Felsökning av externa tillägg och VoIP-leverantörer med hjälp av 3CX Firewall Checker
Introduktion till 3CX Firewall Checker
3CX Firewall Checker är ett verktyg som kan användas för att kontrollera att routern eller brandväggen tillåter nätverkstrafik med VoIP-leverantörer, bryggor, externa tillägg och 3CX Tunnel-anslutningar. En konfiguration av 3CX Phone System som stöds kräver att alla nödvändiga portar vidarebefordras en och en till LAN mot 3CX Phone System-maskinen. Allt annat än detta betraktas som en icke-stödd konfiguration. Vi kommer att använda ett enkelt exempel för att demonstrera användningen av 3CX Firewall checker längre fram.
För att det här exemplet ska fungera måste vi göra några antaganden:
- 3CX Phone System-maskinen har IP-adressen ”192.168.0.100” och att testet är för port ”9500”.
- Den offentliga IP-adressen för din WAN-port på din WAN-till-LAN-enhet är ”11.22.33.44”, dvs. den externa IP-adressen.
Port Forwarding information
För att en port ska vidarebefordras korrekt till 3CX Phone System-maskinen måste alla UDP-paket som kommer från PBX-maskinen och som därför i sina rubriker har ”source IP::Port” som lyder ”192.168.0.100::5060”, måste nå sin slutdestination (vanligtvis en VoIP-leverantörstjänst, en fjärranläggning eller en överbryggad PBX) med Ethernet-huvudet ”source IP::Port” som lyder ”11.22.33.44::5060”. Så även om IP-adressen måste översättas (så att trafiken kan dirigeras över Internetmolnet) får porten INTE översättas. Dessutom måste alla UDP-paket som kommer från WAN med Ethernet-huvudet ”destination IP::Port” som lyder ”11.22.33.44::5060” nå 3CX Phone System-maskinen med Ethernet-huvudet ”destination IP::Port” som lyder ”192.168.0.100::5060”.
Den 3CX Firewall Checker kan användas för att avgöra om portmappningar är korrekt konfigurerade och även ge ytterligare information som kan hjälpa dig att konfigurera din brandvägg korrekt.
Körning av 3CX Firewall Checker
För att köra 3CX Firewall Checker loggar du in på 3CX Management Console med dina autentiseringsuppgifter och:
- I ”Dashboard” klickar du på ”Firewall Check”, i avsnittet ”PBX Status”.
- Klicka på ”Kör” för att starta brandväggskontrollen.
När brandväggskontrollen startar utförs nätverkstester och beroende på konfigurationen av din brandvägg eller gränsenhet innehåller de tillhandahållna resultaten information om vad du kan göra för att åtgärda/problematisera problemet.
📄 Anteckningar:
- Viktigt: När du startar brandväggskontrollen stoppas alla 3CX-tjänster. PBX:en kommer inte att vara tillgänglig under den tid som testerna pågår. Testerna varar 1 sekund för varje kontrollerad port om testerna är framgångsrika eller någonstans mellan 5 och 10 sekunder om porten inte klarar portkontrollen. Som standard kontrollerar brandväggskontrollen portar i intervallet 9000 – 10999. Om allt är korrekt konfigurerat bör testerna ta mindre än en minut. Om det finns problem med alla portar kan testet ta mellan 4 och 9 minuter. Du har också möjlighet att avbryta testet.
- Firewall Checker begär att STUN-servern som konfigurerats i fliken ”Settings” > ”Network” > ”Public IP” ska göra anslutningar till den och på de portar som kontrolleras. Vissa brandväggar kan upptäcka en portscanning eftersom portarna kontrolleras sekventiellt. När detta händer kommer 3CX Firewall Checker att börja rapportera problem efter att de första portarna har kontrollerats. Om det händer kanske du vill inaktivera kontrollen av portskanning i din brandvägg när du kör 3CX Firewall Checker.
