Rozwiązywanie problemów ze zdalnymi rozszerzeniami i dostawcami VoIP za pomocą narzędzia 3CX Firewall Checker
Wprowadzenie do narzędzia 3CX Firewall Checker
Sprawdzanie zapory 3CX Firewall Checker jest narzędziem, które może być używane do sprawdzania, czy router lub zapora zezwala na ruch sieciowy z dostawcami VoIP, mostami, rozszerzeniami zewnętrznymi i połączeniami 3CX Tunnel. Wspierana konfiguracja systemu telefonicznego 3CX wymaga, aby wszystkie niezbędne porty były przekierowywane jeden na jeden do sieci LAN w kierunku systemu telefonicznego 3CX. W przeciwnym wypadku konfiguracja jest uznawana za nieobsługiwaną. Aby ten przykład działał, przyjmiemy kilka założeń:
- System telefoniczny 3CX ma adres IP „192.168.0.100”, a test dotyczy portu „9500”.
- Publiczny adres IP dla portu WAN w urządzeniu WAN-to-LAN to „11.22.33.44”, tj. zewnętrzny adres IP.
Informacje o przekazywaniu portów
Podstawowo, aby port został prawidłowo przekazany do urządzenia 3CX Phone System, każdy pakiet UDP, który pochodzi z PBX i dlatego ma w nagłówkach „źródłowy IP::Port” o wartości „192.168.0.100::5060”, musi dotrzeć do miejsca docelowego (zazwyczaj jest to usługa VoIP Provider, zdalne rozszerzenie lub zmostkowana centrala PBX) z nagłówkami Ethernet „source IP::Port” o wartości „11.22.33.44::5060”. Tak więc w istocie, nawet jeśli adres IP musi być przetłumaczony (aby ruch mógł być kierowany przez Internet Cloud), port NIE może być przetłumaczony. Ponadto, każdy pakiet UDP pochodzący z sieci WAN z nagłówkami Ethernet „destination IP::Port” o wartości „11.22.33.44::5060”, musi dotrzeć do urządzenia 3CX Phone System z nagłówkami Ethernet „destination IP::Port” o wartości „192.168.0.100::5060”.
Sprawdzanie zapory 3CX może być użyte do określenia, czy mapowania portów są skonfigurowane prawidłowo, a także dostarczyć dodatkowych informacji, które mogą pomóc w prawidłowym skonfigurowaniu zapory.
Uruchamianie programu 3CX Firewall Checker
Aby uruchomić program 3CX Firewall Checker, zaloguj się do konsoli 3CX Management Console przy użyciu swoich danych uwierzytelniających i:
- W „Dashboard” kliknij „Firewall Check”, w sekcji „PBX Status”.
- Kliknij przycisk „Uruchom”, aby rozpocząć sprawdzanie zapory.
Po uruchomieniu programu Firewall Checker zostaną przeprowadzone testy sieciowe i w zależności od konfiguracji zapory lub urządzenia granicznego dostarczone wyniki zawierają informacje o tym, co można zrobić, aby rozwiązać problem.
📄 Uwagi:
- Ważne: Uruchomienie programu Firewall Checker spowoduje zatrzymanie wszystkich usług 3CX. Centrala nie będzie dostępna przez cały czas trwania testów. Testy trwają 1 sekundę dla każdego sprawdzanego portu, jeśli zakończą się powodzeniem, lub od 5 do 10 sekund, jeśli port nie przejdzie kontroli. Domyślnie firewall sprawdza porty z zakresu 9000 – 10999. Jeśli wszystko jest skonfigurowane poprawnie, testy powinny trwać mniej niż minutę. Jeśli występują problemy ze wszystkimi portami, test może potrwać od 4 do 9 minut. Masz również możliwość anulowania testu.
- Firewall Checker prosi serwer STUN skonfigurowany w zakładce „Settings” > „Network” > „Public IP” o wykonanie połączeń do niego i na sprawdzane porty. Niektóre firewalle mogą wykryć skanowanie portów, ponieważ porty są sprawdzane sekwencyjnie. W takim przypadku program 3CX Firewall Checker zacznie zgłaszać problemy po sprawdzeniu kilku pierwszych portów. Jeśli tak się stanie, możesz wyłączyć sprawdzanie skanowania portów w zaporze podczas uruchamiania programu 3CX Firewall Checker.
