Depanarea extensiilor la distanță și a furnizorilor VoIP folosind 3CX Firewall Checker
Introducere la 3CX Firewall Checker
3Cercul 3CX Firewall Checker este un instrument care poate fi folosit pentru a verifica dacă routerul sau firewall-ul dvs. permite traficul de rețea cu furnizori VoIP, poduri, extensii externe și conexiuni de tunel 3CX. O configurație compatibilă cu sistemul de telefonie 3CX necesită ca toate porturile necesare să fie redirecționate unu-la-unu în LAN către mașina sistemului de telefonie 3CX. Orice altceva mai puțin decât atât și este considerată ca fiind o configurație neacceptată. Vom folosi un exemplu simplu pentru a demonstra utilizarea verificatorului 3CX Firewall mai departe.
Pentru ca acest exemplu să funcționeze, vom face câteva presupuneri:
- Mașina sistemului telefonic 3CX are o adresă IP de „192.168.0.100” și că testul este pentru portul „9500”.
- Adresa IP publică pentru portul WAN de pe dispozitivul WAN-to-LAN este „11.22.33.44”, adică adresa IP externă.
Informații privind redirecționarea porturilor
În principiu, pentru ca un port să fie redirecționat corect către aparatul central telefonic 3CX, orice pachet UDP care provine de la aparatul PBX și, prin urmare, are, în antetul său, „source IP::Port” care citește „192.168.0.100::5060”, trebuie să ajungă la destinația finală (de obicei, un serviciu al furnizorului VoIP, o extensie la distanță sau un PBX cu punte) cu antetul Ethernet „source IP::Port” care să indice „11.22.33.44::5060”. Deci, în esență, chiar dacă adresa IP trebuie să fie tradusă (pentru ca traficul să poată fi direcționat pe Internet Cloud), portul NU trebuie tradus. Mai mult decât atât, orice pachet UDP care provine din WAN cu antetul Ethernet „destination IP::Port” care indică „11.22.33.44::5060”, trebuie să ajungă la aparatul central telefonic 3CX cu antetul Ethernet „destination IP::Port” care indică „192.168.0.100::5060”.
Verificatorul 3CX Firewall poate fi folosit pentru a determina dacă mapările de porturi sunt configurate corect și, de asemenea, oferă informații suplimentare care vă pot ajuta să configurați corect firewall-ul.
Executarea 3CX Firewall Checker
Pentru a executa 3CX Firewall Checker, conectați-vă la 3CX Management Console folosind acreditările dvs. și:
- În „Dashboard” faceți clic pe „Firewall Check”, în secțiunea „PBX Status”.
- Faceți clic pe „Run” (Executare) pentru a începe verificarea firewall-ului.
După ce Firewall Checker pornește, vor fi efectuate teste de rețea și, în funcție de configurația firewall-ului sau a dispozitivului de frontieră, rezultatele furnizate includ informații despre ceea ce puteți face pentru a remedia/depanarea problemei.
📄 Note:
- Important: Pornirea Firewall Checker va opri toate serviciile 3CX. PBX-ul nu va fi disponibil pe durata testelor. Testele durează 1 secundă pentru fiecare port verificat, dacă testele sunt reușite, sau între 5 și 10 secunde, dacă portul nu reușește verificarea portului. În mod implicit, verificatorul de firewall verifică porturile din intervalul 9000 – 10999. Dacă totul este configurat corect, testele ar trebui să dureze mai puțin de un minut. În cazul în care există probleme cu toate porturile, testul poate dura între 4 și 9 minute. Aveți, de asemenea, opțiunea de a anula testul.
- Firewall Checker solicită serverului STUN configurat în tab-ul „Settings” > „Network” > „Public IP”, pentru a face conexiuni cu acesta și pe porturile care sunt verificate. Unele firewall-uri ar putea detecta o scanare a porturilor, deoarece porturile sunt verificate secvențial. Când se întâmplă acest lucru, 3CX Firewall Checker va începe să raporteze probleme după ce au fost verificate primele câteva porturi. Dacă se întâmplă acest lucru, este posibil să doriți să dezactivați verificarea scanării porturilor pe firewall-ul dvs. în timp ce rulați 3CX Firewall Checker.
