Der 3CX Tunnel / 3CX Session Border Controller

Kapitelüberblick

Der 3CX Tunnel / 3CX Session Border Controller

Einführung

Funktionsweise

Konfigurieren des 3CX Tunnel

Schritt 1 – Konfigurieren der Telefonanlage

Schritt 2 – Konfigurieren der Firewall

Schritt 3 – Konfigurieren der entfernten Standorte per 3CX SBC, 3CXPhone oder 3CX Bridge

Weiterführende Informationen

Einführung

Mit Hilfe des integrierten 3CX Tunnel lassen sich Bridge-Verbindungen zwischen 3CX-Anlagen und die Anbindung externer Nebenstellen vereinfachen. Der 3CX Tunnel kanalisiert alle SIP- und RTP-Pakete (zur Signalisierung bzw. Übertragung der Kommunikationsdaten) des VoIP-Traffics eines Standorts und überträgt sie per angepasstes TCP-Protokoll an einen weiteren Standort, üblicherweise den Telefonanlagen-Server. Dies ermöglicht eine reibungslose Kommunikation, unabhängig von Sicherheitsmaßnahmen und Einschränkungen durch Firewalls oder VoIP-Provider.

Setzen Sie den 3CX Tunnel in folgenden Fällen ein:

  • Bei NAT-Traversal-Problemen am Remote- und lokalen Standort des 3CX Phone System und seiner angebundenen Nebenstellen
  • Zur vereinfachten Firewall-Konfiguration am Remote- und lokalen Standort des 3CX Phone System und seiner angebundenen Nebenstellen
  • Zur Behebung von Problemen mit ISPs, die VoIP-Traffic anhand von Port-Nummern blockieren
  • Zur geschützten VoIP-Kommunikation per WLAN an potenziell unsicheren Standorten, z. B. Hotelzimmern
  • Für Firewalls, die VoIP-Traffic nicht korrekt oder nur mit hohen Konfigurationsaufwand durchleiten können, z. B. Microsoft ISA Server

Hinweis: Zurzeit werden Präsenzinformationen noch nicht per 3CX Tunnel an Remote-Netzwerke übertragen. Stellen Sie sicher, dass der von Ihnen während der Installation ausgewählte HTTP-/HTTPS-Port auf Seiten des Anlagen-Servers geöffnet ist.

Funktionsweise

Das obige Schaubild erläutert die Funktionsweise des 3CX Tunnel. In diesem Beispiel lautet die IP-Adresse des 3CX-Servers 10.0.0.181. Er wartet standardmäßig auf TCP-Port 5090 auf Daten, die über den Tunnel eingehen. Für die vorgeschaltete Modem- oder NAT/Firewall-Hardware ist eine Port-Forwarding-Regel zu erstellen, die dafür sorgt, dass sämtlicher über Port 5090 eintreffender TCP-Datenverkehr an die IP-Adresse 10.0.0.181 des LAN gehen soll.

Links von der Cloud ist die Konfiguration des entfernten Tunnelendes dargestellt. In diesem Beispiel lautet die IP-Adresse des Computers mit dem 3CXPhone 192.168.0.2. Das Softphone muss sowohl die öffentliche IP-Adresse des Telefonanlagen-Servers mitgeteilt bekommen (hier: 213.165.190.51) als auch die private IP-Adresse (hier: 10.0.0.181). Das 3CXPhone verwendet standardmäßig die vom 3CX Phone System regulär genutzten Ports. Daher sind hier in den meisten Fällen keine weiteren Einstellungen erforderlich.

Setzen Sie den 3CX Tunnel bzw. 3CX SBC (Session Border Controller) in den folgenden Fällen ein:

  • Anbindung externer Standorte per 3CX SBC – Installieren Sie den 3CX SBC an entfernten Standorten Ihres Unternehmens mit mehreren IP-Telefonen, damit die Geräte über einen einzigen Port mit dem 3CX Phone System kommunizieren. Diese Option sollte auch bei Einsatz der 3CX-Anlage in der Cloud verwendet werden.
  • Anbindung von externen 3CXPhone-Benutzern – Das 3CXPhone für Windows , Mac, iOS und Android verfügt über einen integrierten Tunnel, der automatisch verwendet wird, wenn der Client sich nicht im lokalen Netzwerk befindet. Eine entsprechende Konfigurierung des 3CXPhone ist hierfür nicht erforderlich.
  • Anbindung einer weiteren 3CX-Anlage per Bridge – Beim Erstellen einer Bridge als Verbindung zwischen zwei 3CX-Anlagen kann statt einer Direktverbindung der 3CX Tunnel zum Einsatz kommen.

