Qu’est-ce que le vérificateur de pare-feu 3CX et pourquoi en ai-je besoin ?

Dépannage des extensions distantes et des fournisseurs de VoIP à l’aide du 3CX Firewall Checker

Introduction au 3CX Firewall Checker

Le 3CX Firewall Checker est un outil qui peut être utilisé pour vérifier que votre routeur ou votre pare-feu autorise le trafic réseau avec les fournisseurs de VoIP, les ponts, les extensions externes et les connexions 3CX Tunnel. Pour que la configuration du système téléphonique 3CX soit prise en charge, il faut que tous les ports nécessaires soient transférés un par un dans le réseau local vers la machine du système téléphonique 3CX. Si ce n’est pas le cas, elle est considérée comme une configuration non supportée. Nous utiliserons un exemple simple pour démontrer l’utilisation du vérificateur de pare-feu 3CX plus loin.

Pour que cet exemple fonctionne, nous ferons quelques hypothèses :

1. La machine du système téléphonique 3CX a une adresse IP de « 192.168.0.100 » et que le test concerne le port « 9500 ».
2. L’adresse IP publique pour votre port WAN sur votre dispositif WAN-to-LAN est « 11.22.33.44 », c’est-à-dire l’adresse IP externe.

Information sur le transfert de port

En gros, pour qu’un port soit correctement transféré vers la machine du système téléphonique 3CX, tout paquet UDP qui provient de la machine du PBX et qui a donc, dans ses en-têtes, le « IP source::Port » lisant « 192.168.0.100::5060 », doit atteindre sa destination finale (typiquement un service de fournisseur de VoIP, une extension distante, ou un PBX ponté) avec les en-têtes Ethernet « source IP::Port » lisant « 11.22.33.44::5060 ». Donc, en substance, même si l’adresse IP doit être traduite (pour que le trafic puisse être acheminé à travers le nuage Internet), le port ne doit PAS être traduit. De plus, tout paquet UDP provenant du WAN avec les en-têtes Ethernet « destination IP::Port » lisant « 11.22.33.44::5060 », doit atteindre la machine du système téléphonique 3CX avec les en-têtes Ethernet « destination IP::Port » lisant « 192.168.0.100::5060 ».

Le 3CX Firewall Checker peut être utilisé pour déterminer si les mappages de port sont configurés correctement et également fournir des informations supplémentaires qui pourraient vous aider à configurer votre pare-feu correctement.

Exécution du vérificateur de pare-feu 3CX

Pour exécuter le vérificateur de pare-feu 3CX, connectez-vous à la console de gestion 3CX en utilisant vos informations d’identification et :

1. Dans le « Tableau de bord », cliquez sur « Vérification du pare-feu », dans la section « Statut du PBX ».

1. Cliquez sur « Exécuter » pour lancer la vérification du pare-feu.

Une fois que le vérificateur de pare-feu démarre, des tests de réseau seront effectués et selon la configuration de votre pare-feu ou du dispositif frontalier, les résultats fournis incluent des informations sur ce que vous pouvez faire pour corriger/dépanner le problème.

📄 Notes:

• Important : le démarrage du vérificateur de pare-feu arrêtera tous les services 3CX. Le PBX ne sera pas disponible pendant la durée des tests. Les tests durent 1 seconde pour chaque port vérifié si les tests sont réussis ou entre 5 et 10 secondes si le port échoue la vérification du port. Par défaut, le vérificateur de pare-feu vérifie les ports dans la plage 9000 – 10999. Si tout est configuré correctement, les tests devraient prendre moins d’une minute. S’il y a des problèmes avec tous les ports, le test peut prendre entre 4 et 9 minutes. Vous avez également la possibilité d’annuler le test.
• Le vérificateur de pare-feu demande au serveur STUN configuré dans l’onglet « Paramètres » > « Réseau » > « IP publique », d’établir des connexions vers lui et sur les ports vérifiés. Certains pare-feu pourraient détecter un balayage de port puisque les ports sont vérifiés séquentiellement. Lorsque cela se produit, le 3CX Firewall Checker commencera à signaler des problèmes après que les premiers ports aient été vérifiés. Si cela se produit, vous pourriez vouloir désactiver la vérification du balayage des ports sur votre pare-feu tout en exécutant le 3CX Firewall Checker.

