Távoli bővítmények és VoIP-szolgáltatók hibaelhárítása a 3CX Firewall Checker használatával
A 3CX Firewall Checker bemutatása
A 3CX Firewall Checker egy olyan eszköz, amellyel ellenőrizheti, hogy az útválasztója vagy tűzfala engedélyezi-e a VoIP-szolgáltatók, hidak, külső bővítmények és 3CX-alagútkapcsolatok hálózati forgalmát. A támogatott 3CX telefonrendszer-konfiguráció megköveteli, hogy az összes szükséges port egy az egyben továbbításra kerüljön a LAN-ba a 3CX telefonrendszer gépe felé. Bármi, ami ennél kevesebb, nem támogatott konfigurációnak minősül. A továbbiakban egy egyszerű példán keresztül mutatjuk be a 3CX Firewall checker használatát.
A példa működéséhez néhány feltételezéssel élünk:
- A 3CX Phone System gép IP-címe “192.168.0.100”, és a teszt a “9500” portra vonatkozik.
- A WAN-to-LAN eszköz WAN portjának nyilvános IP-címe a “11.22.33.44”, azaz a külső IP-cím.
Port-továbbítási információk
Alapvetően ahhoz, hogy egy port megfelelően továbbításra kerüljön a 3CX telefonrendszer gépére, minden olyan UDP csomagnak, amely a PBX gépről származik, és ezért a fejlécében a “forrás IP::Port” felirat “192.168.0.100::5060” fejlécében a “forrás IP::Port” fejlécében a “11.22.33.44::5060” olvasható. Tehát lényegében, bár az IP-címet le kell fordítani (hogy a forgalmat át lehessen irányítani az internetes felhőn), a portot NEM szabad lefordítani. Továbbá, minden olyan UDP csomagnak, amely a WAN-ról érkezik, és amelynek Ethernet fejlécében a “cél IP::Port” címszó “11.22.33.44::5060”, el kell érnie a 3CX telefonrendszer gépét, amelynek Ethernet “cél IP::Port” címszava “192.168.0.100::5060”.
A 3CX Firewall Checker segítségével megállapítható, hogy a port hozzárendelések helyesen vannak-e konfigurálva, valamint további információkkal is szolgálhat, amelyek segíthetnek a tűzfal megfelelő konfigurálásában.
A 3CX Firewall Checker futtatása
A 3CX Firewall Checker futtatásához jelentkezzen be a 3CX Management Console-ba a hitelesítő adatokkal, és:
- A “Dashboard”-on kattintson a “Firewall Check”-re a “PBX Status” szakaszban.
- A tűzfalellenőrzés elindításához kattintson a “Futtatás” gombra.
A tűzfalellenőrzés elindítása után hálózati tesztek kerülnek végrehajtásra, és a tűzfal vagy a határkészülék konfigurációjától függően a megadott eredmények tartalmaznak információkat arról, hogy mit tehet a probléma kijavítása/megoldása érdekében.
📄 Megjegyzések:
- Fontos: A tűzfalellenőrzés elindítása az összes 3CX-szolgáltatást leállítja. A PBX nem lesz elérhető a tesztek időtartama alatt. A tesztek minden egyes ellenőrzött port esetében 1 másodpercig tartanak, ha a tesztek sikeresek, vagy 5 és 10 másodperc között, ha a port nem felel meg a portellenőrzésnek. Alapértelmezés szerint a tűzfalellenőrző a 9000 és 10999 közötti portokat ellenőrzi. Ha minden megfelelően van beállítva, a tesztek kevesebb mint egy percet vesznek igénybe. Ha az összes porttal problémák vannak, a teszt 4 és 9 perc között lehet. Lehetősége van a teszt leállítására is.
- A tűzfalellenőrző kéri a “Beállítások” > “Hálózat” > “Nyilvános IP” fülön konfigurált STUN-kiszolgálót, hogy kapcsolatot létesítsen hozzá és az ellenőrzött portokra. Egyes tűzfalak érzékelhetik a portellenőrzést, mivel a portok ellenőrzése szekvenciálisan történik. Ilyenkor a 3CX Firewall Checker az első néhány port ellenőrzése után kezd problémákat jelenteni. Ha ez történik, akkor a 3CX Firewall Checker futtatása közben érdemes letiltani a portellenőrzést a tűzfalon.
