¿Qué es el 3CX Firewall Checker y por qué lo necesito?

Resolución de problemas de extensiones remotas y proveedores VoIP usando el verificador de firewall 3CX

Introducción al verificador de firewall 3CX

El verificador de firewall 3CX es una herramienta que puede ser usada para verificar que su router o firewall permite el tráfico de red con proveedores VoIP, puentes, extensiones externas y conexiones de túnel 3CX. Una configuración de Central Telefónica 3CX soportada requiere que todos los puertos necesarios sean reenviados uno a uno en la LAN hacia la máquina de la Central Telefónica 3CX. Cualquier cosa menos que eso, es considerada como una configuración no soportada. Usaremos un ejemplo simple para demostrar el uso del verificador de firewall 3CX más adelante.

Para que este ejemplo funcione, haremos algunas suposiciones:

1. La máquina de Central Telefónica 3CX tiene una dirección IP de «192.168.0.100» y que la prueba es para el puerto «9500».
2. La dirección IP pública para su puerto WAN en su dispositivo WAN-a-LAN es «11.22.33.44», es decir, la dirección IP externa.

Información de reenvío de puertos

Básicamente, para que un puerto sea correctamente reenviado a la máquina de la Central Telefónica 3CX, cualquier paquete UDP que se origine desde la máquina de la PBX y que por lo tanto tenga, en sus cabeceras, la «IP de origen::Puerto» leyendo «192.168.0.100::5060», debe llegar a su destino final (típicamente un servicio de proveedor de VoIP, una extensión remota, o una PBX puenteada) con las cabeceras de «source IP::Port» leyendo «11.22.33.44::5060». Así que en esencia, aunque la dirección IP necesita ser traducida (para que el tráfico pueda ser enrutado a través de la Nube de Internet), el puerto NO debe ser traducido. Además, cualquier paquete UDP que se origina desde la WAN con encabezados Ethernet «destino IP::Puerto» leyendo «11.22.33.44::5060», debe alcanzar la máquina de la Central Telefónica 3CX con los encabezados Ethernet «destino IP::Puerto» leyendo «192.168.0.100::5060».

El verificador de cortafuegos 3CX puede ser usado para determinar si los mapeos de puertos están configurados correctamente y también provee información adicional que puede ayudar a configurar el cortafuegos apropiadamente.

Ejecutando el 3CX Firewall Checker

Para ejecutar el 3CX Firewall Checker, ingrese a la consola de administración 3CX usando sus credenciales y:

1. En el «Dashboard» haga click en «Firewall Check», en la sección «PBX Status».

1. Pulse en «Ejecutar» para iniciar la comprobación del firewall.

Una vez que el Firewall Checker se inicia, se realizan pruebas de red y dependiendo de la configuración de su firewall o dispositivo de frontera, los resultados provistos incluyen información sobre lo que se puede hacer para arreglar/resolver el problema.

📄 Notas:

• Importante: Al iniciar el Firewall Checker se detendrán todos los servicios 3CX. La PBX no estará disponible mientras duren las pruebas. Las pruebas duran 1 segundo por cada puerto verificado, si las pruebas son exitosas, o entre 5 y 10 segundos si el puerto falla la verificación de puertos. Por defecto, el comprobador del cortafuegos comprueba los puertos en el rango 9000 – 10999. Si todo está configurado correctamente, las pruebas deberían durar menos de un minuto. Si hay problemas con todos los puertos, la prueba puede durar entre 4 y 9 minutos. También tiene la opción de cancelar la prueba.
• El comprobador del cortafuegos solicita al servidor STUN configurado en la pestaña «Configuración» > «Red» > «IP pública», que se conecte a él y a los puertos que se están comprobando. Algunos firewalls podrían detectar un escaneo de puertos ya que los puertos son chequeados secuencialmente. Cuando esto sucede, el 3CX Firewall Checker comenzará a reportar problemas después de que los primeros puertos hayan sido chequeados. Si esto sucede, es posible que quiera deshabilitar el escaneo de puertos en su firewall mientras ejecuta el 3CX Firewall Checker.

