Vianmääritys etälaajennusten ja VoIP-palveluntarjoajien kanssa 3CX-palomuurin tarkistusohjelman avulla
Esittely 3CX-palomuurin tarkistusohjelmaan
3CX-palomuurin tarkistusohjelma on työkalu, jolla voidaan tarkistaa, että reitittimesi tai palomuurisi sallii verkkoliikenteen VoIP-palveluntarjoajilla, silloilla, ulkoisilla lisälaajennuksilla ja 3CX:n tunneliyhteyksillä. Tuettu 3CX-puhelinjärjestelmän kokoonpano edellyttää, että kaikki tarvittavat portit ohjataan yksitellen lähiverkkoon kohti 3CX-puhelinjärjestelmän konetta. Kaikkea tätä pienempää pidetään tukemattomana konfiguraationa. Käytämme yksinkertaista esimerkkiä havainnollistaaksemme 3CX-palomuurin tarkistusohjelman käyttöä jäljempänä.
Jotta tämä esimerkki toimisi, teemme joitakin oletuksia:
- 3CX-puhelinjärjestelmän koneen IP-osoite on ”192.168.0.100” ja että testi koskee porttia ”9500”.
- WAN-to-LAN-laitteen WAN-portin julkinen IP-osoite on ”11.22.33.44” eli ulkoinen IP-osoite.
Portin välitystiedot
Periaatteessa, jotta portti voidaan välittää oikein 3CX-puhelinjärjestelmän laitteeseen, kaikki UDP-paketit, jotka ovat peräisin PBX-laitteesta ja joiden otsikoissa on näin ollen ”lähde-IP::portti” lukemassa ”192.168.0.100::5060”, sen on saavuttava lopulliseen määränpäähänsä (tyypillisesti VoIP-palveluntarjoajan palveluun, etäliityntäpäätteeseen tai siltaavaan PBX-laitteistoon) siten, että Ethernetin ”lähde-IP::portti”-otsikoissa lukee ”11.22.33.44::5060”. Vaikka IP-osoite on käännettävä (jotta liikenne voidaan reitittää Internet-pilven yli), porttia EI saa kääntää. Lisäksi minkä tahansa WANista tulevan UDP-paketin, jonka Ethernet-otsikon ”kohde-IP::portti” on ”11.22.33.44::5060”, on saavuttava 3CX-puhelinjärjestelmäkoneeseen, jonka Ethernet-otsikon ”kohde-IP::portti” on ”192.168.0.100::5060”.
3CX-palomuurin tarkistusohjelman avulla voidaan määrittää, onko porttikuvioinnit määritetty oikein, ja antaa myös lisätietoja, jotka voivat auttaa palomuurin määrittämisessä oikein.
3CX-palomuurin tarkistusohjelman suorittaminen
Käyttääksesi 3CX-palomuurin tarkistusohjelmaa kirjaudu 3CX-hallintakonsoliin tunnuksillasi ja:
- Napsauta ”Dashboard”-kohdassa ”Firewall Check” (Palomuurin tarkistus) kohdassa ”PBX Status” (PBX-tila).
- Käynnistä palomuurin tarkistus napsauttamalla ”Suorita”.
Palomuurin tarkistuksen käynnistyttyä suoritetaan verkkotestejä, ja palomuurin tai rajalaitteen konfiguraatiosta riippuen annetut tulokset sisältävät tietoja siitä, mitä voit tehdä ongelman korjaamiseksi/vianetsimiseksi.
📄 Huomautuksia:
- Tärkeää: Palomuurin tarkistuksen käynnistäminen pysäyttää kaikki 3CX-palvelut. PBX ei ole käytettävissä testien ajan. Testit kestävät 1 sekunnin kutakin tarkistettua porttia kohden, jos testit onnistuvat, tai 5-10 sekuntia, jos portti ei läpäise porttitarkastusta. Oletusarvoisesti palomuurin tarkistusohjelma tarkistaa portit alueella 9000 – 10999. Jos kaikki on määritetty oikein, testien pitäisi kestää alle minuutin. Jos kaikissa porteissa on ongelmia, testi voi kestää 4-9 minuuttia. Sinulla on myös mahdollisuus peruuttaa testi.
- Palomuurin tarkistus pyytää ”Asetukset” > ”Verkko” > ”Julkinen IP” -välilehdellä määritettyä STUN-palvelinta muodostamaan yhteydet siihen ja tarkistettaviin portteihin. Jotkin palomuurit saattavat havaita porttitarkistuksen, koska portit tarkistetaan peräkkäin. Kun näin tapahtuu, 3CX Firewall Checker alkaa raportoida ongelmista sen jälkeen, kun muutama ensimmäinen portti on tarkistettu. Jos näin käy, sinun kannattaa ehkä poistaa porttintarkastuksen tarkistus palomuurissasi, kun käytät 3CX Firewall Checker -ohjelmaa.
