Ein großer Vorteil des 3CX Phone Systems zu herkömmlichen PBX Systemen ist die Anbindung von Nebenstellen, die nicht im Unternehmen selber sind. Dabei Spricht man schnell vom Heimarbeitsplatz” (Home-Office) oder einer Remote Extension. Solange das Unternehmen und das Home Office über eine Internetverbindung verfügen können solche Remote Extension in das interne System eingebunden werden. Dabei verhält sich die externe Nebenstelle so, als ob Sie intern wäre und kann auf alle Mehrwert-Merkmale zugreifen, wie das Halten und Verbinden von Gesprächen oder die Nutzung von VoiceMail Funktionen.
Vorwort: Die Sicherheit des internen Netzwerkes ist Aufgabe des System-Administrators. Die Angaben beschreiben lediglich eine tech. Machbarkeit bzw. Umsetzung. Allgemein gilt, dass jegliches öffnen eines Ports auf dem NAT Router eine Gefahr darstellt und durch sichere Passwörter, Virenscanner und interen Firewall abzusichern ist.
In diesem Guide wird die direkte SIP Anbindung besprochen. Alternativ können Sie die einfachere “Proxy Manager Konfiguration” nutzen, die aber einen dauerhaft laufenden Computer voraussetzt. Die Bandbreitennutzung von einem externen Standort zur 3CX PBX kann bei Verwendung von mehreren Telefonen und dem 3CX SIP Proxy Manager effizienter genutzt werden. Das 3CX Phone kann auch direkt angebunden werden, da es mit dem eingebundenen 3CX Tunnel arbeiten kann, ist es hier nicht aufgeführt und sollte mit der Tunneloption als externe Nebenstelle angebunden werden.
Die Einrichtung einer direkten SIP anbindung bedarf ein Grundwissen in SIP und dem NAT in Firewalls. Grundlage der Einrichtung ist die korrekte Einrichtung des 3CX Phone System hinter dem NAT Router. Hierzu sollten Sie diesen Beitrag lesen: http://www.3cx.de/blog/firewall-konfiguration-phonesystem/ .Alternativ können Sie auch den 3CX SIP Proxy Manager einsetzen um die NAT Problematik zu vereinfachen: http://www.3cx.de/blog/firewall-konfiguration-externe-nebenstellen-proxy-manager/
Vorbereitung Telefon
Um ein Telefon als externe Nebenstelle einrichten zu können müssen Sie folgende Punkte beachten:
- STUN muss im Telefon aktiviert werden.
Stun steht für “Simple traversal of UDP over NATs” und ist mit der Aufgabe versehen die öffentliche IP Adresse zu ermitteln. Es kann mit den Dienst von Webseiten wie www.wasistmeineip.de verglichen werden. Für STUN muss im Router erlaubt werden, dass Verbindungen von Intern nach Extern auf Port 3478 (TCP/UDP) vom SIP Port des Telefones (TCP/UDP) sowie der RTP Ports des Telefones (UDP) aufgebaut werden können. - Der “Registra” (Registrierungsserver) muss auf die öffentliche IP Adresse der 3CX PBX geändert werden.
Es empfiehlt sich den 3CX Server mit einer statischen öffentlichen IP Adresse auszustatten. Alternativ können Dienste wie DynDNS.org genutzt werden, um eine dynamische öffentliche IP auf einen statischen Namen zu verbinden. Dieses sollte vornehmlich vermieden werden, da Fehler nicht auszuschließen sind. - Es sollte Notiert werden welche SIP Ports und RTP Ports von dem Telefon benutzt werden.
- Grün gerahmte Optionen werden nicht weiter beschrieben, sind aber einzustellen.
Wie aktiviere ich STUN für mein SIP Telefon:
- Snom: Öffnen Sie das Webinterface -> Setup, Identity 1, NAT und tragen Sie den STUN Server ein.
Achtung, in den Firmware bis 8.4.9 ist ein Fehler für Snom, der das Anbinden nicht möglich macht.
- Cisco: Hier sind 2 Einträge nötig. Wechseln Sie im Webinterface auf Admin/Advanced und gehen unter Voice auf SIP
Danach wechseln Sie in die EXT 1 und aktivieren Sie diese Option:
Auch die Option NAT Keep Alive Enable sollte gesetzt werden. - Yealink: Im Webinterface wechseln Sie auf Account und stellen Sie NAT Traversal und STUN ein
Wo finde ich den SIP Port meines Telefones:
- Snom:
Grundeinstellung: Random local Port (Zufällig um 2040)
Konfigurierbar: PhoneGUI -> Advanced -> SIP/RTP -> Network identity (port)
Empfehlung: Sollte auf 5060 fest eingestellt werden, da sonst keine NAT-Zuteilung eingerichtet werde kann.