3CX Firewall Checker Tests
Sprawdzacz zapory sprawdza łączność, wykonując różne żądania do serwerów STUN. Firewall checker wykonuje następujące dwa testy:
Test 1 – Internet Reachability Test
Test ten sprawdza, czy centrala 3CX PBX jest w stanie komunikować się z serwerem STUN działającym w Internecie na sprawdzanym porcie. Test ten wykona również sprawdzenie rozdzielczości DNS, jeśli podana jest nazwa hosta serwera STUN. Ten test sprawdza podstawową łączność z Internetem oraz to, czy serwer STUN jest osiągalny.
Sprawdź następujące rzeczy, jeśli test 1 zakończył się niepowodzeniem:
- Możesz mieć ogólny problem z połączeniem z Internetem. Aby to potwierdzić, otwórz przeglądarkę na serwerze i sprawdź, czy możesz połączyć się z Internetem, wchodząc na stronę internetową.
- Być może trzeba będzie skonfigurować zaporę sieciową, aby zezwalała na połączenia z komputera z systemem 3CX Phone System do Internetu na sprawdzanym porcie. Sprawdź porty używane przez system 3CX Phone System.
- Twoja zapora może wymagać konfiguracji, aby zezwolić na oba połączenia do sprawdzanego portu zarówno na TCP jak i UDP. Ponownie sprawdź Porty używane przez 3CX Phone System.
- Ten test nie powiedzie się, jeśli serwer STUN nie jest dostępny. Potwierdź, że ustawienia serwera STUN w „Settings” > „Network” > „Public IP” są prawidłowe lub użyj innego serwera STUN do testu.
- Potwierdź, jaki port jest używany przez serwer STUN. Serwer STUN może być uruchomiony na innym porcie.
- Oprócz urządzenia WAN do LAN (router lub firewall), należy również sprawdzić, czy Windows Firewall zainstalowany na lokalnym komputerze zezwala na połączenia na sprawdzanych portach. Programy antywirusowe i inne programy typu anti-malware mogą zakłócać ten proces. Aby to potwierdzić, należy je wyłączyć lub odinstalować. Uwaga: Wyłączenie tych programów antymalware może nie wystarczyć do przejścia testów.
- Twój dostawca usług internetowych może blokować ruch na sprawdzanym porcie.
Test 2 – One on One Port Forwarding (a.k.a. Inbound Connection) Test
W tym teście zapora próbuje określić, czy serwer w Internecie jest w stanie połączyć się i komunikować z 3CX Phone System na sprawdzanym porcie. To określa, czy przekierowanie portów jeden do jednego (znane również jako Full Cone Nat) jest skonfigurowane zgodnie z wymaganiami centrali 3CX PBX w ustawieniach zapory.
W tym teście program 3CX Firewall Checker wyśle żądanie do serwera STUN ze sprawdzanego portu i poprosi serwer STUN o nawiązanie połączenia z centralą z innego adresu IP na sprawdzanym porcie.
Jeśli test 1 się powiedzie, ale test 2 się nie powiedzie, powinieneś sprawdzić co następuje:
- Twoje urządzenie WAN do LAN (firewall lub router) ma statyczne, jeden do jednego przekierowanie portów skonfigurowane dla sprawdzanych portów.
- Niektóre porty wymagają statycznego mapowania portów skonfigurowanego zarówno dla TCP jak i UDP. Po raz kolejny, sprawdź ten wpis na blogu, który dokumentuje porty używane przez 3CX Phone System.
Wyniki / Komunikaty o błędach
Ta sekcja zawiera listę wyników / błędów, które mogą być zwrócone przez Firewall Checker.
„Success – Port forwarding is correctly implemented for this port. VoIP może działać. Ta konfiguracja jest obsługiwana.”
Wszystkie testy zakończyły się sukcesem. Twoje urządzenie WAN to LAN (firewall / router) pozwala na połączenia z Internetem na podanym porcie i poprawnie wykonuje przekierowanie portów jeden do jednego. Ta konfiguracja jest obsługiwana.
„Serwer STUN nie ma drugiego adresu.”
Ten komunikat o błędzie otrzymasz, gdy używasz nieprawidłowo skonfigurowanego serwera STUN. Serwer STUN musi mieć 2 adresy. Będziesz musiał użyć innego serwera STUN do tych testów.