3CX Firewall Checker Tests
Firewall Checker kontrollerar anslutningen genom att göra olika förfrågningar till STUN-servrarna. Brandväggskontrollen utför följande två tester:
Test 1 – Internet Reachability Test
Detta test kontrollerar att 3CX PBX kan kommunicera med STUN-servern som körs på internet från den port som kontrolleras. Testet utför också en kontroll av DNS-upplösningen om STUN-serverns värdnamn anges. Detta test kontrollerar den grundläggande anslutningen till Internet och att STUN-servern är nåbar.
Kontrollera följande om test 1 misslyckas:
- Du kan ha ett allmänt problem med att ansluta till Internet. För att bekräfta detta öppnar du en webbläsare på servern och kontrollerar att du kan ansluta till internet genom att gå till en webbplats.
- Du kan behöva konfigurera din brandvägg så att den tillåter anslutningar från den maskin som kör 3CX Phone System till internet på den port som kontrolleras. Granska de portar som används av 3CX Phone System.
- Din brandvägg kan behöva konfigureras så att den tillåter båda anslutningarna till den kontrollerade porten på både TCP och UDP. Kontrollera återigen de portar som används av 3CX Phone System.
- Det här testet misslyckas om STUN-servern inte är tillgänglig. Bekräfta att STUN-serverinställningarna i ”Settings” > ”Network” > ”Public IP” är korrekta eller använd en annan STUN-server för att testa.
- Bekräfta den port som används av STUN-servern. STUN-servern kan köras på en annan port.
- Förutom WAN- till LAN-enheten (router eller brandvägg) bör du också kontrollera att Windows-brandväggen som är installerad på den lokala maskinen tillåter anslutningar på de portar som kontrolleras. Antivirusprogram och andra program mot skadlig kod är kända för att störa denna process. Du måste inaktivera eller avinstallera dessa för att bekräfta. Observera: Det kan hända att det inte räcker att inaktivera dessa program mot skadlig kod för att klara testerna.
- Din internetleverantör kanske blockerar trafiken i den port som kontrolleras.
Test 2 – Test av en och samma port vidarebefordring (a.k.a. inkommande anslutning)
I det här testet försöker brandväggskontrollen avgöra om en server på internet kan ansluta och kommunicera med 3CX Phone System i den port som kontrolleras. Detta avgör om en till en-portvidarebefordran (även känd som Full Cone Nat) är konfigurerad som krävs av 3CX PBX på brandväggsinställningarna.
För det här testet skickar 3CX Firewall Checker en begäran till STUN-servern från den kontrollerade porten och begär att STUN-servern ska göra en anslutning till PBX från en annan IP-adress på den kontrollerade porten.
Om test 1 lyckas men test 2 misslyckas bör du kontrollera följande:
- Din WAN-till-LAN-enhet (brandvägg eller router) har statisk, en till en-portvidarebefordran konfigurerad för de portar som kontrolleras.
- Vissa portar behöver statisk portmappning konfigurerad för både TCP och UDP. Kontrollera återigen det här blogginlägget som dokumenterar de portar som används av 3CX Phone System.
Resultat/felmeddelanden
Det här avsnittet innehåller en lista över resultat/fel som kan returneras av brandväggskontrollen.
”Framgång – Portvidarebefordran är korrekt implementerad för den här porten. VoIP kan fungera. Den här konfigurationen stöds.”
Alla tester har slutförts framgångsrikt. Din WAN till LAN-enhet (brandvägg/router) tillåter anslutningar till internet på den angivna porten och utför en till en portvidarebefordran korrekt. Den här konfigurationen stöds.
”STUN-server har ingen andra adress.”
Det här felmeddelandet får du när du använder en felaktigt konfigurerad STUN-server. STUN-servern måste ha två adresser. Du måste använda en annan STUN-server för dessa tester.
- Logga in på 3CX Management Console.
- Klicka på ”Settings” > ”Network” > ”Public IP”.
