Konfigurieren des MikroTik Access Points für die 3CX Telefonanlage
Einführung
In diesem Dokument wird beschrieben, wie Sie den Access Point MicroTik RB951 und ähnliche Modelle der RB-Serie für den gemeinsamen Einsatz mit der 3CX Telefonanlage konfigurieren. Einstellungen lassen sich auch per GUI (winbox.exe) oder Web-Oberfläche vornehmen, nachfolgend wird jedoch die SSH-gestützte Konfiguration beschrieben.
Hinweis: 3CX bietet keine weitergehende Unterstützung bei der Konfiguration von Firewalls..
Schritt 1: Deaktivieren Sie SIP ALG
- Melden Sie sich bei der Firewall an. Geben Sie in der Befehlszeile Folgendes ein:
ip firewall service-port disable sip
Schritt 2: Konigurieren des Port Forwarding (NAT)
Leiten Sie mit Hilfe der folgenden Befehle alle Ports weiter, die für die Konfiguration des 3CX Session Border Controller (SBC), externer 3CX Nebenstellen und VoIP-Provider erforderlich sind.
Geben Sie die nachfolgenden Befehle ein, während Sie an der Firewall angemeldet sind.
Hinweis: Ersetzen Sie die eckigen Klammern durch die in Ihrem Netzwerk verwendeten IP-Adressen bzw. Ports.:
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[HTTPS Port] protocol=tcp dst-port=[HTTPS Port] comment="3CX Presence and Provisioning HTTPS"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port] protocol=udp dst-port=[SIP Port] comment="3CX SIP UDP"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port] protocol=tcp dst-port=[SIP Port] comment="3CX SIP TCP"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port + 1] protocol=tcp dst-port=[SIP Port + 1] comment="3CX SIP TLS"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=9000-10999 protocol=udp dst-port=9000-10999 comment="3CX Media UDP"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[Tunnel Port] protocol=tcp dst-port=[Tunnel Port] comment="3CX Tunnel TCP"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[Tunnel Port] protocol=udp dst-port=[Tunnel Port] comment="3CX Tunnel UDP"
Schritt 3: Inbound Access List (nur bei PAT-Konfiguration)
Falls Sie ein 1:1-NAT verwenden, können Sie diesen Schritt überspringen. Im Fall einer PAT-Konfiguration müssen Sie mit Hilfe der nachfolgenden Befehle die erforderlichen Zugriffsregeln erstellen:
- ip firewall filter add chain=input action=accept connection-state=established
- ip firewall filter add chain=input action=accept connection-state=related
- ip firewall filter add chain=forward action=accept connection-state=established
- ip firewall filter add chain=forward action=accept connection-state=related
- ip firewall filter add chain=forward action=drop connection-state=invalid
- ip firewall filter add chain=input action=drop in-interface=[Interface Name]
- ip firewall nat add chain=srcnat action=masquerade out-interface=[Interface Name]
Bitte beachten Sie, dass Sie bei Befehl 6 und 7 oben für “in-interface” den Namen der Schnittstelle mit der öffentlichen IP-Adresse angeben müssen. Alle Schnittstellennamen lassen sich mit Hilfe des folgenden Befehls anzeigen:
Schritt 4: Überprüfen der Konfiguration
- Melden Sie sich an der 3CX Verwaltungskonsole an, und klicken Sie im Dashboard auf “Firewall”, um den Firewall-Checker zu starten und somit die für die 3CX Telefonanlage erforderliche Firewall-Konfiguration zu testen. Weiterführende Informationen zum Firewall-Checker finden Sie hier.
- Überprüfen Sie die Firewall-Konfiguration mit Hilfe der folgenden Befehle:
- > ip address print
- > ip firewall nat print
- > ip firewall filter print
Weiterführende Informationen
Letztes Update
Dieses Dokument wurde zuletzt am 26. September 2023 aktualisiert.
https://www.3cx.de/docs/mikrotik-firewall-konfiguration/