu-eins-Portweiterleitung (auch bekannt als Test der eingehenden Verbindung)

Bei diesem Test versucht der Firewall-Checker festzustellen, ob ein Server im Internet in der Lage ist, eine Verbindung mit der 3CX-Telefonanlage an dem geprüften Port herzustellen und mit ihr zu kommunizieren. Dabei wird ermittelt, ob die von der 3CX-Telefonanlage in den Firewall-Einstellungen geforderte 1:1-Portweiterleitung (auch als Full Cone Nat bezeichnet) konfiguriert ist.

Für diesen Test sendet der 3CX-Firewall-Checker eine Anfrage an den STUN-Server von dem geprüften Port aus und fordert diesen auf, eine Verbindung zur Telefonanlage von einer anderen IP-Adresse aus über den geprüften Port herzustellen.

Wenn Test 1 erfolgreich ist, Test 2 aber fehlschlägt, sollten Sie Folgendes überprüfen:

• Ihr WAN-zu-LAN-Gerät (Firewall oder Router) verfügt über eine statische Eins-zu-eins-Portweiterleitung, die für die zu prüfenden Ports konfiguriert ist.
• Für einige Ports muss eine statische Portzuordnung sowohl für TCP als auch für UDP konfiguriert werden. In diesem Blog-Beitrag sind die von der 3CX-Telefonanlage verwendeten Ports noch einmal dokumentiert.

Ergebnisse/Fehlermeldungen

Dieser Abschnitt enthält eine Liste der Ergebnisse/Fehler, die vom Firewall-Checker zurückgegeben werden können.

„Erfolg – Die Portweiterleitung ist für diesen Port korrekt implementiert. VoIP kann funktionieren. Diese Konfiguration wird unterstützt.“

Alle Tests wurden erfolgreich abgeschlossen. Ihr WAN-zu-LAN-Gerät (Firewall/Router) erlaubt Verbindungen zum Internet auf dem angegebenen Port und führt die Eins-zu-eins-Portweiterleitung korrekt aus. Diese Konfiguration wird unterstützt.

„STUN-Server hat keine zweite Adresse.“

Diese Fehlermeldung wird angezeigt, wenn Sie einen falsch konfigurierten STUN-Server verwenden. Der STUN-Server muss über 2 Adressen verfügen. Für diese Tests müssen Sie einen anderen STUN-Server verwenden.

1. Melden Sie sich an der 3CX-Verwaltungskonsole an.
2. Klicken Sie auf „Einstellungen“ > „Netzwerk“ > „Öffentliche IP“.
3. Suchen Sie den Abschnitt „Externe IP-Konfiguration“ und konfigurieren Sie einen der folgenden Stun-Server: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.

„Failed – No response received or port mapping is closed. Portweiterleitung nicht korrekt konfiguriert.“

Die Portweiterleitung ist für den überprüften Port nicht korrekt konfiguriert. In diesem Fall funktionieren VoIP-Provider und Remote-Nebenstellen NICHT. Melden Sie sich bei Ihrem Router / Ihrer Firewall an und konfigurieren Sie die Portweiterleitung, indem Sie die von 3CX benötigten Ports eingeben und an die IP-Adresse der 3CX-Telefonanlage weiterleiten.

„Failed – Firewall check failed. Es wurden einige Fehler festgestellt. Bitte überprüfen Sie Ihre Firewall-Konfiguration und wiederholen Sie den Test.“

Diese Meldung wird angezeigt, wenn einige Ports die Tests bestehen und andere nicht. Sie müssen untersuchen, welche Ports den Test nicht bestanden haben und die Portweiterleitung für diese Ports überprüfen. Vergewissern Sie sich auch, dass die Firewall/der Router die Verbindungen an dem betreffenden Port nicht an eine andere IP-Adresse weiterleitet. Die Ports sollten an die IP-Adresse der 3CX-Telefonanlage weitergeleitet werden.

„Failed – Malformed response received – (aka Symmetric NAT). Portweiterleitung nicht korrekt implementiert.“

Die Antwort des STUN-Servers deutet darauf hin, dass Sie kein One-to-One-NAT (Full cone NAT) haben. Die 3CX-Telefonanlage benötigt eine 1:1-Portweiterleitung für eingehende und ausgehende Verbindungen, damit VoIP-Provider, Bridges und externe Nebenstellen funktionieren.“

„Der STUN-Server hat nicht geantwortet, oder die Portweiterleitung ist in Ihrer Firewall nicht konfiguriert.“

Der für diesen Test verwendete STUN-Server hat nicht geantwortet. Mögliche Gründe können sein:

1. Der STUN-Server ist nicht erreichbar.
2. Der STUN-Server ist ausgefallen.
3. Die Portweiterleitung ist nicht richtig konfiguriert.

„Die STUN-Serveradresse kann nicht aufgelöst werden.“

Die DNS-Auflösung zur Auflösung der IP-Adresse des STUN-Servers ist fehlgeschlagen. Es könnte sich um ein DNS-Problem handeln, oder der STUN-Server hat seinen Betrieb ganz eingestellt.

„Failed – Malformed or no response received from configured STUN servers. Überprüfen Sie Ihre Internetverbindung, die DNS-Einstellungen oder ändern Sie die STUN-Server im Abschnitt Einstellungen > Netzwerk > Externe IP-Konfiguration.“

Wenn Sie diese Meldung erhalten, überprüfen Sie, ob die Portweiterleitung korrekt implementiert ist. Möglicherweise blockiert Ihre Firewall die Pakete. Lesen Sie diesen Artikel über die Konfiguration der statischen Portweiterleitung.

„Fehlgeschlagen – Der Port wird von einer anderen Anwendung auf diesem Computer verwendet.“ ODER „Der SIP-Port wird von Prozess {0} verwendet. Der 3CX Firewall-Checker setzt voraus, dass der SIP-Port frei ist.“

Der für diesen Test benötigte Port wird derzeit von einer anderen auf dem Computer installierten Anwendung verwendet. Um den Prozess zu ermitteln, der den angegebenen Port verwendet, führen Sie den folgenden Befehl in der Eingabeaufforderung aus:

netstat -ano | findstr /I /C: „PID“ /C:“:9500″

Ersetzen Sie 9500 durch die Portnummer, die Sie überprüfen möchten. In der Spalte PID finden Sie die Prozess-ID des Prozesses, der den angegebenen Anschluss abhört. Verwenden Sie diese Nummer, um den Prozess mithilfe des Task-Managers zu identifizieren, oder führen Sie den folgenden Befehl in der Eingabeaufforderung aus:

tasklist /fi „pid eq 4“

Ersetzen Sie 4 durch die zuvor identifizierte PID.

„STUN-Server sind nicht erreichbar. Kann keine Firewall-Prüfung durchführen. Diese Konfiguration wird nicht unterstützt“

Die im Abschnitt „Netzwerk“ > „Externe IP-Konfiguration“ konfigurierten STUN-Server können nicht erreicht werden. Die wahrscheinlichste Ursache ist in der Regel ein Problem mit der Internetverbindung:

1. Melden Sie sich an der 3CX-Verwaltungskonsole an.
2. Klicken Sie auf „Einstellungen“ > „Netzwerk“.
3. Gehen Sie zum Abschnitt „Externe IP-Konfiguration“ und ändern Sie die STUN-Server auf einen der folgenden, von 3CX gehosteten Server: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.