Risolvere i problemi degli interni remoti e dei Provider VoIP usando il 3CX Firewall Checker
Introduzione al 3CX Firewall Checker
Il 3CX Firewall Checker è uno strumento che può essere usato per controllare che il tuo router o firewall permetta il traffico di rete con Provider VoIP, ponti, interni esterni e connessioni 3CX Tunnel. Una configurazione supportata del centralino 3CX richiede che tutte le porte necessarie siano inoltrate una ad una nella LAN verso la macchina del centralino 3CX. Qualsiasi cosa meno di questo è considerata come una configurazione non supportata. Noi useremo un semplice esempio per dimostrare l’uso del 3CX Firewall checker più avanti.
Per far funzionare questo esempio faremo alcune assunzioni:
- La macchina del centralino 3CX ha un indirizzo IP di “192.168.0.100” e che il test è per la porta “9500”.
- L’indirizzo IP pubblico per la tua porta WAN sul tuo dispositivo WAN-to-LAN è “11.22.33.44”, cioè l’indirizzo IP esterno.
Informazioni sull’inoltro delle porte
Fondamentalmente, affinché una porta sia correttamente inoltrata alla macchina del centralino 3CX, ogni pacchetto UDP che proviene dalla macchina PBX e quindi ha, nelle sue intestazioni, la lettura “source IP::Port” “192.168.0.100::5060”, deve raggiungere la sua destinazione finale (tipicamente un servizio Provider VoIP, un interno remoto, o un PBX in bridge) con l’intestazione “source IP::Port” Ethernet che legge “11.22.33.44::5060”. Quindi, in sostanza, anche se l’indirizzo IP deve essere tradotto (in modo che il traffico possa essere instradato attraverso il Cloud Internet), la porta NON deve essere tradotta. Inoltre, qualsiasi pacchetto UDP che proviene dalla WAN con intestazioni Ethernet “destination IP::Port” che leggono “11.22.33.44::5060”, deve raggiungere la macchina del centralino 3CX con le intestazioni Ethernet “destination IP::Port” che leggono “192.168.0.100::5060”.
Il 3CX Firewall Checker può essere usato per determinare se le mappature delle porte sono configurate correttamente e anche fornire ulteriori informazioni che potrebbero aiutarti a configurare correttamente il tuo firewall.
Eseguire il 3CX Firewall Checker
Per eseguire il 3CX Firewall Checker, accedi alla console di gestione 3CX usando le tue credenziali e:
- Nella “Dashboard” clicca su “Firewall Check”, nella sezione “PBX Status”.
- Clicca su “Run” per avviare il controllo del firewall.
Una volta che il Firewall Checker si avvia, verranno eseguiti dei test di rete e a seconda della configurazione del tuo firewall o dispositivo di confine, i risultati forniti includono informazioni su cosa puoi fare per risolvere il problema.
📄 Note:
- Importante: Avviare il Firewall Checker fermerà tutti i servizi 3CX. Il PBX non sarà disponibile per la durata dei test. I test durano 1 secondo per ogni porta controllata se i test hanno successo o tra 5 e 10 secondi se la porta fallisce il controllo. Per impostazione predefinita, il firewall checker controlla le porte nell’intervallo 9000 – 10999. Se tutto è configurato correttamente, i test dovrebbero richiedere meno di un minuto. Se ci sono problemi con tutte le porte, il test può durare dai 4 ai 9 minuti. Avete anche la possibilità di annullare il test.
- Il Firewall Checker richiede al server STUN configurato in “Impostazioni” > “Rete” > scheda “IP pubblico”, di effettuare connessioni ad esso e sulle porte da controllare. Alcuni firewall potrebbero rilevare un port scan poiché le porte sono controllate in modo sequenziale. Quando questo accade, il 3CX Firewall Checker inizierà a segnalare problemi dopo che le prime porte sono state controllate. Se questo accade potresti voler disabilitare il controllo del port scan sul tuo firewall mentre esegui il 3CX Firewall Checker.
3CX Firewall Checker Tests
Il firewall checker controllerà la connettività facendo varie richieste ai server STUN. Il firewall checker esegue i seguenti due test:
Test 1 – Internet Reachability Test
Questo test controlla che il PBX 3CX sia in grado di comunicare con il server STUN in esecuzione su internet dalla porta controllata. Questo test eseguirà anche un controllo di risoluzione DNS se l’hostname del server STUN è specificato. Questo test controlla la connettività di base a Internet e che il server STUN sia raggiungibile.
Controlla quanto segue se ottieni un fallimento nel test 1:
- Potresti avere un problema generale di connessione a Internet. Per confermarlo, apri un browser sul server, e controlla che tu possa connetterti ad internet andando su un sito web.
- Potresti aver bisogno di configurare il tuo firewall per permettere le connessioni dalla macchina che esegue il centralino 3CX ad internet sulla porta controllata. Controlla le porte usate dal centralino 3CX.
- Il tuo firewall potrebbe aver bisogno di essere configurato per permettere entrambe le connessioni alla porta controllata sia su TCP che su UDP. Ancora una volta, controlla le porte usate dal centralino 3CX.
- Questo test fallirà se il server STUN non è disponibile. Conferma che le impostazioni del server STUN in “Impostazioni” > “Rete” > “IP pubblico” sono corrette o usa un diverso server STUN per il test.
- Confermare la porta utilizzata dal server STUN. Il server STUN potrebbe essere in esecuzione su una porta diversa.
- Oltre al dispositivo da WAN a LAN (router o firewall), dovresti anche controllare che il firewall di Windows installato sulla macchina locale permetta le connessioni sulle porte da controllare. Gli antivirus e altri software anti-malware sono noti per interferire con questo processo. Sarà necessario disabilitare o disinstallare questi per confermare. Nota: Disabilitare questi programmi antimalware potrebbe non essere sufficiente per superare i test.