3CX-palomuurin tarkistusohjelman testit
Palomuurin tarkistusohjelma tarkistaa yhteydet tekemällä erilaisia pyyntöjä STUN-palvelimille. Palomuurin tarkastaja suorittaa seuraavat kaksi testiä:
Testi 1 – Internetin tavoitettavuustesti
Tässä testissä tarkistetaan, että 3CX PBX pystyy kommunikoimaan Internetissä toimivan STUN-palvelimen kanssa tarkistettavasta portista. Tämä testi suorittaa myös DNS-resoluutiotarkastuksen, jos STUN-palvelimen isäntänimi on määritetty. Tällä testillä tarkistetaan perusyhteys internetiin ja se, että STUN-palvelin on tavoitettavissa.
Tarkista seuraavat asiat, jos testi 1 epäonnistuu:
- Sinulla saattaa olla yleinen ongelma yhteyden muodostamisessa internetiin. Varmista tämä avaamalla selain palvelimella ja tarkistamalla, että voit muodostaa yhteyden Internetiin menemällä verkkosivustolle.
- Sinun on ehkä määritettävä palomuurisi siten, että se sallii yhteydet 3CX Phone System -järjestelmää käyttävältä koneelta Internetiin tarkistettavassa portissa. Tarkista 3CX Phone Systemin käyttämät portit.
- Palomuuri on ehkä määritettävä sallimaan sekä TCP- että UDP-yhteydet tarkistettavaan porttiin. Tarkista jälleen kerran 3CX Phone Systemin käyttämät portit.
- Tämä testi epäonnistuu, jos STUN-palvelin ei ole käytettävissä. Varmista, että STUN-palvelimen asetukset kohdassa ”Asetukset” > ”Verkko” > ”Julkinen IP” ovat oikein, tai käytä testaukseen toista STUN-palvelinta.
- Vahvista STUN-palvelimen käyttämä portti. STUN-palvelin saattaa käyttää eri porttia.
- WAN-LAN-laitteen (reititin tai palomuuri) lisäksi kannattaa tarkistaa, että paikalliseen koneeseen asennettu Windows-palomuuri sallii yhteydet tarkistettaviin portteihin. Virustorjunta- ja muiden haittaohjelmien torjuntaohjelmistojen tiedetään häiritsevän tätä prosessia. Sinun on poistettava ne käytöstä tai asennettava ne pois varmistaaksesi asian. Huomautus: Näiden haittaohjelmien torjuntaohjelmien poistaminen käytöstä ei välttämättä riitä testien läpäisemiseen.
- Palveluntarjoajasi saattaa estää liikennettä tarkistettavassa portissa.
Testi 2 – One on One Port Forwarding (a.k.a. Inbound Connection) -testi
Tässä testissä palomuurin tarkistusohjelma yrittää määrittää, pystyykö internetissä oleva palvelin muodostamaan yhteyden ja kommunikoimaan 3CX-puhelinjärjestelmän kanssa tarkistettavassa portissa. Tällä määritetään, onko porttien yksi yhteen välitys (tunnetaan myös nimellä Full Cone Nat) määritetty 3CX-puhelinlaitteiston vaatimalla tavalla palomuurin asetuksissa.
Tässä testissä 3CX-palomuurin tarkistaja lähettää pyynnön STUN-palvelimelle tarkistettavasta portista ja pyytää STUN-palvelinta muodostamaan yhteyden puhelinlaitteistoon eri IP-osoitteesta tarkistettavassa portissa.
Jos testi 1 onnistuu, mutta testi 2 epäonnistuu, kannattaa tarkistaa seuraavat asiat:
- WAN-LAN-laitteessasi (palomuurissa tai reitittimessä) on määritetty staattinen, yksi yhteen -portin välitys tarkistettaville porteille.
- Joihinkin portteihin on määritettävä staattinen porttikuvaus sekä TCP:lle että UDP:lle. Tarkista jälleen kerran tämä blogikirjoitus, jossa dokumentoidaan 3CX-puhelinjärjestelmän käyttämät portit.
Tulokset / virheilmoitukset
Tässä osiossa on luettelo tuloksista / virheistä, jotka palomuurin tarkistus voi palauttaa.
”Onnistui – Portin edelleenlähetys on toteutettu oikein tämän portin osalta. VoIP voi toimia. Tämä kokoonpano on tuettu.”
Kaikki testit on suoritettu onnistuneesti. WAN-LAN-laitteesi (palomuuri/reititin) sallii yhteydet internetiin määritellyssä portissa ja suorittaa porttien välityksen yhdestä yhteen oikein. Tätä kokoonpanoa tuetaan.”
”STUN-palvelimella ei ole toista osoitetta.”
Saat tämän virheilmoituksen, kun käytät väärin määritettyä STUN-palvelinta. STUN-palvelimella on oltava 2 osoitetta. Sinun on käytettävä eri STUN-palvelinta näissä testeissä.
