Processamento de Extensões Remotas e Provedores VoIP Usando o verificador de Firewall 3CX
Introdução ao verificador de Firewall 3CX
O verificador de Firewall 3CX é uma ferramenta que pode ser usada para verificar se o seu roteador ou firewall permite tráfego de rede com Provedores VoIP, Pontes, Extensões Externas e conexões de túnel 3CX. Uma configuração de Sistema Telefônico 3CX suportada requer que todas as portas necessárias sejam encaminhadas um-a-um para a LAN em direção à máquina do Sistema Telefônico 3CX. Qualquer coisa menos que isso e é considerada como uma configuração não suportada. Usaremos um exemplo simples para demonstrar o uso do verificador de Firewall 3CX mais adiante em.
Para que este exemplo funcione, faremos algumas suposições:
- A máquina do Sistema Telefônico 3CX tem um endereço IP de “192.168.0.100” e que o teste é para a porta “9500”.
- O endereço IP público para sua porta WAN em seu dispositivo WAN-to-LAN é “11.22.33.44”, ou seja, o endereço IP externo.
Informações de encaminhamento da porta
Basicamente, para que uma porta seja corretamente encaminhada para a máquina do Sistema Telefônico 3CX, qualquer pacote UDP originado da máquina PBX e, portanto, tem, em seus cabeçalhos, o “IP de origem::Porta” com a leitura “192”.168.0.100::5060″, deve chegar ao seu destino final (tipicamente um serviço de Provedor VoIP, uma extensão remota ou um PABX em ponte) com os cabeçalhos Ethernet “source IP::Port” com a leitura “11.22.33.44::5060”. Portanto, em essência, mesmo que o endereço IP precise ser traduzido (para que o tráfego possa ser roteado através da Internet Cloud), a porta NÃO deve ser traduzida. Além disso, qualquer pacote UDP que tenha origem na WAN com cabeçalhos Ethernet “IP de destino::Porta” com a leitura “11.22.33.44::5060”, deve chegar à máquina do Sistema Telefónico 3CX com os cabeçalhos Ethernet “IP de destino::Porta” com a leitura “192.168.0.100::5060”.
O 3CX Firewall Checker pode ser usado para determinar se os mapeamentos de portas estão configurados corretamente e também fornecer informações adicionais que podem ajudá-lo a configurar seu firewall corretamente.
Executar o 3CX Firewall Checker
Para executar o 3CX Firewall Checker, inicie sessão no Console de Gestão 3CX usando as suas credenciais e:
- No “Painel” clique em “Firewall Check”, na secção “Estado do PBX”.
- Clique em “Run” para iniciar a verificação do firewall.
Após o Firewall Checker ser iniciado, serão realizados testes de rede e, dependendo da configuração do seu firewall ou dispositivo de borda, os resultados fornecidos incluem informações sobre o que você pode fazer para corrigir/resolver o problema.
📄 Notas:
- Importante: Iniciando o Firewall Checker irá parar todos os Serviços 3CX. O PBX não estará disponível durante a duração dos testes. Os testes duram 1 segundo para cada porta verificada se os testes forem bem sucedidos ou entre 5 e 10 segundos se a porta falhar a verificação da porta. Por padrão, o verificador de firewall verifica portas na faixa de 9000 – 10999. Se tudo estiver configurado corretamente, os testes devem levar menos de um minuto. Se houver problemas com todas as portas, o teste pode demorar entre 4 e 9 minutos. Você também tem a opção de cancelar o teste.
- O Firewall Checker solicita o servidor STUN configurado em “Settings” > “Network” > separador “Public IP”, para fazer ligações a ele e nas portas a serem verificadas. Alguns firewalls podem detectar uma varredura de porta já que as portas são verificadas sequencialmente. Quando isso acontece, o 3CX Firewall Checker começará a reportar problemas após as primeiras portas terem sido verificadas. Se isso acontecer, você pode querer desativar a verificação da verificação das portas em seu firewall enquanto executa o 3CX Firewall Checker.