3C3CX Firewall Checker Tests
Cercetatorul de firewall va verifica conectivitatea făcând diverse cereri către serverele STUN. Firewall checker-ul efectuează următoarele două teste:
Test 1 – Internet Reachability Test
Acest test verifică dacă PBX 3CX poate comunica cu serverul STUN care rulează pe internet din portul verificat. Acest test va efectua, de asemenea, o verificare a rezoluției DNS dacă este specificat numele de gazdă al serverului STUN. Acest test verifică conectivitatea de bază la internet și faptul că serverul STUN este accesibil.
Verificați următoarele dacă obțineți un eșec la testul 1:
- S-ar putea să aveți o problemă generală de conectare la internet. Pentru a confirma acest lucru, deschideți un browser pe server și verificați dacă vă puteți conecta la internet accesând un site web.
- S-ar putea să fie nevoie să vă configurați firewall-ul pentru a permite conexiuni de la mașina pe care rulează 3CX Phone System la internet pe portul verificat. Revizuiți porturile folosite de Sistemul Telefonic 3CX.
- S-ar putea să fie necesar ca firewall-ul dumneavoastră să fie configurat pentru a permite ambele conexiuni la portul verificat atât pe TCP cât și pe UDP. Încă o dată, verificați Porturile utilizate de 3CX Phone System.
- Acest test va eșua dacă serverul STUN nu este disponibil. Confirmați că setările serverului STUN din „Settings” > „Network” > „Public IP” sunt corecte sau folosiți un alt server STUN pentru a testa.
- Confirmați portul utilizat de serverul STUN. Este posibil ca serverul STUN să funcționeze pe un port diferit.
- În afară de dispozitivul WAN la LAN (router sau firewall), trebuie să verificați, de asemenea, dacă firewall-ul Windows instalat pe mașina locală permite conexiuni pe porturile verificate. Se știe că antivirusul, precum și alte programe anti-malware interferează cu acest proces. Va trebui să le dezactivați sau să le dezinstalați pentru a confirma. Notă: Este posibil ca dezactivarea acestor programe antimalware să nu fie suficientă pentru a trece testele.
- Probabil ca ISP-ul dvs. să blocheze traficul în portul verificat.
Test 2 – Testul de redirecționare a porturilor unu la unu (alias Conexiune de intrare)
În acest test, verificatorul de firewall încearcă să determine dacă un server de pe internet este capabil să se conecteze și să comunice cu centrala telefonică 3CX pe portul verificat. Acest test determină dacă redirecționarea portului de la unul la unul (cunoscută și sub numele de Full Cone Nat) este configurată așa cum este necesar de către PBX-ul 3CX în setările firewall.
Pentru acest test, verificatorul firewall 3CX va trimite o cerere către serverul STUN de pe portul verificat și solicită serverului STUN să realizeze o conexiune cu PBX-ul de la o altă adresă IP pe portul verificat.
Dacă testul 1 reușește, dar testul 2 nu reușește, trebuie să verificați următoarele:
- Dispozitivul dvs. de la WAN la LAN (firewall sau router) are configurată o redirecționare statică, unu la unu, a porturilor pentru porturile care sunt verificate.
- Unele porturi au nevoie de o cartografiere statică a porturilor configurată atât pentru TCP, cât și pentru UDP. Încă o dată, verificați această postare pe blog care documentează porturile utilizate de sistemul telefonic 3CX.
Resultate / Mesaje de eroare
Această secțiune oferă o listă de rezultate / erori care pot fi returnate de către Firewall Checker.
„Succes – Redirecționarea portului este implementată corect pentru acest port. VoIP poate funcționa. Această configurație este acceptată.”
Toate testele s-au finalizat cu succes. Dispozitivul dvs. de la WAN la LAN (firewall / router) permite conexiuni la internet pe portul specificat și efectuează corect redirecționarea porturilor unul la unul. Această configurație este acceptată.”
„STUN server has no second address.”
Vă veți primi acest mesaj de eroare atunci când utilizați un server STUN configurat incorect. Serverul STUN trebuie să aibă 2 adrese. Va trebui să folosiți un alt server STUN pentru aceste teste.
- Intrați în 3CX Management Console.
