Konfigurieren des MikroTik Access Points für die 3CX Telefonanlage

Einführung
Schritt 1: Deaktivieren Sie SIP ALG
Schritt 2: Konigurieren des Port Forwarding (NAT)
Schritt 3: Inbound Access List (nur bei PAT-Konfiguration)
Schritt 4: Überprüfen der Konfiguration
Weiterführende Informationen

Einführung

In diesem Dokument wird beschrieben, wie Sie den Access Point MicroTik RB951 und ähnliche Modelle der RB-Serie für den gemeinsamen Einsatz mit der 3CX Telefonanlage konfigurieren. Einstellungen lassen sich auch per GUI (winbox.exe) oder Web-Oberfläche vornehmen, nachfolgend wird jedoch die SSH-gestützte Konfiguration beschrieben.

Hinweis: 3CX bietet keine weitergehende Unterstützung bei der Konfiguration von Firewalls..

Schritt 1: Deaktivieren Sie SIP ALG

Melden Sie sich bei der Firewall an. Geben Sie in der Befehlszeile Folgendes ein:
ip firewall service-port disable sip

Schritt 2: Konigurieren des Port Forwarding (NAT)

Leiten Sie mit Hilfe der folgenden Befehle alle Ports weiter, die für die Konfiguration des 3CX Session Border Controller (SBC), externer 3CX Nebenstellen und VoIP-Provider erforderlich sind.

Geben Sie die nachfolgenden Befehle ein, während Sie an der Firewall angemeldet sind.

Hinweis: Ersetzen Sie die eckigen Klammern durch die in Ihrem Netzwerk verwendeten IP-Adressen bzw. Ports.:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[HTTPS Port] protocol=tcp dst-port=[HTTPS Port] comment="3CX Presence and Provisioning HTTPS"
ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port] protocol=udp dst-port=[SIP Port] comment="3CX SIP UDP"
ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port] protocol=tcp dst-port=[SIP Port] comment="3CX SIP TCP"
ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port + 1] protocol=tcp dst-port=[SIP Port + 1] comment="3CX SIP TLS"
ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=9000-10999 protocol=udp dst-port=9000-10999 comment="3CX Media UDP"
ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[Tunnel Port] protocol=tcp dst-port=[Tunnel Port] comment="3CX Tunnel TCP"
ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[Tunnel Port] protocol=udp dst-port=[Tunnel Port] comment="3CX Tunnel UDP"

Schritt 3: Inbound Access List (nur bei PAT-Konfiguration)

Falls Sie ein 1:1-NAT verwenden, können Sie diesen Schritt überspringen. Im Fall einer PAT-Konfiguration müssen Sie mit Hilfe der nachfolgenden Befehle die erforderlichen Zugriffsregeln erstellen:

ip firewall filter add chain=input action=accept connection-state=established
ip firewall filter add chain=input action=accept connection-state=related
ip firewall filter add chain=forward action=accept connection-state=established
ip firewall filter add chain=forward action=accept connection-state=related
ip firewall filter add chain=forward action=drop connection-state=invalid
ip firewall filter add chain=input action=drop in-interface=[Interface Name]
ip firewall nat add chain=srcnat action=masquerade out-interface=[Interface Name]

Bitte beachten Sie, dass Sie bei Befehl 6 und 7 oben für “in-interface” den Namen der Schnittstelle mit der öffentlichen IP-Adresse angeben müssen. Alle Schnittstellennamen lassen sich mit Hilfe des folgenden Befehls anzeigen:

/interface print

Schritt 4: Überprüfen der Konfiguration

Melden Sie sich an der 3CX Verwaltungskonsole an, und klicken Sie im Dashboard auf “Firewall”, um den Firewall-Checker zu starten und somit die für die 3CX Telefonanlage erforderliche Firewall-Konfiguration zu testen. Weiterführende Informationen zum Firewall-Checker finden Sie hier.
Überprüfen Sie die Firewall-Konfiguration mit Hilfe der folgenden Befehle:

Befehle zur Firewallkonfiguration