Konfigurieren des 3CX Tunnel

Anhand der Daten aus dem obigen Schaubild lässt sich beispielhaft folgende Tunnel-Verbindung einrichten:

Schritt 1 – Konfigurieren der Telefonanlage

Klicken Sie in der 3CX-Verwaltungskonsole im linken Navigationsbereich auf “Einstellungen” > “Sicherheit” > “3CX Tunnel”:

  1. Legen Sie ein Passwort für den Tunnel fest (z. B. “r6W4Qi”).
  2. Geben Sie als “Lokale IP-Adresse die lokale IP der Netzwerkkarte an, die den Tunnel-Datenverkehr empfängt. Verfügt der Telefonanlagen-Server über nur eine Netzwerkkarte, ist keine Angabe erforderlich. In diesem Beispiel lautet die IP-Adresse 192.168.9.213.
  3. Geben Sie für den “Tunnel Listen-Port” den zugehörigen Port an (Standard: 5090).
  4. Klicken Sie auf “OK”. Der Tunnel-Dienst wird automatisch neu gestartet.

Schritt 2 – Konfigurieren der Firewall

Das Tunnel-Protokoll sorgt dafür, dass keine NAT-Traversal-Probleme entstehen. Die Firewall-Einstellungen sind nur minimal zu ändern: Lediglich der TCP-Tunnel-Port (Standard: 5090) muss an die Telefonanlage weitergeleitet werden.

Konfigurierung einer Port-Forwarding-Regel in pfSense

Im obigen Screenshot sind die für eine pfSense-Firewall erforderlichen Einstellungen abgebildet, die auch bei vielen anderen gängigen Firewalls zu finden sind. Nehmen Sie folgende Einstellungen für die Firewall vor:

  1. Aktivieren Sie das Port-Forwarding.
  2. Geben Sie als “Local IP” die lokale IP-Adresse der Telefonanlage an (in unserem Beispiel 192.168.9.213).
  3. Wählen Sie als “Type” die Option “TCP/UDP”.
  4. Geben Sie als “Port Range” den Bereich 5090 bis 5090 an, d. h. nur einen Port.
  5. Geben Sie im Feld "Comment" die Anmerkung “3CX Tunnel” ein.
  6. Klicken Sie zum Hinzufügen der Angaben auf “Add” und zum Übernehmen auf “Apply”. Die Firewall-Einstellungen sind jetzt abgeschlossen.

Schritt 3 – Konfigurieren der entfernten Standorte per 3CX SBC, 3CXPhone oder 3CX Bridge

Nachdem Sie die lokale Tunnelverbindung und die Firewall konfiguriert haben, ist der 3CX Tunnel einsatzbereit. Zur Anbindung der Clients müssen Sie nun den 3CX SBC, die 3CXPhones oder die 3CX Bridge konfigurieren.

3CX Session Border Controller (SBC)

Der 3CX SBC ist für Remote-Umgebungen mit mehreren IP-Telefonen im selben LAN konzipiert. Er ist für Microsoft Windows und Raspberry Pi verfügbar und wird am entfernten Standort installiert.

3CXPhone-Client

Eine Konfigurierung des 3CXPhone ist nicht erforderlich. Weitere Informationen zu den Optionen des 3CX Tunnel im 3CXPhone erhalten Sie im Kapitel Konfigurieren der Clients – 3CXPhone.

3CX Bridge

Weiterführende Informationen zur Konfigurierung einer 3CX Bridge unter Verwendung des 3CX Tunnel finden Sie im Kapitel Verbinden mehrerer 3CX-Anlagen per Bridge.

Weiterführende Informationen

1 Jahr kostenlos! Wählen Sie Ihre bevorzugte Installation:

On-Premise

für Linux auf 200 € Appliance oder als VM

ISO herunterladen

On-Premise

für Windows als VM

Installationsdatei herunterladen

In der Cloud

In Ihrem Google, Amazon, Azure Konto

Nutzen Sie PBX Express