- Faceți clic pe „Settings” > „Network” > „Public IP”.
- Găsiți secțiunea „Configurare IP extern” și configurați unul dintre următoarele servere stun: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
„Failed – Nu s-a primit niciun răspuns sau maparea portului este închisă. Port forwarding not configured correctly.”
Port Forwarding nu este configurat corect pentru portul verificat. În acest caz, Furnizorii VoIP și extensiile de la distanță NU VOR FUNCȚIONA. Conectați-vă la router / firewall și configurați redirecționarea porturilor introducând porturile cerute de 3CX și redirecționându-le către adresa IP a mașinii 3CX Phone System.
„Failed – Firewall check failed. Au fost detectate unele erori. Vă rugăm să verificați configurația firewall-ului dumneavoastră și să încercați din nou testul.”
Vă veți primi acest mesaj dacă unele porturi trec testele și altele nu. Va trebui să investigați care porturi nu au trecut testul și să verificați redirecționarea porturilor pentru acele porturi. De asemenea, asigurați-vă că firewall-ul / routerul nu redirecționează conexiunile pe portul specific către o altă adresă IP. Porturile ar trebui să fie redirecționate către adresa IP a sistemului telefonic 3CX.
„Failed – Malformed response received – (aka Symmetric NAT). Port forwarding not correctly implemented.”
Răspunsul pe care l-am primit de la serverul STUN indică faptul că nu aveți un NAT unu la unu (Full cone NAT). Sistemul de telefonie 3CX necesită o redirecționare a porturilor 1 la 1 la intrare și la ieșire, pentru ca furnizorii VoIP, podurile și extensiile externe să funcționeze.
„Serverul STUN nu a răspuns sau redirecționarea porturilor nu este configurată pe firewall-ul dvs.”
Serverul STUN utilizat pentru acest test nu a răspuns. Motive posibile ar putea fi:
- Serverul STUN nu este accesibil.
- Serverul STUN nu funcționează.
- Transmiterea porturilor nu este configurată corect.
„Adresa serverului STUN nu poate fi rezolvată.”
Rezolvarea DNS utilizată pentru a rezolva adresa IP a serverului STUN a eșuat. Aceasta ar putea fi o problemă DNS sau serverul STUN a încetat complet operațiunile.
„Failed – Malformed or no response received from configured STUN servers. Verificați conexiunea dvs. la internet, setările DNS sau modificați serverele STUN din secțiunea Settings > Network > External IP Configuration.”
Dacă primiți acest mesaj, verificați dacă redirecționarea porturilor este implementată corect. Este posibil ca firewall-ul dvs. să blocheze pachetele. Consultați acest articol despre cum să configurați redirecționarea statică a porturilor.
„Failed – Port is in use by another application on this computer.” (Eșec – Portul este utilizat de o altă aplicație pe acest computer). SAU „Portul SIP este utilizat de procesul {0}. Verificatorul 3CX Firewall necesită ca portul SIP să fie liber.”
Portul necesar pentru acest test este utilizat în prezent de o altă aplicație instalată pe acest computer. Pentru a determina procesul care utilizează pe portul specificat, rulați următoarea comandă în promptul de comandă:
netstat -ano | findstr /I /C: „PID” /C:”:9500″
Înlocuiți 9500 cu numărul portului pe care trebuie să îl verificați. Veți găsi ID-ul procesului care ascultă pe portul specificat în coloana PID. Folosiți acest număr pentru a identifica procesul folosind Task Manager sau executând următoarea comandă în promptul de comandă:
tasklist /fi „pid eq 4”
Înlocuiți 4 cu PID-ul identificat anterior.
„Serverele STUN nu sunt accesibile. Nu se poate efectua verificarea Firewall. Această configurație nu este suportată”
Serverele STUN configurate în secțiunea „Network” > „External IP Configuration” nu pot fi accesate. Cea mai probabilă cauză este de obicei o problemă de conectivitate la internet:
- Intrați în 3CX Management Console.
- Faceți clic pe „Settings” > „Network”.
- Mergeți la secțiunea „External IP Configuration” (Configurație IP externă) și schimbați serverele STUN la unul dintre următoarele care sunt găzduite de 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.