NAT und SIP ALGDieser Guide schildert eine Hilfestellung zur Analyse der Firewall, die das 3CX Phone System mit dem Internet verbindet. Mit Abwandlung der Ports kann dieser Guide auch genutzt werden um SIP Nebenstelle die via STUN an das System angebunden werden zu Prüfen. Leider bieten immer mehr Firewalls die Option mit SIP ALG eine vereinfachte Anbindung an das Internet zu schaffen. Die Wahrheit ist hier leider eine andere. In fast allen Fällen schadet SIP ALG dem Datenfluss mehr als diesen zu unterstützen. Auch ist nicht in allen Firewalls ein vollwertiges NAT einzurichten immer so einfach, wie es auf den ersten Blick erscheinen mag.

Wenn das 3CX Phone System mit einen VoIP Provider verbunden wird, dann besteht das Problem, dass nur gesehen werden kann, wie die Daten von dem 3CX Phone System Host abgeschickt werden, aber nicht wie Sie beim Provider angekommen sind und damit verbundenen eventuellen Modifikationen der Firewall… Viele Provider bieten auf Nachfrage zu einer Bestimmten Call ID an, den Capture auf Provider Seite Ihnen zur Verfügung zu stellen, welche aber den Support des Providers benötigt und ggf. zu zeitlichen Problemen führen kann.

In diesem Guide sind ein paar Tricks mittels Wireshark erläutert, die Sie selber durchführen können. Beginnen Sie eine Wireshark-Aufzeichnung eines ausgehenden Anruf zu dem Provider, der ein Problem aufzeigt (One Way Audio oder Gesprächsabbrüche nach 32 Sekunden sind hier die häufigsten Fälle).

Schritt 1
Im ersten Schritt stellen wir sicher, dass das 3CX Phone System die in der 3CX gesetzen IPs und Ports richtig an den Provider sendet. Dazu schauen wir uns den Invite aus dem 3CX Phone System an den Provider an:
Firewall Invite

Unter Contact(1) und Connection(2) sollte Ihre öffentliche IP stehen, die Sie unter Einstellungen -> Netzwerk -> STUN Server eingetragen haben.
Sollten Sie keine statische IP eingetragen haben, aber eine besitzen, sollten Sie dieses nun anpassen. Vergleichen Sie ggf. die IP mit Webdiensten wie www.myip.ch.

In der  Zeile “Contact” (1) sollte hinter der IP (in dem Beispiel 213.140.X.X) nun der Port für SIP zu erkennen sein, default 5060.
Sollten Sie auf eine dyn. IP besitzen, die mittels STUN abgefragt wird, kann hier schon der erste Indiz für eine Fehlkonfiguration der Firewall gefunden werden, wenn der Port nicht mit dem aus den Settings übereinstimmt.
Ihr Router wird ein dyn. NAT geöffnet haben bei der STUN Anfrage und die 3CX nutzt dieses nun als SIP Port und dem Provider mitzuteilen wie das System temp. zu erreichen ist. Da dieser Port vom Router zu jeder Zeit geschlossen werden kann, muss hier nun direkt die Konfiguration der Firewall weiter untersucht und angepasst werden, bis das 3CX Phone System den richtigen Port für SIP angibt! Bei statischen IPs entfällt dieser Schritt der Analyse.

Unter (3) können Sie den gewählten Audioport erkennen, den das 3CX Phone System aus dem Portrange für externe Audio Ports ausgewählt hat (default im Bereich von 9000-9049).

Ein Wichtiger Punkt ist der “rport”, in blau markiert. Hier wird die gegenüberliegende Seite gebeten anzugeben, wie das 3CX Phone System auf seiner Seite gesehen wird für SIP.
Die Antwort darauf erhalten wir in der ersten Antwort des Providers an das 3CX Phone System.

Schritt 2

Firewall_Answer

Der Provider beantwortet nun die Rport Anfrage mit 2 Feldern.
(1) received= und (2) rport=
Die beiden Werte müssen mit den Angaben aus dem Invite vom 3CX Phone System (vorausgesetzt diese waren korrekt abgesandt) an den Provider für IP und SIP-Port (und damit den Settings in der 3CX unter  Einstellungen -> Netzwerk -> [Ports | STUN Server]) übereinstimmen. Stimmen diese nicht übereinander, liegt ein Problem in der Firewall-Konfiguration vor.

Ein Beispiel für Cisco PIX und ASA User, dieser werden bei einer default Installation Ihrer Firewalls unter (1) received die interne Interface IP  der ASA sehen, dieses deutet auf eine Modifikation der SIP Pakete hin und damit auf einen aktiven SIP ALG in dem Router. Andere Router können das gleiche Verhalten zeigen oder eine Anwandlung davon. Sollten Sie mit dieser schnell Analyse nicht weiter kommen, müssen Sie das Gegenüber (Provider) bitten Ihnen den vollen Wireshark Pcap für einen Anruf zukommen zu lassen.

Wollen Sie dieses Prinzip nutzen um Remote-Nebenstellen zu testen ist es etwas einfacher, denn hier ist das 3CX Phone System der Provider aus Sicht des Telefons und Sie können direkt beide Pcaps miteinander vergleichen und schneller Reagieren.

Anmerkung
Der 3CX Support leistet keine Hilfestellung auf die Einrichtung und Konfiguration von Firewalls. Bei Fragen kontaktieren Sie den Hersteller des Gateway/Firewall um eine saubere Umsetzung des NAT und Deaktivierung von SIP ALG durchzuführen.