3CX Firewall Checker Tests
O verificador de firewall irá verificar a conectividade fazendo várias solicitações aos servidores STUN. O verificador de firewall executa os seguintes dois testes:
Test 1 – Internet Reachability Test
Este teste verifica se o PABX 3CX é capaz de se comunicar com o servidor STUN em execução na Internet a partir da porta a ser verificada. Este teste também irá realizar uma verificação de resolução DNS se o nome da máquina do servidor STUN estiver especificado. Este teste verifica a conectividade básica com a Internet e se o servidor STUN é alcançável.
Verifica o seguinte se você tiver uma falha no teste 1:
- Você pode ter um problema geral de conexão com a Internet. Para confirmar isso, abra um navegador no servidor, e verifique se você pode se conectar à internet indo a um website.
- Você pode precisar configurar seu firewall para permitir conexões da máquina rodando o Sistema Telefônico 3CX para a internet na porta que está sendo verificada. Reveja as Portas utilizadas pelo Sistema de Telefones 3CX.
- Talvez seja necessário configurar seu firewall para permitir as duas conexões à porta que está sendo verificada tanto no TCP como no UDP. Mais uma vez, verifique as Portas utilizadas pelo Sistema de Telefones 3CX.
- Este teste irá falhar se o servidor STUN não estiver disponível. Confirme que as configurações do servidor STUN em “Settings” > “Network” > “Public IP” estão corretas ou use um servidor STUN diferente para testar.
- Confirmar a porta que está sendo usada pelo servidor STUN. O servidor STUN pode estar rodando em uma porta diferente.
- Além do dispositivo WAN para LAN (roteador ou firewall), você também deve verificar se o Firewall do Windows instalado na máquina local está permitindo conexões nas portas que estão sendo verificadas. Os anti-vírus e outros softwares anti-malware são conhecidos por interferir com este processo. Você precisará desativá-los ou desinstalá-los para confirmar. Nota: Desabilitar estes programas antimalware pode não ser suficiente para passar nos testes.
- Seu provedor pode estar bloqueando o tráfego na porta a ser verificada.
Test 2 – One on One Port Forwarding (a.k.a. Inbound Connection) Test
Neste teste, o verificador de firewall tenta determinar se um servidor na Internet é capaz de se conectar e se comunicar com o Sistema Telefônico 3CX na porta a ser verificada. Isto determina se o encaminhamento de uma para uma porta (também conhecido como Full Cone Nat) está configurado como requerido pelo PBX 3CX nas configurações do firewall.
Para este teste, o 3CX Firewall Checker irá enviar um pedido para o servidor STUN a partir da porta que está sendo verificada, e solicita que o servidor STUN faça uma conexão para o PBX a partir de um endereço IP diferente na porta que está sendo verificada.
Se o teste 1 for bem sucedido, mas o teste 2 falhar, você deve verificar o seguinte:
- Seu dispositivo WAN to LAN (firewall ou roteador) tem o encaminhamento de uma para uma porta configurada para as portas sendo verificadas.
- Algumas portas precisam de mapeamento de porta estático configurado tanto para TCP quanto para UDP. Mais uma vez, verifique este post do blog que documenta as Portas usadas pelo Sistema Telefônico 3CX.
Resultados / Mensagens de erro
Esta seção fornece uma lista de resultados / erros que podem ser retornados pelo Firewall Checker.
“Sucesso – O encaminhamento de portas está corretamente implementado para esta porta. O VoIP pode funcionar. Esta configuração é suportada.”
Todos os testes foram completados com sucesso. Seu dispositivo WAN para LAN (firewall / roteador) permite conexões à Internet na porta especificada e executa corretamente o encaminhamento de uma para uma porta. Esta configuração é suportada.