- Zaloguj się do konsoli 3CX Management Console.
- Kliknij na „Settings” > „Network” > „Public IP”.
- Znajdź sekcję „External IP Configuration” i skonfiguruj jeden z następujących serwerów stun: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
„Failed – No response received or port mapping is closed. Port forwarding not configured correctly.”
Port Forwarding nie jest poprawnie skonfigurowany dla sprawdzanego portu. W tym przypadku operatorzy VoIP i zdalne rozszerzenia NIE BĘDĄ DZIAŁAĆ. Zaloguj się do routera / zapory i skonfiguruj przekierowanie portów, wprowadzając porty wymagane przez 3CX i przekierowując je na adres IP urządzenia 3CX Phone System.
„Failed – Firewall check failed. Wykryto pewne błędy. Proszę sprawdzić konfigurację zapory i ponowić próbę.”
Otrzymasz ten komunikat, jeśli niektóre porty przejdą testy, a inne nie. Będziesz musiał sprawdzić, które porty nie przeszły testu i sprawdzić przekierowanie portów dla tych portów. Upewnij się również, że firewall / router nie przekierowuje połączeń na danym porcie na inny adres IP. Porty powinny być przekierowane na adres IP systemu 3CX Phone System.
„Failed – Malformed response received – (aka Symmetric NAT). Port forwarding not correctly implemented.”
Odpowiedź, którą otrzymaliśmy z serwera STUN wskazuje, że nie posiadasz NAT jeden do jednego (Full cone NAT). System 3CX Phone wymaga przekierowania portów 1 do 1 w kierunku przychodzącym i wychodzącym, aby dostawcy VoIP, mosty i zewnętrzne rozszerzenia mogły działać.
„Serwer STUN nie odpowiedział lub przekierowanie portów nie jest skonfigurowane na Twojej zaporze sieciowej.”
Serwer STUN użyty do tego testu nie odpowiedział. Możliwe przyczyny mogą być następujące:
- Serwer STUN nie jest osiągalny.
- Serwer STUN jest wyłączony.
- Przekierowanie portów nie jest skonfigurowane prawidłowo.
„STUN server address cannot be resolved.”
Rozdzielczość DNS użyta do rozwiązania adresu IP serwera STUN nie powiodła się. Może to być problem z DNS lub serwer STUN przestał w ogóle działać.
„Failed – Malformed or no response received from configured STUN servers. Sprawdź połączenie internetowe, ustawienia DNS, lub zmień serwery STUN w sekcji Settings > Network > External IP Configuration.”
Jeśli otrzymasz ten komunikat sprawdź, czy przekierowanie portów jest poprawnie zaimplementowane. Twój firewall może blokować pakiety. Sprawdź w tym artykule, jak skonfigurować statyczne przekierowanie portów.
„Failed – Port jest używany przez inną aplikację na tym komputerze.” OR „Port SIP jest używany przez proces {0}. Program 3CX Firewall checker wymaga, aby port SIP był wolny.”
Port potrzebny do tego testu jest obecnie używany przez inną aplikację zainstalowaną na komputerze. Aby określić proces, który jest używany na określonym porcie, uruchom następujące polecenie w wierszu poleceń:
netstat -ano | findstr /I /C: „PID” /C:”:9500″
Zamień 9500 na numer portu, który musisz sprawdzić. W kolumnie PID znajdziesz id procesu, który nasłuchuje na podanym porcie. Użyj tego numeru do identyfikacji procesu za pomocą Menedżera zadań lub wykonując następujące polecenie w wierszu poleceń:
tasklist /fi „pid eq 4”
Zastąp 4 identyfikatorem PID zidentyfikowanym wcześniej.
„STUN servers are not reachable. Nie można wykonać sprawdzenia Firewall. This configuration is not supported”
Nie można osiągnąć serwerów STUN skonfigurowanych w sekcji „Network” > „External IP Configuration”. Najbardziej prawdopodobną przyczyną jest zazwyczaj problem z połączeniem internetowym:
- Zaloguj się do konsoli 3CX Management Console.
- Kliknij na „Ustawienia” > „Sieć”.
- Przejdź do sekcji „External IP Configuration” i zmień serwery STUN na jeden z następujących, które są hostowane przez 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.