3CX Firewall Checker Tests
A tűzfalellenőrző a STUN-kiszolgálókhoz intézett különböző kérésekkel ellenőrzi a kapcsolódást. A tűzfalellenőrző a következő két tesztet hajtja végre:
1. teszt – Internet elérhetőségi teszt
Ez a teszt azt ellenőrzi, hogy a 3CX PBX képes-e kommunikálni az interneten futó STUN szerverrel az ellenőrzött portról. Ez a teszt DNS-feloldási ellenőrzést is végez, ha a STUN-kiszolgáló hostneve meg van adva. Ez a teszt az internethez való alapvető kapcsolódást és a STUN-kiszolgáló elérhetőségét ellenőrzi.
Az 1. teszt sikertelensége esetén ellenőrizze a következőket:
- Az internethez való kapcsolódás általános problémája lehet. Ennek megerősítéséhez nyisson meg egy böngészőt a kiszolgálón, és ellenőrizze, hogy egy weboldalra lépve tud-e csatlakozni az internetre.
- Lehet, hogy be kell állítania a tűzfalat, hogy engedélyezze a 3CX Phone Systemet futtató gépről az internetre való csatlakozást a vizsgált porton. Tekintse át a 3CX Phone System által használt portokat.
- Lehet, hogy a tűzfalat úgy kell beállítani, hogy mind a TCP, mind az UDP porton engedélyezze a kapcsolatokat az ellenőrzött porthoz. Ismét ellenőrizze a 3CX Phone System által használt portokat.
- Ez a teszt sikertelen lesz, ha a STUN-kiszolgáló nem elérhető. Ellenőrizze, hogy a STUN-kiszolgáló beállításai a “Beállítások” > “Hálózat” > “Nyilvános IP” menüpontban megfelelőek-e, vagy használjon másik STUN-kiszolgálót a teszteléshez.
- Visszaigazolja a STUN-kiszolgáló által használt portot. Előfordulhat, hogy a STUN-kiszolgáló más porton fut.
- A WAN-LAN eszköz (router vagy tűzfal) mellett azt is ellenőrizni kell, hogy a helyi gépre telepített Windows tűzfal engedélyezi-e a kapcsolatokat az ellenőrzött portokon. A vírusirtó és egyéb rosszindulatú szoftverek közismerten zavarják ezt a folyamatot. A megerősítéshez ezeket le kell tiltania vagy eltávolítania. Megjegyzés: Az ilyen rosszindulatú szoftverek elleni programok letiltása nem biztos, hogy elegendő a tesztek sikeres elvégzéséhez.
- Az Ön internetszolgáltatója esetleg blokkolja a forgalmat az ellenőrzött porton.
Teszt 2 – Egy az egyben porttovábbítási (más néven bejövő kapcsolat) teszt
Ezzel a teszttel a tűzfalellenőrző megpróbálja megállapítani, hogy egy internetes szerver képes-e csatlakozni és kommunikálni a 3CX telefonrendszerrel az ellenőrzött porton. Ez azt határozza meg, hogy az egy az egyhez porttovábbítás (más néven Full Cone Nat) a 3CX PBX által megkövetelt módon van-e konfigurálva a tűzfal beállításaiban.
Ezzel a teszttel a 3CX Firewall Checker kérést küld a STUN szervernek az ellenőrzött portról, és kéri a STUN szervert, hogy egy másik IP-címről az ellenőrzött porton kapcsolatot létesítsen a PBX-szel.
Ha az 1. teszt sikeres, de a 2. teszt sikertelen, akkor a következőket kell ellenőrizni:
- A WAN-LAN eszköz (tűzfal vagy router) statikus, egy az egyhez porttovábbítás van beállítva az ellenőrzött portokhoz.
- Egyes portokhoz a TCP és UDP esetében is be kell állítani a statikus porttérképezést. Még egyszer, nézze meg ezt a blogbejegyzést, amely dokumentálja a 3CX telefonrendszer által használt portokat.
Eredmények / Hibaüzenetek
Ez a szakasz a tűzfalellenőrző által visszaküldhető eredmények / hibák listáját tartalmazza.
“Siker – A port továbbítása helyesen van végrehajtva ezen a porton. A VoIP működhet. Ez a konfiguráció támogatott.”
A tesztek mindegyike sikeresen zárult. A WAN-LAN eszköz (tűzfal/router) engedélyezi az internetkapcsolatokat a megadott porton, és helyesen hajtja végre az egy az egyhez porttovábbítást. Ez a konfiguráció támogatott.
“A STUN-kiszolgálónak nincs második címe.”
Ezt a hibaüzenetet akkor kapja, ha helytelenül konfigurált STUN-kiszolgálót használ. A STUN-kiszolgálónak 2 címmel kell rendelkeznie. Ezekhez a tesztekhez egy másik STUN szervert kell használnia.
- Lépjen be a 3CX Management Console-ba.
- Kattintson a “Beállítások” > “Hálózat” > “Nyilvános IP” gombra.
