Konfigurieren der DrayTek Vigor 2820-Firewall für die 3CX Telefonanlage

Einführung

In diesem Dokument wird beschrieben, wie Sie die Firewall des DrayTek Vigor 2820-Routers für den gemeinsamen Einsatz mit der 3CX Telefonanlage konfigurieren, insbesondere die NAT-Einstellungen und die QoS-Einstellungen zum Priorisieren des SIP- und RTP-Traffics. Die folgenden Schritte basieren auf der DrayTek-Firmware-Version 3.3.3 vom 23. Oktober 2009.

Hinweis: 3CX bietet keine weitergehende Unterstützung bei der Konfiguration von Firewalls.

Schritt 1: Deaktivieren des SIP ALG

Deaktivieren Sie zuerst wie folgt das SIP ALG (Application Layer Gateway) Ihres DrayTek-Routers:

1. Geben Sie über die Befehlszeile den folgenden Befehl für eine Telnet-Verbindung zum DayTrek-Router her:

2. Deaktivieren Sie den SIP ALG Handler des Routers, indem Sie die folgenden beiden Befehle eingeben:

3. Falls Sie das Modell Vigor 2750 oder Vigor 2130 nutzen, verwenden Sie stattdessen die folgenden beiden Befehle:

Schritt 2: Konfigurieren des Port Forwarding (NAT)

1. Rufen Sie die Web-Oberfläche des Routers in Ihrem Webbrowser auf (standardmäßige IP-Adresse: 192.168.1.1).
2. Klicken Sie im Menü auf 'NAT' > 'Open Ports'.

3. Nehmen Sie in der Liste unter dem Menü 'Open Port' im ersten noch nicht vorbefüllten Eintrag die folgenden Einstellungen vor:

• Stellen Sie sicher, dass die Option 'Enable Open Ports' ausgewählt ist.
• Geben Sie im Eingabefeld 'Comment' den Wert '3CX' an.
• Wählen Sie in der Dropdown-Liste 'WAN Interface' die Option 'WAN1' aus.
• Geben Sie im Eingabefeld 'Local Computer' die dem 3CX Server zugewiesene IP-Adresse an (in diesem Beispiel: 192.168.1.200).
• Jede Zeile dient dazu, einen einzelnen Port oder einen Port-Bereich zu öffnen und das zugehörige Protokoll anzugeben. Öffnen Sie alle für die 3CX Telefonanlage erforderlichen Ports, die hier auf dem neuesten Stand gehalten werden.

4. Klicken Sie unten auf der Seite auf 'OK', um die Seite 'Open Ports' mit einer Übersicht zu allen offenen Ports anzuzeigen.

Schritt 3: QoS-Konfiguration – Bandbreiten-Management

1. Rufen Sie die Web-Oberfläche des Routers in Ihrem Webbrowser auf (standardmäßige IP-Adresse: 192.168.1.1).

2. Klicken Sie im Menü auf 'Bandwidth Management' > 'Quality of Service'.
3. Klicken Sie in der Spalte 'Service Type' auf den Link 'Edit'.

4. Füllen Sie für jeden Port und Port-Bereich, der von Ihrer 3CX Installation verwendet wird, die folgenden Eingabefelder aus:

• Service Name – Geben Sie den Namen des Diensts an, für den der Port verwendet wird.
• Service Type – Wählen Sie abhängig vom geöffneten Port 'TCP' und/oder 'UDP' aus.
• Type – Wählen Sie 'Single' oder 'Range' aus.
• Port Number – Geben Sie den Port oder Port-Bereich für den Dienst an.

Wiederholen Sie Schritt 4 oben für alle Ports, die von Ihrer 3CX Installation verwendet werden. Hinweis: Eine aktuelle Liste der von 3CX Telefonanlage standardmäßig verwendeten Ports finden Sie hier.