- Il tuo ISP potrebbe bloccare il traffico nella porta controllata.
Test 2 – Test di Port Forwarding Uno a Uno (a.k.a. Connessione in entrata)
In questo test, il firewall checker prova a determinare se un server su internet è capace di connettersi e comunicare con il centralino 3CX sulla porta controllata. Questo determina se il port forwarding (conosciuto anche come Full Cone Nat) è configurato come richiesto dal PBX 3CX nelle impostazioni del firewall.
Per questo test, il 3CX Firewall Checker invierà una richiesta al server STUN dalla porta controllata, e richiederà al server STUN di fare una connessione al PBX da un diverso indirizzo IP sulla porta controllata.
Se il test 1 ha successo, ma il test 2 fallisce, dovresti controllare quanto segue:
- Il tuo dispositivo da WAN a LAN (firewall o router) ha un port forwarding statico e uno a uno configurato per le porte da controllare.
- Alcune porte hanno bisogno di un port mapping statico configurato sia per TCP che UDP. Ancora una volta, controlla questo post del blog che documenta le porte usate dal sistema telefonico 3CX.
Risultati / Messaggi di errore
Questa sezione fornisce una lista di risultati / errori che possono essere restituiti dal Firewall Checker.
“Successo – Il port forwarding è correttamente implementato per questa porta. Il VoIP può funzionare. Questa configurazione è supportata.”
Tutti i test sono stati completati con successo. Il tuo dispositivo da WAN a LAN (firewall / router) consente le connessioni a Internet sulla porta specificata ed esegue correttamente il port forwarding uno a uno. Questa configurazione è supportata.
“Il server STUN non ha un secondo indirizzo.”
Ottieni questo messaggio di errore quando stai usando un server STUN configurato male. Il server STUN deve avere 2 indirizzi. Avrai bisogno di usare un diverso server STUN per questi test.
- Entra nella console di gestione 3CX.
- Clicca su “Impostazioni” > “Rete” > “IP pubblico”.
- Trova la sezione “Configurazione IP esterno” e configura uno dei seguenti stun server: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
“Failed – No response received or port mapping is closed. Port forwarding non configurato correttamente.”
Port Forwarding non è configurato correttamente per la porta controllata. In questo caso i provider VoIP e le estensioni remote NON FUNZIONANO. Accedi al tuo router / firewall e configura il port forwarding inserendo le porte richieste dal 3CX e inoltrandole all’indirizzo IP della macchina del centralino 3CX.
“Failed – Firewall check failed. Sono stati rilevati alcuni errori. Per favore controlla la tua configurazione del firewall e prova di nuovo il test.”
Tu riceverai questo messaggio se alcune porte passano i test e altre no. Dovrete indagare su quali porte non hanno superato il test e controllare il port forwarding per quelle porte. Assicurati anche che il firewall/router non stia inoltrando le connessioni sulla porta specifica ad un altro indirizzo IP. Le porte dovrebbero essere inoltrate all’indirizzo IP del centralino 3CX.
“Fallito – Risposta malformata ricevuta – (aka Symmetric NAT). Port forwarding non correttamente implementato.”
La risposta che abbiamo ricevuto dal server STUN indica che non hai un NAT uno a uno (Full cone NAT). Il sistema telefonico 3CX richiede un port forwarding 1 a 1 in entrata e in uscita, per i Provider VoIP, i ponti e gli interni esterni per lavorare.
“Il server STUN non ha risposto o il port forwarding non è configurato sul tuo firewall.”
Il server STUN usato per questo test non ha risposto. Possibili ragioni potrebbero essere:
- Il server STUN non è raggiungibile.
- Il server STUN è giù.
- Il port forwarding non è configurato correttamente.
“L’indirizzo del server STUN non può essere risolto.”
La risoluzione DNS usata per risolvere l’indirizzo IP del server STUN non è riuscita. Questo potrebbe essere un problema di DNS, o il server STUN ha cessato del tutto le operazioni.
“Failed – Malformed o nessuna risposta ricevuta dai server STUN configurati. Controlla la tua connessione internet, le impostazioni DNS, o cambia i server STUN da Impostazioni > Rete > sezione Configurazione IP esterno.”
Se ricevi questo messaggio controlla che il port forwarding sia correttamente implementato. Il vostro firewall potrebbe bloccare i pacchetti. Controlla questo articolo su come configurare il port forwarding statico.
“Fallito – La porta è in uso da un’altra applicazione su questo computer”. OPPURE “La porta SIP è in uso dal processo {0}. Il 3CX Firewall checker richiede che la porta SIP sia libera.”
La porta necessaria per questo test è attualmente in uso da un’altra applicazione installata sul computer. Per determinare il processo che sta usando sulla porta specificata, esegui il seguente comando nel prompt dei comandi:
netstat -ano | findstr /I /C: “PID” /C:”:9500″
Sostituisci 9500 con il numero della porta che devi controllare. Troverai l’id del processo che è in ascolto sulla porta specificata nella colonna PID. Usa questo numero per identificare il processo usando il Task Manager o eseguendo il seguente comando nel prompt dei comandi:
tasklist /fi “pid eq 4”
Sostituisci 4 con il PID identificato precedentemente.
“I server STUN non sono raggiungibili. Impossibile eseguire il controllo Firewall. Questa configurazione non è supportata”
I server STUN configurati nella sezione “Network” > “External IP Configuration” non sono raggiungibili. La causa più probabile è solitamente un problema di connettività internet:
- Entra nella console di gestione 3CX.
- Clicca su “Impostazioni” > “Rete”.
- Vai alla sezione “Configurazione IP esterno” e cambia i server STUN in uno dei seguenti che sono ospitati dalla 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.