- Leta upp avsnittet ”External IP Configuration” och konfigurera en av följande stun-servrar: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.
”Failed – Inget svar har mottagits eller portmappningen är stängd. Portforwarding inte konfigurerad korrekt.”
Port Forwarding är inte konfigurerad korrekt för den port som kontrolleras. I det här fallet fungerar inte VoIP-leverantörer och fjärrtillägg. Logga in på din router/brandvägg och konfigurera portvidarebefordran genom att ange de portar som krävs av 3CX och vidarebefordra dem till 3CX Phone System-maskinens IP-adress.
”Failed – Firewall check failed. Vissa fel upptäcktes. Kontrollera din brandväggskonfiguration och försök testet igen.”
Det här meddelandet får du om vissa portar klarar testerna och andra inte. Du måste undersöka vilka portar som inte klarade testet och kontrollera portvidarebefordran för dessa portar. Kontrollera också att brandväggen/routern inte vidarebefordrar anslutningar på den specifika porten till en annan IP-adress. Portarna ska vidarebefordras till IP-adressen för 3CX Phone System.
”Failed – Malformed response received – (aka Symmetric NAT). Port forwarding not correctly implemented.”
Svaret vi fick från STUN-servern visar att du inte har en en till en NAT (Full cone NAT). 3CX Phone System kräver en 1 till 1 portvidarebefordran inkommande och utgående för att VoIP-leverantörer, broar och externa tillägg ska fungera.
”STUN-servern svarade inte eller så är portvidarebefordran inte konfigurerad på din brandvägg.”
Stun-servern som användes för det här testet svarade inte. Möjliga orsaker kan vara:
- STUN-servern går inte att nå.
- STUN-servern är nere.
- Port forwarding är inte konfigurerad på rätt sätt.
”STUN-serverns adress kan inte lösas upp.”
Den DNS-upplösning som användes för att lösa STUN-serverns IP-adress misslyckades. Det kan vara ett DNS-problem eller så har STUN-servern slutat fungera helt och hållet.
”Failed – Malformed or no response received from configured STUN servers. Kontrollera internetanslutningen, DNS-inställningarna eller ändra STUN-servrarna från avsnittet Inställningar > Nätverk > Extern IP-konfiguration.”
Om du får det här meddelandet kontrollerar du att portvidarebefordran är korrekt implementerad. Din brandvägg kan blockera paket. Läs den här artikeln om hur du konfigurerar statisk portvidarebefordran.
”Failed – Port is in use by another application on this computer”. OR ”SIP-porten används av process {0}. Kontrollen av 3CX-brandväggen kräver att SIP-porten är fri.”
Porten som behövs för det här testet används för närvarande av ett annat program som är installerat på datorn. Om du vill fastställa vilken process som använder den angivna porten kör du följande kommando i kommandotolken:
netstat -ano | findstr /I /C: ”PID” /C:”:9500″
Ersätt 9500 med det portnummer som du vill kontrollera. I kolumnen PID hittar du process-id för den process som lyssnar på den angivna porten. Använd detta nummer för att identifiera processen med hjälp av Aktivitetshanteraren eller genom att köra följande kommando i kommandotolken:
tasklist /fi ”pid eq 4”
Ersätt 4 med det PID som identifierades tidigare.
”STUN-servrarna går inte att nå. Kan inte utföra brandväggskontroll. This configuration is not supported”
De STUN-servrar som konfigurerats i avsnittet ”Network” > ”External IP Configuration” kan inte nås. Den mest sannolika orsaken är vanligtvis ett problem med internetanslutningen:
- Logga in på 3CX Management Console.
- Klicka på ”Settings” > ”Network”.
- Gå till avsnittet ”External IP Configuration” (extern IP-konfiguration) och ändra STUN-servrarna till en av följande som finns hos 3CX: stun.3cx.com, stun2.3cx.com, stun3.3cx.com, stun4.3cx.com.