Tests du vérificateur de pare-feu 3CX

Le vérificateur de pare-feu vérifiera la connectivité en faisant diverses demandes aux serveurs STUN. Le vérificateur de pare-feu effectue les deux tests suivants :

Test 1 – Test d’accessibilité à Internet

Ce test vérifie que le PBX 3CX est capable de communiquer avec le serveur STUN fonctionnant sur Internet à partir du port vérifié. Ce test effectuera également une vérification de la résolution DNS si le nom d’hôte du serveur STUN est spécifié. Ce test vérifie la connectivité de base à Internet et que le serveur STUN est joignable.

Vérifiez ce qui suit si vous obtenez un échec au test 1:

• Vous avez peut-être un problème général de connexion à Internet. Pour le confirmer, ouvrez un navigateur sur le serveur, et vérifiez que vous pouvez vous connecter à internet en allant sur un site web.
• Vous devrez peut-être configurer votre pare-feu pour autoriser les connexions de la machine exécutant 3CX Phone System à internet sur le port vérifié. Vérifiez les ports utilisés par le système téléphonique 3CX.
• Il se peut que votre pare-feu doive être configuré pour autoriser les deux connexions au port vérifié à la fois sur TCP et UDP. Une fois de plus, vérifiez les Ports utilisés par le système téléphonique 3CX.
• Ce test échouera si le serveur STUN n’est pas disponible. Confirmez que les paramètres du serveur STUN dans « Paramètres » > « Réseau » > « IP publique » sont corrects ou utilisez un autre serveur STUN pour effectuer le test.
• Confirmez le port utilisé par le serveur STUN. Le serveur STUN peut fonctionner sur un port différent.
• En dehors du dispositif WAN vers LAN (routeur ou pare-feu), vous devez également vérifier que le pare-feu Windows installé sur la machine locale autorise les connexions sur les ports vérifiés. Les antivirus et autres logiciels anti-malware sont connus pour interférer avec ce processus. Vous devrez les désactiver ou les désinstaller pour confirmer. Remarque : la désactivation de ces programmes anti-malware pourrait ne pas être suffisante pour réussir les tests.
• Votre FAI pourrait bloquer le trafic dans le port vérifié.

Test 2 – Test de transfert de port un à un (alias connexion entrante)

Dans ce test, le vérificateur de pare-feu essaie de déterminer si un serveur sur Internet est capable de se connecter et de communiquer avec le système téléphonique 3CX sur le port vérifié. Cela détermine si la redirection de port un à un (également connue sous le nom de Full Cone Nat) est configurée comme requis par le PBX 3CX sur les paramètres du pare-feu.

Pour ce test, le vérificateur de pare-feu 3CX enverra une requête au serveur STUN à partir du port vérifié, et demande au serveur STUN d’établir une connexion au PBX à partir d’une adresse IP différente sur le port vérifié.

Si le test 1 réussit, mais que le test 2 échoue, vous devez vérifier les points suivants :

• Votre dispositif WAN vers LAN (pare-feu ou routeur) a un transfert de port statique, un à un, configuré pour les ports vérifiés.
• Certains ports ont besoin d’un mappage de port statique configuré pour TCP et UDP. Encore une fois, consultez cet article de blog qui documente les ports utilisés par le système téléphonique 3CX.

Résultats / Messages d’erreur

Cette section fournit une liste de résultats / erreurs qui peuvent être retournés par le vérificateur de pare-feu.

« Succès – Le transfert de port est correctement mis en œuvre pour ce port. La VoIP peut fonctionner. Cette configuration est prise en charge. »

Tous les tests se sont déroulés avec succès. Votre dispositif WAN vers LAN (pare-feu / routeur) autorise les connexions à Internet sur le port spécifié et effectue correctement la redirection de port un à un. Cette configuration est prise en charge.

« Le serveur STUN n’a pas de deuxième adresse. »

Vous obtenez ce message d’erreur lorsque vous utilisez un serveur STUN mal configuré. Le serveur STUN doit disposer de 2 adresses. Vous devrez utiliser un serveur STUN différent pour ces tests.