“Servidor STUN não tem segundo endereço”
Você receberá esta mensagem de erro quando você estiver usando um servidor STUN configurado incorretamente. O Servidor STUN deve ter 2 endereços. Você precisará usar um servidor STUN diferente para estes testes.
- Log in to the 3CX Management Console.
- Clique em “Settings” > “Network” > “Public IP”.
- Encontre a seção “Configuração de IP Externo” e configure um dos seguintes servidores stun: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
“Failed – Nenhuma resposta recebida ou mapeamento de porta está fechado. Port forwarding não está configurado corretamente.”
Port Forwarding não está configurado corretamente para a porta sendo verificada. Neste caso, os Provedores VoIP e as extensões remotas NÃO funcionarão. Entre no seu roteador / firewall e configure o encaminhamento de portas digitando as portas exigidas pela 3CX e encaminhando-as para o endereço IP da máquina do Sistema Telefônico 3CX.
“Falha – Falha na verificação do Firewall. Alguns erros foram detectados. Por favor verifique a configuração do seu firewall e tente o teste novamente.”
Você receberá esta mensagem se algumas portas passarem nos testes e outras não. Você precisará investigar quais portas falharam no teste e verificar o encaminhamento de portas para essas portas. Certifique-se também que o firewall / roteador não está encaminhando conexões na porta específica para outro endereço IP. As portas devem ser encaminhadas para o endereço IP do Sistema Telefônico 3CX.
“Failed – Malformed response received – (aka Symmetric NAT). Port forwarding não implementado corretamente”
A resposta que obtivemos do servidor STUN indica que você não tem um NAT de um para um (NAT de cone completo). O sistema 3CX Phone requer um encaminhamento de 1 para 1 porta de entrada e saída, para que Provedores VoIP, Bridges e extensões externas funcionem.
“O servidor STUN não respondeu ou o encaminhamento de porta não está configurado no seu firewall.”
O servidor STUN usado para este teste não respondeu. Possíveis razões podem ser:
- Servidor STUN não é alcançável.
- Servidor STUN está desligado.
- O encaminhamento de portas não está configurado correctamente.
“O endereço do servidor STUN não pode ser resolvido.”
A resolução DNS utilizada para resolver o endereço IP do servidor STUN falhou. Isto pode ser um problema de DNS, ou o servidor STUN cessou completamente as operações.
“Falha – Malformação ou nenhuma resposta recebida dos servidores STUN configurados. Verifique sua conexão de Internet, configurações DNS, ou mude os servidores STUN a partir de Configurações > Rede > Seção Configuração de IP externo”
Se você receber esta mensagem, verifique se o encaminhamento de porta está corretamente implementado. O seu firewall pode estar bloqueando pacotes. Verifique este artigo sobre como configurar o encaminhamento estático de portas.
“Failed – Port is in use by another application on this computer”. OU “SIP port is in use by process {0}. O verificador de Firewall 3CX requer que a porta SIP esteja livre”
A porta necessária para este teste está atualmente em uso por outro aplicativo instalado no computador. Para determinar o processo que está usando na porta especificada, execute o seguinte comando no prompt de comando:
netstat -ano | findstr /I /C: “PID” /C:”:9500″
Substitua 9500 com o número da porta que você precisa verificar. Você vai encontrar o id do processo que está ouvindo na porta especificada na coluna PID. Use este número para identificar o processo usando o Gestor de Tarefas ou executando o seguinte comando no prompt de comando:
Lista de tarefas /fi “pid eq 4”
Substitua 4 pelo PID identificado anteriormente.
“Os servidores STUN não são alcançáveis. Não é possível realizar a verificação do Firewall. Esta configuração não é suportada”
Os servidores STUN configurados em “Network” >Secção “External IP Configuration” não podem ser alcançados. A causa mais provável é geralmente um problema de conectividade de Internet:
- Log into the 3CX Management Console.
- Clique em “Settings” > “Network”.
- Vá para a seção “External IP Configuration” e mude os servidores STUN para um dos seguintes que são hospedados pelo 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.