Schritt 4: Erstellen einer Klassenregel

1. Klicken Sie in der Spalte 'Rule' in der Zeile 'Class 1' auf den Link 'Edit'.
2. Geben Sie im Eingabefeld 'Name' den Wert '3CX VoIP' ein.
3. Klicken Sie auf die Schaltfläche 'Add'.
4. Nehmen Sie folgende Einstellungen vor:

• Setzen Sie 'ACT' auf 'Enabled'.
• Geben Sie im Eingabefeld 'Local Address' die IP-Adresse Ihrer 3CX Telefonanlage ein (in diesem Beispiel: 192.168.1.200).
• Überprüfen Sie, ob für die 'Remote Address' der Wert 'Any' ausgewählt ist.
• Überprüfen Sie, ob für 'DiffServ CodePoint' der Wert 'Any' ausgewählt ist.
• Geben Sie als 'Service Type' einen der Diensttypen an, die Sie in Schritt 3 erstellt haben.

5. Klicken Sie auf die Schaltfläche 'OK'.
6. Wiederholen Sie die Schritte 1 bis 5 für alle oben in Schritt 3 erstellten Dienste.

7. Klicken Sie abschließend auf die Schaltfläche 'OK', um die Klassenregel zu speichern.

Schritt 5: Zuweisen einer Prioriätsstufe

Führen Sie die folgenden Schritte durch, damit der Router sämtlichem Traffic der Klasse '3CX VoIP' eine Prioritätsstufe zuweist.

1. Klicken Sie auf 'Bandwidth Management' > 'Quality of Service' und dann in der Zeile 'WAN1' auf den Link 'Setup'.

2. Wählen Sie das Kontrollkästchen 'Enable the QoS Control' aus und dann in der zugehörigen Dropdown-Liste für die Traffic-Richtung die Option 'BOTH'.
3. Geben Sie unter dem Index 'Class 1' für den Klassennamen '3CX VoIP' als 'Reserved_bandwidth Ratio den Wert '70 %' an.
4. Geben Sie unter dem Index 'Class 2' und 'Class 3' als Wert für 'Reserved_bandwidth Ratio jeweils den Wert '10 %' an.
5. Klicken Sie auf die Schaltfläche 'OK', um die Konfiguration abzuschließen.

Hinweis: Mit 'Reserved_bandwidth Ratio' wird die vorgegebene Bandbreite nur dann für den 3CX Traffic reserviert, wenn die insgesamt verfügbare Bandbreite auch von anderen Arten von Traffic beansprucht wird.

Schritt 6: Überprüfen aller Einstellungen

Melden Sie sich an der 3CX Verwaltungskonsole an, und klicken Sie im Dashboard auf 'Firewall', um den Firewall-Checker zu starten und somit die für die 3CX Telefonanlage erforderliche Firewall-Konfiguration zu testen. Weiterführende Informationen zum Firewall-Checker finden Sie hier.

Hinweise für Benutzer von VoIP-Modellen von DrayTek

Falls Sie eine VoIP-Appliance von DrayTek verwenden, müssen Sie zusätzlich zu den oben beschriebenen Schritten folgende Einstellungen vornehmen, damit ein gemeinsamer Einsatz mit der 3CX Telefonanlage möglich ist:

1. Melden Sie sich an der Online-Benutzeroberfläche Ihres DrayTek-Geräts an.
2. Klicken Sie in der DrayTek-Verwaltungskonsole auf 'VoIP' > 'SIP Accounts'.
3. Geben Sie unter 'Change the SIP port in VoIP' einen anderen Port als '5060' an.
   Hinweis: Alle Ports Ihrer SIP-Konten müssen geändert werden.

4. Klicken Sie auf 'OK', um die Änderungen zu speichern.

Führen Sie einen Neustart des DrayTek-Geräts durch, nachdem Sie die Änderungen an all Ihren SIP-Konten vorgenommen haben.

Letztes Update

Dieses Dokument wurde zuletzt am 18. August 2023 aktualisiert.
https://www.3cx.de/docs/draytek-firewall-konfiguration/