1. Connectez-vous à la console de gestion 3CX.
2. Cliquez sur « Paramètres » > « Réseau » > « IP publique ».
3. Trouvez la section « Configuration IP externe » et configurez l’un des serveurs stun suivants : stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.

« Échec – Aucune réponse reçue ou le mappage de port est fermé. Le transfert de port n’est pas configuré correctement. »

Le transfert de port n’est pas configuré correctement pour le port vérifié. Dans ce cas, les fournisseurs de VoIP et les postes à distance NE FONCTIONNENT PAS. Connectez-vous à votre routeur / pare-feu et configurez le transfert de port en entrant les ports requis par 3CX et en les transférant à l’adresse IP de la machine du système téléphonique 3CX.

« Failed – Firewall check failed. Certaines erreurs ont été détectées. Veuillez vérifier la configuration de votre pare-feu et réessayer le test. »

Vous obtiendrez ce message si certains ports passent les tests et d’autres non. Vous devrez rechercher les ports qui ont échoué au test et vérifier la redirection des ports pour ces ports. Assurez-vous également que le pare-feu / routeur ne transfère pas les connexions sur le port spécifique vers une autre adresse IP. Les ports doivent être transférés vers l’adresse IP du système téléphonique 3CX.

« Failed – Malformed response received – (aka Symmetric NAT). Port forwarding not correctly implemented. »

La réponse que nous avons obtenue du serveur STUN indique que vous n’avez pas de NAT un à un (Full cone NAT). Le système téléphonique 3CX nécessite une redirection de port 1 vers 1 en entrée et en sortie, pour que les fournisseurs de VoIP, les ponts et les extensions externes fonctionnent.

« Le serveur STUN n’a pas répondu ou la redirection de port n’est pas configurée sur votre pare-feu. »

Le serveur STUN utilisé pour ce test n’a pas répondu. Les raisons possibles peuvent être :

1. Le serveur STUN n’est pas joignable.
2. Le serveur STUN est en panne.
3. Le transfert de port n’est pas configuré correctement.

« L’adresse du serveur STUN ne peut pas être résolue. »

La résolution DNS utilisée pour résoudre l’adresse IP du serveur STUN a échoué. Il peut s’agir d’un problème de DNS ou le serveur STUN a carrément cessé de fonctionner.

« Échec – Réponse malformée ou aucune réponse reçue des serveurs STUN configurés. Vérifiez votre connexion Internet, les paramètres DNS ou modifiez les serveurs STUN à partir de la section Paramètres > Réseau > Configuration de l’IP externe. »

Si vous obtenez ce message, vérifiez que la redirection de port est correctement implémentée. Votre pare-feu peut bloquer des paquets. Consultez cet article sur la façon de configurer la redirection de port statique.

« Échec – Le port est utilisé par une autre application sur cet ordinateur. » OU « Le port SIP est utilisé par le processus {0}. Le vérificateur du pare-feu 3CX exige que le port SIP soit libre. »

Le port nécessaire pour ce test est actuellement utilisé par une autre application installée sur l’ordinateur. Pour déterminer le processus qui utilise sur le port spécifié, exécutez la commande suivante dans l’invite de commande:

netstat -ano | findstr /I /C : « PID » /C : »:9500″

Remplacez 9500 par le numéro du port que vous devez vérifier. Vous trouverez l’identifiant du processus qui écoute sur le port spécifié dans la colonne PID. Utilisez ce numéro pour identifier le processus en utilisant le gestionnaire de tâches ou en exécutant la commande suivante dans l’invite de commande :

tasklist /fi « pid eq 4 »

Remplacez 4 par le PID identifié précédemment.

« Les serveurs STUN ne sont pas joignables. Impossible d’effectuer la vérification du pare-feu. Cette configuration n’est pas prise en charge »

Les serveurs STUN configurés dans la section « Réseau » > « Configuration IP externe » ne peuvent être atteints. La cause la plus probable est généralement un problème de connectivité Internet :

1. Connectez-vous à la console de gestion 3CX.
2. Cliquez sur « Paramètres » > « Réseau ».
3. Allez à la section « Configuration IP externe » et changez les serveurs STUN à l’un des suivants qui sont hébergés par 3CX : stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.