Troubleshooting van externe extensies en VoIP-providers met behulp van de 3CX Firewall Checker
Inleiding tot de 3CX Firewall Checker
De 3CX Firewall Checker is een hulpmiddel dat kan worden gebruikt om te controleren of uw router of firewall netwerkverkeer met VoIP-providers, bruggen, externe extensies en 3CX Tunnelverbindingen toestaat. Een ondersteunde 3CX Phone System configuratie vereist dat alle noodzakelijke poorten één-op-één worden doorgestuurd naar het LAN naar de 3CX Phone system machine. Alles minder dan dat en het wordt beschouwd als een niet-ondersteunde configuratie. We zullen een eenvoudig voorbeeld gebruiken om het gebruik van de 3CX Firewall checker verderop te demonstreren.
Om dit voorbeeld te laten werken zullen we een aantal aannames doen:
- De 3CX Phone System machine heeft een IP adres van “192.168.0.100” en dat de test voor poort “9500” is.
- Het publieke IP-adres voor uw WAN-poort op uw WAN-to-LAN-apparaat is “11.22.33.44”, d.w.z. het externe IP-adres.
Port forwarding informatie
Basically, for a port to be correctly forwarded to the 3CX Phone System machine, any UDP packet that originates from the PBX machine and therefore has, in its headers, the “source IP::Port” reading “192.168.0.100::5060”, moet zijn eindbestemming bereiken (typisch een VoIP Provider dienst, een extensie op afstand, of een gebridgde PBX) met in de Ethernet “source IP::Port” headers de waarde “11.22.33.44::5060”. Dus in wezen, ook al moet het IP Adres worden vertaald (zodat het verkeer over de Internet Cloud kan worden geleid), moet de poort NIET worden vertaald. Verder moet elk UDP pakket dat afkomstig is van het WAN met Ethernet headers “destination IP::Port” lezen “11.22.33.44::5060”, de 3CX telefoonsysteem machine bereiken met de Ethernet “destination IP::Port” headers lezen “192.168.0.100::5060”.
De 3CX Firewall Checker kan worden gebruikt om te bepalen of de poorttoewijzingen correct zijn geconfigureerd en levert tevens aanvullende informatie die u kan helpen uw firewall correct te configureren.
Het uitvoeren van de 3CX Firewall Checker
Om de 3CX Firewall Checker uit te voeren, logt u in op de 3CX Management Console met uw inloggegevens en:
- Klik in het “Dashboard” op “Firewall Check”, in de sectie “PBX Status”.
- Klik op “Uitvoeren” om de firewall-controle te starten.
Als de firewall-checker eenmaal is gestart, worden er netwerktests uitgevoerd en afhankelijk van de configuratie van uw firewall of randapparaat bevatten de resultaten informatie over wat u kunt doen om het probleem op te lossen.
📄 Opmerkingen:
- Belangrijk: als u de firewall-checker start, worden alle 3CX-services gestopt. De PBX zal niet beschikbaar zijn voor de duur van de tests. De tests duren 1 seconde voor elke gecontroleerde poort als de tests succesvol zijn, of tussen de 5 en 10 seconden als de poort de poortcontrole niet doorstaat. Standaard controleert de firewall-checker poorten in het bereik 9000 – 10999. Als alles correct is geconfigureerd, zouden de tests minder dan een minuut moeten duren. Als er problemen zijn met alle poorten, kan de test tussen de 4 en 9 minuten duren. U hebt ook de mogelijkheid om de test te annuleren.
- De Firewall Checker vraagt de STUN server geconfigureerd in “Settings” > “Network” > “Public IP” tab, om er verbindingen mee te maken en op de poorten die worden gecontroleerd. Sommige firewalls kunnen een poortscan detecteren omdat de poorten sequentieel worden gecontroleerd. Als dit gebeurt, zal de 3CX Firewall Checker problemen beginnen te rapporteren nadat de eerste paar poorten zijn gecontroleerd. In dat geval kunt u het beste de poortscan-controle op uw firewall uitschakelen terwijl u de 3CX Firewall Checker uitvoert.