Pruebas del verificador del firewall 3CX

El verificador del firewall verificará la conectividad haciendo varias solicitudes a los servidores STUN. El verificador de firewall realiza las siguientes dos pruebas:

Prueba 1 – Prueba de alcance de Internet

Esta prueba verifica que la PBX 3CX es capaz de comunicarse con el servidor STUN corriendo en Internet desde el puerto que se está verificando. Esta prueba también realizará un chequeo de resolución DNS si el nombre de host del servidor STUN es especificado. Esta prueba comprueba la conectividad básica a Internet y que el servidor STUN es alcanzable.

Compruebe lo siguiente si obtiene un fallo en la prueba 1:

• Es posible que tenga un problema general de conexión a Internet. Para confirmar eso, abra un navegador en el servidor, y verifique que puede conectarse a internet yendo a un sitio web.
• Puede que necesite configurar su firewall para permitir conexiones desde la máquina que corre la Central Telefónica 3CX a internet en el puerto que está siendo verificado. Revise los puertos usados por la Central Telefónica 3CX.
• Su firewall podría necesitar ser configurado para permitir ambas conexiones al puerto que está siendo revisado, tanto en TCP como en UDP. Una vez más, revise los puertos usados por la Central Telefónica 3CX.
• Esta prueba fallará si el servidor STUN no está disponible. Confirme que la configuración del servidor STUN en «Configuración» > «Red» > «IP Pública» es correcta o use un servidor STUN diferente para probar.
• Confirme el puerto que está utilizando el servidor STUN. El servidor STUN podría estar funcionando en un puerto diferente.
• Aparte del dispositivo WAN a LAN (router o firewall), también debe comprobar que el Firewall de Windows instalado en la máquina local está permitiendo las conexiones en los puertos que se están comprobando. Se sabe que los antivirus y otros programas antimalware interfieren en este proceso. Deberá desactivarlos o desinstalarlos para confirmarlo. Nota: Desactivar estos programas antimalware podría no ser suficiente para pasar las pruebas.
• Su ISP podría estar bloqueando el tráfico en el puerto que se está verificando.

Prueba 2 – Prueba de reenvío de puerto uno a uno (también conocido como conexión entrante)

En esta prueba, el verificador de firewall trata de determinar si un servidor en internet es capaz de conectarse y comunicarse con la Central Telefónica 3CX en el puerto que se está verificando. Esto determina si el reenvío de puerto uno a uno (también conocido como Full Cone Nat) está configurado como lo requiere la central telefónica 3CX en la configuración del firewall.

Para esta prueba, el verificador de firewall 3CX enviará una solicitud al servidor STUN desde el puerto que está siendo revisado, y solicita al servidor STUN que haga una conexión a la central telefónica desde una dirección IP diferente en el puerto que está siendo revisado.

Si la prueba 1 tiene éxito, pero la prueba 2 falla, debe comprobar lo siguiente:

• Su dispositivo WAN a LAN (cortafuegos o router) tiene configurado un reenvío de puertos estático, uno a uno, para los puertos que se están comprobando.
• Algunos puertos necesitan una asignación de puertos estática configurada tanto para TCP como para UDP. Una vez más, revise esta entrada del blog que documenta los puertos usados por la Central Telefónica 3CX.

Resultados / Mensajes de error

Esta sección provee una lista de resultados / errores que pueden ser devueltos por el verificador de firewall.

«Éxito – El reenvío de puertos está correctamente implementado para este puerto. VoIP puede funcionar. Esta configuración es compatible.»

Todas las pruebas se han completado con éxito. Su dispositivo WAN a LAN (firewall / router) permite las conexiones a Internet en el puerto especificado y realiza el reenvío de puertos uno a uno correctamente. Esta configuración es compatible.

«El servidor STUN no tiene una segunda dirección»

Obtendrá este mensaje de error cuando esté utilizando un servidor STUN mal configurado. El servidor STUN debe tener 2 direcciones. Se necesita usar un servidor STUN diferente para estas pruebas.