- Kirjaudu sisään 3CX Management Consoleen.
- Klikkaa ”Asetukset” > ”Verkko” > ”Julkinen IP”.
- Etsi ”External IP Configuration” -osio ja määritä jokin seuraavista stun-palvelimista: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
”Epäonnistui – Vastausta ei saatu tai porttikuvaus on suljettu. Port forwarding not configured correctly.”
Port Forwarding ei ole määritetty oikein tarkistettavalle portille. Tässä tapauksessa VoIP-palveluntarjoajat ja etäliitännät EIVÄT TOIMI. Kirjaudu sisään reitittimeen / palomuuriin ja määritä porttien välitys syöttämällä 3CX:n tarvitsemat portit ja välittämällä ne 3CX-puhelinjärjestelmän koneen IP-osoitteeseen.”
”Failed – Firewall check failed. Joitakin virheitä havaittiin. Tarkista palomuurin kokoonpano ja yritä testiä uudelleen.”
Tämä viesti tulee näkyviin, jos jotkin portit läpäisevät testit ja toiset eivät. Sinun on tutkittava, mitkä portit eivät läpäisseet testiä, ja tarkistettava kyseisten porttien porttien välitys. Varmista myös, että palomuuri/reititin ei ohjaa tietyn portin yhteyksiä toiseen IP-osoitteeseen. Portit pitäisi ohjata eteenpäin 3CX-puhelinjärjestelmän IP-osoitteeseen.
”Failed – Malformed response received – (aka Symmetric NAT)”. Port forwarding not correctly implemented.”
STUN-palvelimelta saamamme vastaus osoittaa, että sinulla ei ole yksi yhteen NAT:ia (Full cone NAT). 3CX-puhelinjärjestelmä edellyttää 1:1 portin välitystä saapuviin ja lähteviin portteihin, jotta VoIP-palveluntarjoajat, sillat ja ulkoiset laajennukset voivat toimia.”
”STUN-palvelin ei vastannut tai portin välitystä ei ole määritetty palomuurissasi.”
Testissä käytetty STUN-palvelin ei vastannut. Mahdollisia syitä voivat olla:
- STUN-palvelin ei ole tavoitettavissa.
- STUN-palvelin on alhaalla.
- Portin välitystä ei ole määritetty oikein.
”STUN-palvelimen osoitetta ei voida määrittää.”
STUN-palvelimen IP-osoitteen määrittämiseen käytetty DNS-selitys epäonnistui. Kyseessä voi olla DNS-ongelma, tai STUN-palvelin on lopettanut toimintansa kokonaan.”
”Failed – Virheellinen tai ei saatu vastausta määritetyiltä STUN-palvelimilta.”. Tarkista internetyhteys, DNS-asetukset tai vaihda STUN-palvelimet kohdasta Asetukset > Verkko > Ulkoisen IP:n konfigurointi.”
Jos saat tämän viestin, tarkista, että portin välitys on otettu oikein käyttöön. Palomuurisi saattaa estää paketteja. Tutustu tähän artikkeliin, jossa kerrotaan, miten staattinen portinohjaus määritetään.”
”Epäonnistui – Portti on toisen sovelluksen käytössä tällä tietokoneella.” TAI ”SIP-portti on prosessin {0} käytössä. 3CX-palomuurin tarkistusohjelma edellyttää, että SIP-portti on vapaa.”
Tässä testissä tarvittava portti on tällä hetkellä toisen tietokoneeseen asennetun sovelluksen käytössä. Voit määrittää määritettyä porttia käyttävän prosessin suorittamalla seuraavan komennon komentorivillä:
netstat -ano | findstr /I /C: ”PID” /C:”:9500″
Korvaa 9500 sillä porttinumerolla, jonka haluat tarkistaa. PID-sarakkeesta löydät sen prosessin tunnuksen, joka kuuntelee määritettyä porttia. Tämän numeron avulla voit tunnistaa prosessin Tehtävienhallinnan avulla tai suorittamalla seuraavan komennon komentorivillä:
tasklist /fi ”pid eq 4”
Korvaa 4 aiemmin tunnistetulla PID:llä.
”STUN-palvelimia ei ole tavoitettavissa.”. Ei voida suorittaa palomuurin tarkistusta. Tätä kokoonpanoa ei tueta.”
”Verkko”> ”Ulkoinen IP-konfiguraatio”-osiossa määritettyjä STUN-palvelimia ei voida tavoittaa. Todennäköisin syy on yleensä Internet-yhteysongelma:
- Kirjaudu sisään 3CX Management Console -konsoliin.
- Napsauta ”Settings” > ”Network”.
- Siirry kohtaan ”External IP Configuration” (Ulkoinen IP-konfiguraatio) ja vaihda STUN-palvelimet johonkin seuraavista, joita 3CX isännöi: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.