- Keresse meg a “Külső IP konfiguráció” részt, és konfigurálja a következő kábító szerverek egyikét: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
“Sikertelen – Nem érkezett válasz, vagy a port le van zárva. Port forwarding not configured correctly.”
A port forwarding nincs megfelelően konfigurálva az ellenőrzött porthoz. Ebben az esetben a VoIP szolgáltatók és a távoli mellékek NEM fognak működni. Jelentkezzen be az útválasztóba / tűzfalba, és konfigurálja a porttovábbítást a 3CX által igényelt portok megadásával és továbbításával a 3CX telefonrendszer gépének IP-címére.”
“Sikertelen – A tűzfal ellenőrzése sikertelen. Néhány hibát észleltünk. Kérjük, ellenőrizze a tűzfal konfigurációját, és próbálja meg újra a tesztet.”
Ezt az üzenetet akkor kapja, ha egyes portok átmennek a teszteken, mások viszont nem. Meg kell vizsgálnia, hogy mely portok buktak meg a teszten, és ellenőrizni kell a porttovábbítást ezeknél a portoknál. Győződjön meg arról is, hogy a tűzfal/router nem továbbítja a kapcsolatokat az adott porton egy másik IP-címre. A portokat a 3CX telefonrendszer IP-címére kell továbbítani.
“Failed – Malformed response received – (aka Symmetric NAT)”. Port forwarding not correctly implemented.”
A STUN szervertől kapott válasz azt jelzi, hogy nincs egy az egyhez NAT (Full cone NAT). A 3CX telefonrendszer a VoIP szolgáltatók, hidak és külső mellékek működéséhez 1:1 porttovábbítást igényel befelé és kifelé egyaránt.”
“A STUN szerver nem válaszolt, vagy a porttovábbítás nincs beállítva a tűzfalán.”
A teszthez használt STUN szerver nem válaszolt. Lehetséges okok lehetnek:
- A STUN-kiszolgáló nem elérhető.
- A STUN-kiszolgáló nem elérhető.
- A porttovábbítás nincs megfelelően konfigurálva.
“A STUN-kiszolgáló címét nem lehet feloldani.”
A STUN-kiszolgáló IP-címének feloldásához használt DNS-feloldás nem sikerült. Ez lehet DNS-probléma, vagy a STUN-kiszolgáló teljesen leállt.”
“Sikertelen – Rosszul formázott vagy nem érkezett válasz a konfigurált STUN-kiszolgálóktól.”
“Failed – Malformed or no response received from configured STUN servers. Ellenőrizze az internetkapcsolatot, a DNS-beállításokat, vagy változtassa meg a STUN-kiszolgálókat a Settings > Network > External IP Configuration szakaszban.”
Ha ezt az üzenetet kapja, ellenőrizze, hogy a porttovábbítás helyesen van-e implementálva. Lehet, hogy a tűzfal blokkolja a csomagokat. Olvassa el ezt a cikket a statikus porttovábbítás konfigurálásáról.”
“Sikertelen – A portot egy másik alkalmazás használja ezen a számítógépen.”
“Sikertelen – A portot egy másik alkalmazás használja ezen a számítógépen.” VAGY “A SIP portot a {0} folyamat használja. A 3CX tűzfalellenőrzője megköveteli, hogy a SIP-port szabad legyen.”
A teszthez szükséges portot jelenleg egy másik, a számítógépen telepített alkalmazás használja. A megadott portot használó folyamat meghatározásához futtassa a parancssorban a következő parancsot:
netstat -ano | findstr /I /C: “PID” /C:”:9500″
A 9500 helyébe az ellenőrizendő port számát írja be. A PID oszlopban megtalálja a megadott porton figyelő folyamat azonosítóját. Ennek a számnak a segítségével azonosíthatja a folyamatot a Feladatkezelő segítségével vagy a parancssorban a következő parancs futtatásával:
tasklist /fi “pid eq 4”
A 4-es számot helyettesítse a korábban azonosított PID azonosítóval.
“A STUN szerverek nem elérhetők. Nem lehet elvégezni a tűzfalellenőrzést. Ez a konfiguráció nem támogatott”
A “Hálózat” > “Külső IP konfiguráció” szakaszban konfigurált STUN-kiszolgálók nem érhetők el. A legvalószínűbb ok általában internetkapcsolati probléma:
- Lépjen be a 3CX Management Console-ba.
- Kattintson a “Beállítások” > “Hálózat” menüpontra.
- Menjen a “Külső IP konfiguráció” szakaszba, és módosítsa a STUN szervereket a következő, a 3CX által üzemeltetett szerverek egyikére: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.