Damit das 3CX Phone System mit VoIP Providern und direkt extern angebunden Nebenstellen eine Komunikation aufbauen kann, muss die Firewall auf den Betrieb für SIP vorbereite werden. Dabei gilt, dass eine Firewall ohne integrierten SIP Server (AVM Fritz.Box oder SpeedPort) oder SIP ALG für die Verwendung vorzuziehen sind. Der Microsoft ISA Server kann für diese Verwendung nicht genutzt werden, da er kein static NAT beherrscht.
Vorwort: Die Sicherheit des internen Netzwerkes ist Aufgabe des System-Administrators. Die Angaben beschreiben lediglich eine tech. Umsetzung. Allgemein gilt, dass jegliches öffnen eines Ports auf dem NAT Router eine Gefahr darstellt und durch sichere Passwörter, Virenscanner, Updates und interen Firewall abzusichern ist.
Eingehende Ports
In der Grundinstallation des 3CX Phone Systems der V8 werden die Ports 5060 TCP und UDP für die SIP Kommunikation verwendet. Die Sprache wird über die Ports 9000-9049 UDP abgewickelt und ist damit ausgelegt für 25 gleichzeitige Gespräche nach extern via VoIP Provider oder externe Nebenstellen. Diese Ports müssen in der Firewall als NAT/PAT eingetragen werden und auf die interne IP Adresse des 3CX Phone Systems umgeleitet werden. Nutzen Sie eine Fritz.Box lesen Sie bitte hier weiter: http://www.3cx.de/blog/avm-fritzbox-firewall-router-voip/
Zudem sollte der Port 5090 TCP/UDP auf den 3CX Server umgeleitet werden. Dieser dient der Tunnel Anbindung 3cx Phones oder von externen SIP Telefonen mittels Proxy Manager.
Ausgehende Ports
Insofern Ihre Firewall auch den ausgehenden Traffic untersucht müssen hier gewisse Vorkehrungen getroffen werden. Die PBX baut auf dem Port 5060 TCP/UDP eine Verbindung zu VoIP Providern auf. Die vom VoIP Provider angeforderten Audio-Ports entziehen sich der Kenntnis von 3CX und sind von Provider zu Provider unterschiedlich. Sollten Sie externe Nebenstellen eingerichtet haben, die nicht als lokalen SIP Port den Port 5060 nutzen müssen Sie diese Ports auch passend öffnen (http://www.3cx.de/blog/firewall-konfiguration-externe-nebenstellen). Nicht aufgeführt ist die Verbindung zum STUN Server. Hier braut die PBX von 5060 TCP/UDP und 9000-9049 UDP eine Verbindung nach 3478 TCP/UDP auf. Wenn Sie über eine statische öffentliche IP verfügen, sollten Sie STUN deaktivieren (http://www.3cx.com/blog/voip-howto/stun-resolution) oder diesen Traffic erlaube.
In vielen Fällen ist die Steuerung der abgehenden Ports mit viel Aufwand und Pflege verbunden. Um Fehler zu vermeiden empfiehlt es sich daher ggf. dem 3CX Phone System uneingeschränkten Zugriff auf das Internet zu gewähren oder wie in der Konfiguration von WatchGuard gezeigt nicht die Ports zu spezifizieren, sondern die Ziel IPs die benötigt werden.
Enterprise Firewall Konfiguration
Anbei sind 2 Firewalls zur Konfiguration mit 3CX aufgelistet.
Watchguard XTM 1250 Core Serie:
Watchguard bietet die Möglichkeit einen SIP Proxy zu nutzen. Dieser sollte nicht konfiguriert werden um ein reines NAT zu erzeugen. Regel 1 beschreibt die Nutzung der STUN Auflösung. Regel 2 den Inbound von Extern. Die Ports wurden in eine Gruppe zusammen gefasst. Regel 3 beschreibt, dass das Phone System an externe Nebenstellen jeden Port nutzen darf . Die Nebenstellen müssen aber in der Gruppe “Remote Extension” sein. Regel 4 folgt dem gleichem Ansatz. Dabei werden die IPs des VoIP Providers genutzt um die “Erlaubnis” zu bilden.
FortiGate 80C:
Fortigate hat einen voreingestellten SIP ALG Proxy, der Manuell entfernt werden muss.
Dazu öffnen Sie die CLI der Fortigate aus dem Dashboard.
Geben Sie hier nun die Folgenden befehle ein:
config system settings
set sip-helper disable
set sip-nat-trace disable
Reboot the device
Öffnen Sie erneut die CLI:
Config system session-helper
show (suchen Sie nun nach SIP, meistens Regel “12″)
delete 12
Erzeugen Sie nun eine Regel, und setzen das “Protection Profile” auf “unfiltered”
Reboot the device again
Bitte Kontaktieren Sie Ihr Systemhaus oder den Hersteller für diese Umsetzung.
Cisco Router PIX or ASA:
http://www.3cx.com/blog/voip-howto/cisco-voip-configuration/
Draytek Vigor 2820
http://www.3cx.com/blog/voip-howto/draytek-firewall-voip/
SonicWall OS 4.X (Enhanced)
Neben den normalen Nat Regel sollten diese Optionen abgeschaltet werden.
Pingback: 3CX VoIP TK Anlage Blog » Firewall Konfiguration für direkte externe Nebenstellen
Pingback: 3CX VoIP TK Anlage Blog » Installations Check Liste
Pingback: 3CX VoIP TK Anlage Blog » Firewall Konfiguration für externe “3CXPhone Nebenstellen”
Pingback: 3CX Blog Schweiz » Firewall Konfiguration für direkte externe Nebenstellen
Pingback: 3CX VoIP TK Anlage Blog » Kauf eines Routers für den Einsatz mit 3CX Phone System