3CX Firewall Checker Tests
De firewall checker controleert de connectiviteit door verschillende verzoeken te doen aan de STUN servers. De firewall-checker voert de volgende twee tests uit:
Test 1 – Internet Bereikbaarheidstest
Deze test controleert of de 3CX PBX in staat is te communiceren met de STUN-server die op het internet draait vanaf de poort die wordt gecontroleerd. Deze test voert ook een DNS-resolutiecontrole uit als de hostnaam van de STUN-server is opgegeven. Deze test controleert de basis connectiviteit met het internet en dat de STUN server bereikbaar is.
Controleer het volgende als u een fout krijgt bij test 1:
- Het kan zijn dat u een algemeen probleem heeft met de verbinding met het internet. Om dit te bevestigen, opent u een browser op de server en controleert u of u verbinding kunt maken met het internet door naar een website te gaan.
- Het kan nodig zijn uw firewall zodanig te configureren dat verbindingen vanaf de machine waarop 3CX Phone System draait naar het internet zijn toegestaan op de poort die wordt gecontroleerd. Controleer de poorten die door 3CX Phone System worden gebruikt.
- Mogelijk moet uw firewall zodanig worden geconfigureerd dat zowel TCP- als UDP-verbindingen naar de poort die wordt gecontroleerd, zijn toegestaan. Controleer nogmaals de poorten die door het 3CX Phone System worden gebruikt.
- Deze test zal mislukken als de STUN-server niet beschikbaar is. Controleer of de STUN-serverinstellingen in “Instellingen” > “Netwerk” > “Openbaar IP” correct zijn of gebruik een andere STUN-server om te testen.
- Verifieer de poort die door de STUN-server wordt gebruikt. Het is mogelijk dat de STUN-server op een andere poort draait.
- Behalve het WAN naar LAN apparaat (router of firewall), dient u ook te controleren of de Windows Firewall die op de lokale machine is geïnstalleerd, verbindingen toestaat op de poorten die worden gecontroleerd. Anti-virus, en andere anti-malware software staan erom bekend dat ze dit proces verstoren. U zult deze moeten uitschakelen of de-installeren om dit te bevestigen. Opmerking: Het uitschakelen van deze antimalware programma’s is mogelijk niet voldoende om de tests te doorstaan.
- Uw ISP blokkeert mogelijk verkeer in de poort die wordt gecontroleerd.
Test 2 – Eén op één poort doorsturen (ook wel Inkomende Verbinding genoemd) Test
In deze test probeert het firewall-controleprogramma vast te stellen of een server op het internet verbinding kan maken en kan communiceren met het 3CX Phone System op de poort die wordt gecontroleerd. Dit bepaalt of één op één port forwarding (ook bekend als Full Cone Nat) is geconfigureerd zoals vereist door de 3CX PBX in de firewall instellingen.
Voor deze test stuurt de 3CX Firewall Checker een verzoek naar de STUN server vanaf de poort die wordt gecontroleerd, en verzoekt de STUN server om een verbinding te maken met de PBX vanaf een ander IP adres op de poort die wordt gecontroleerd.
Als test 1 slaagt, maar test 2 mislukt, moet u het volgende controleren:
- Uw WAN naar LAN apparaat (firewall of router) heeft statische, één op één port forwarding geconfigureerd voor de poorten die worden gecontroleerd.
- Voor sommige poorten moet een statische port mapping worden geconfigureerd voor zowel TCP als UDP. Nogmaals, bekijk deze blog post die de poorten gebruikt door 3CX Phone System documenteert.
Resultaten/Foutmeldingen
Dit gedeelte bevat een lijst met resultaten/fouten die door de Firewall Checker kunnen worden geretourneerd.
“Succes – Port forwarding is correct geïmplementeerd voor deze poort. VoIP kan werken. Deze configuratie wordt ondersteund.”
Alle tests zijn met succes afgerond. Uw WAN-naar-LAN-apparaat (firewall / router) staat verbindingen met internet toe op de gespecificeerde poort en voert één-op-één port forwarding correct uit. Deze configuratie wordt ondersteund.
“STUN server heeft geen tweede adres.”
U krijgt deze foutmelding wanneer u een onjuist geconfigureerde STUN server gebruikt. De STUN-server moet 2 adressen hebben. U zult een andere STUN server moeten gebruiken voor deze tests.