- Cisco/Linksys:
Grundeinstellung: 5060 für EXT 1, 5062 für EXT2 und 5064 für EXT 3
Konfigurierbar: PhoneGUI (Admin/Advanced) -> EXT1 -> SIP Settings -> EXT SIP Port
Empfehlung: Port sollte auf 5060 gesetzt werden
- Yealink:
Grundeinstellung: 5060
Konfigurierbar: PhoneGUI -> Account -> Advanced -> Local SIP Port
Empfehlung: Port sollte auf 5060 belassen werden
Wo finde ich die RTP Ports für mein Telefon:
- Snom:
Grundeinstellung: Random local Port between 49152 – 65534
Konfigurierbar: PhoneGUI -> Advanced -> SIP/RTP -> Dynamic RTP port start /stop
Empfehlung: der Port-Range sollte verkleinert werden auf 50000 bis 50020
- Cisco/Linksys (nutzen andere RTP prots für intern und extern):
Grundeinstellung: Random local Port von 9000 an
Konfigurierbar: PhoneGUI (Admin/Advanced) -> SIP -> NAT Support Parameters -> EXT RTP Port
Empfehlung: Die Ports sollten fest angegeben werrden. Z.B. 9000
- Yealink:
Grundeinstellung: Random local Port between 11780 – 11800
Konfigurierbar: PhoneGUI -> Network -> Advanced -> Local RTP Port
Empfehlung: Die Ports können belassen werden
Zusammen Fassung:
Sollten Sie den Empfehlungen gefolgt sein erhalten Sie folgende Konfiguration
- Snom: 5060 TCP/UDP und 50000 bis 50020 UDP
- Cisco: 5060 TCP/UDP und 9000+ UDP
- Yealink: 5060 TCP/UDP und 11780 bis 11800 UDP
Vorbereitung des remote NAT-Routers
Öffnen Sie das Webinterface des Routers. Suchen Sie die Option NAT oder Port Forwarding. Tragen Sie die Werte, die wir aus dem ersten Teil ermittelt haben ein und richten Sie das NAT auf die interne IP Adresse des SIP Telefone. Erlauben Sie, falls Ihre Firewall diese Konfigurationoption bietet, ausgehende Verbindungen der Ports auf 3478TCP/UDP, 5060TCP/UDP und 9000-9049UDP.
Überprüfung der STUN Funktionalität
Öffnen Sie die Management Konsole des 3CX Phone System. Öffnen Sie den Menupunkt “Telefone” und suchen die Nebenstelle, die Sie als als externe Nebenstelle eingerichtet haben. Überprüfen Sie für diese Nebenstelle ob die IP die öffentliche IP des remote Routers zu sehen ist. Sehen Sie eine lokale IP Adresse ist die STUN Auflösung fehlgeschlagen oder nicht aktiviert.
Konfiguration der Nebenstelle in 3CX
Öffnen Sie die Nebenstelle die Sie als Home-Office eingerichtet haben in der 3CX Management Konsole. Wechseln Sie in der Nebenstelle auf den Reiter “Weitere” und setzen den Haken für “Telefonanlage überträgt Audio”.
Nachtrag
Möchten Sie mehr als ein SIP Telefon als externe Nebenstelle betreiben an einem NAT Router müssen Sie die Ports für jedes Telefon anpassen. Dabei dürfen die Ports nicht doppelt verwendet werden. Der SIP Port muss mindesten 2 Ports höher sein denn der Erste. Dieses gilt auch für die RTP Ports. Der RTP Portbereich darf nicht doppelt verwendet werden. Sprich:
Sip Phone 1: SIP: 5060 TCP/UDP RTP: 50000-50020 UDP
Sip Phone 2: SIP: 5062 TCP/UDP RTP: 50021-50040 UDP
Pingback: 3CX VoIP TK Anlage Blog » Firewall Konfiguration für das 3CX Phone System (VoIP Provider)
Pingback: 3CX VoIP TK Anlage Blog » Installations Check Liste
Pingback: 3CX VoIP TK Anlage Blog » Firewall Konfiguration für externe Nebenstellen via “3CX Proxy Manager”
Pingback: 3CX Blog Schweiz » Firewall Konfiguration für das 3CX Phone System (VoIP Provider)
Pingback: 3CX Blog Schweiz » Firewall Konfiguration für externe Nebenstellen