1. Ingrese a la consola de administración 3CX.
2. Haga click en «Settings» > «Network» > «Public IP».
3. Busque la sección «External IP Configuration» y configure uno de los siguientes servidores de aturdimiento: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.

«Fallo – No se ha recibido respuesta o la asignación de puertos está cerrada. Port Forwarding not configured correctly.»

El Port Forwarding no está configurado correctamente para el puerto que se está comprobando. En este caso los proveedores de VoIP y las extensiones remotas NO FUNCIONARÁN. Ingrese a su router/cortafuegos y configure el reenvío de puertos ingresando los puertos requeridos por 3CX y reenviándolos a la dirección IP de la máquina de la Central Telefónica 3CX.

«Falló – La verificación del cortafuegos falló. Algunos errores fueron detectados. Por favor revise la configuración de su firewall e intente la prueba nuevamente.»

Se obtendrá este mensaje si algunos puertos pasan las pruebas y otros no. Usted tendrá que investigar qué puertos fallaron la prueba y comprobar el reenvío de puertos para esos puertos. También asegúrese de que el firewall / router no está reenviando las conexiones en el puerto específico a otra dirección IP. Los puertos deberían ser reenviados a la dirección IP de la Central Telefónica 3CX.

«Falló – Respuesta malformada recibida – (aka Symmetric NAT). Port forwarding not correctly implemented.»

La respuesta que obtuvimos del servidor STUN indica que no se tiene un NAT uno a uno (Full cone NAT). La central telefónica 3CX requiere un reenvío de puertos 1 a 1 de entrada y salida, para que los proveedores de VoIP, puentes y extensiones externas funcionen.

«El servidor STUN no respondió o el reenvío de puertos no está configurado en su firewall»

El servidor STUN usado para esta prueba no respondió. Las posibles razones podrían ser:

1. El servidor STUN no está localizable.
2. El servidor STUN no funciona.
3. El reenvío de puertos no está configurado correctamente.

«No se puede resolver la dirección del servidor STUN.»

La resolución DNS utilizada para resolver la dirección IP del servidor STUN falló. Esto podría ser un problema de DNS, o el servidor STUN ha dejado de funcionar por completo.

«Failed – Malformed or no response received from configured STUN servers. Compruebe su conexión a Internet, la configuración de DNS o cambie los servidores STUN desde la sección Configuración > Red > Configuración de IP externa.»

Si recibe este mensaje compruebe que el reenvío de puertos está correctamente implementado. Es posible que tu firewall esté bloqueando los paquetes. Consulte este artículo sobre cómo configurar el reenvío de puertos estático.

«Fallo – El puerto está en uso por otra aplicación en este equipo.» O «El puerto SIP está en uso por el proceso {0}. El verificador del firewall 3CX requiere que el puerto SIP esté libre»

El puerto necesario para esta prueba está actualmente en uso por otra aplicación instalada en el computador. Para determinar el proceso que está utilizando en el puerto especificado, ejecute el siguiente comando en la línea de comandos:

netstat -ano | findstr /I /C: «PID» /C:»:9500″

Sustituya 9500 por el número de puerto que necesita comprobar. Encontrará el ID del proceso que está escuchando en el puerto especificado en la columna PID. Utilice este número para identificar el proceso utilizando el Administrador de tareas o ejecutando el siguiente comando en la línea de comandos:

tasklist /fi «pid eq 4»

Sustituya el 4 por el PID identificado anteriormente.

«No se puede acceder a los servidores STUN. No se puede realizar la comprobación del Firewall. Esta configuración no es compatible»

No se puede acceder a los servidores STUN configurados en la sección «Red» >»Configuración IP externa». La causa más probable es usualmente un problema de conectividad a internet:

1. Entre a la consola de administración 3CX.
2. Haga click en «Settings» > «Network».
3. Vaya a la sección «Configuración de IP externa» y cambie los servidores STUN a uno de los siguientes que están alojados en 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.