- Log in op de 3CX Management Console.
- Klik op “Settings” > “Network” > “Public IP”.
- Zoek de “Externe IP Configuratie” sectie en configureer een van de volgende stun servers: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
“Mislukt – Geen antwoord ontvangen of port mapping is gesloten. Port forwarding niet correct geconfigureerd.”
Port Forwarding is niet correct geconfigureerd voor de poort die wordt gecontroleerd. In dit geval zullen VoIP Providers en Remote extensies NIET WERKEN. Log in op uw router / firewall en configureer port forwarding door de poorten die 3CX nodig heeft in te voeren en door te sturen naar het IP-adres van de 3CX Phone System machine.
“Mislukt – Firewall-controle is mislukt. Er zijn enkele fouten gedetecteerd. Controleer de configuratie van uw firewall en probeer de test opnieuw.”
U krijgt dit bericht als sommige poorten de test wel doorstaan en andere niet. U moet onderzoeken welke poorten de test niet hebben doorstaan en de port forwarding voor die poorten controleren. Zorg er ook voor dat de firewall / router geen verbindingen op de specifieke poort doorstuurt naar een ander IP Adres. De poorten moeten worden doorgestuurd naar het IP-adres van het 3CX Phone System.
“Failed – Malformed response received – (aka Symmetric NAT). Port forwarding niet correct geïmplementeerd.”
Het antwoord dat we van de STUN-server kregen, geeft aan dat u geen één-op-één NAT (Full cone NAT) hebt. Het 3CX Phone systeem vereist een 1 op 1 port forwarding inbound en outbound, voor VoIP Providers, Bridges en externe extensies om te werken.
“STUN server antwoordde niet of port forwarding is niet geconfigureerd op uw firewall.”
De STUN server gebruikt voor deze test antwoordde niet. Mogelijke redenen kunnen zijn:
- STUN server is niet bereikbaar.
- STUN server is down.
- Port forwarding is niet correct geconfigureerd.
“STUN server adres kan niet worden opgelost.”
De DNS resolutie die is gebruikt om het IP adres van de STUN server op te lossen is mislukt. Dit kan een DNS probleem zijn, of de STUN server is helemaal gestopt met werken.
“Mislukt – Misvormde of geen antwoord ontvangen van geconfigureerde STUN servers. Controleer uw internet verbinding, DNS instellingen, of verander STUN servers van Instellingen > Netwerk > Externe IP Configuratie sectie.”
Als u dit bericht krijgt controleer dan of port forwarding correct is geïmplementeerd. Het kan zijn dat uw firewall pakketten blokkeert. Controleer dit artikel over het configureren van statische poort forwarding.
“Mislukt – Poort is in gebruik door een andere toepassing op deze computer.” OR “SIP poort is in gebruik door proces {0}. De 3CX Firewall checker vereist dat de SIP poort vrij is.”
De poort die nodig is voor deze test is momenteel in gebruik door een andere applicatie die op de computer is geïnstalleerd. Om het proces te bepalen dat op de gespecificeerde poort wordt gebruikt, voert u het volgende commando uit in opdrachtprompt:
netstat -ano | findstr /I /C: “PID” /C:”:9500″
Vervang 9500 door het poortnummer dat u moet controleren. U vindt het proces-id van het proces dat luistert op de gespecificeerde poort in de kolom PID. Gebruik dit nummer om het proces te identificeren met behulp van Taakbeheer of door het volgende commando uit te voeren in de opdrachtprompt:
tasklist /fi “pid eq 4”
Vervang 4 door het eerder geïdentificeerde PID.
“STUN-servers zijn niet bereikbaar. Kan Firewall-controle niet uitvoeren. Deze configuratie wordt niet ondersteund”
De STUN-servers die zijn geconfigureerd in de sectie “Netwerk” > “Externe IP-configuratie” kunnen niet worden bereikt. De meest waarschijnlijke oorzaak is meestal een probleem met de internetverbinding:
- Log in de 3CX Management Console.
- Klik op “Instellingen” > “Netwerk”.
- Ga naar de “Externe IP Configuratie” sectie en verander de STUN servers naar een van de volgende die worden gehost door 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.