Sidebar Sidebar
  • Eigenständig gehostete oder lokal installierte Instanzen sind komplexer in der Einrichtung und Fehlerbehebung und erfordern daher kostenpflichtigen technischen Support. Kostenlosen Support erhalten Sie mit 3CX StartUP oder einer gehosteten 3CX-Installation mit einen unterstützten SIP-Trunk-Anbieter.

Firewall Config 3CX für Lancom LCOS 10.XX > 10.7X

R

rh medien

Bronze Partner
Mitglied seit
8. September 2022
Beiträge
3
Hallo Zusammen

Bei 3CX > Configuration guides and docs, finde ich unter: "Configuring Lancom with 3CX" den alten Beitrag:
www.3cx.com

Lancom

This guide outlines the steps required in order to configure your Lancom firewall router with the 3CX Phone System
www.3cx.com www.3cx.com

Dieser Beitrag verursacht bei mir Configurations-Tourette!
Das Thema ist klar, jedoch stimmen ua. Begriffe, Menue- und Eintragungspunkte leider nicht mehr.
Ist alles Verständlich da es im doc um LCOS 9.24 geht und wir aktuelle bei 10.72 sind...

Hat Jemand einen Tipp oder eine strukturierte Vorgehensweise wie ich bei der Umsetzung aller nötigen
Regeln bei einem Lancom Router LCOS >10.5 weiter komme?


Danke für eure Zeit
Robert

(Diesen Beitrag:
https://www.3cx.de/forum/threads/3cx-portfreigabe-lancom.102238/
habe ich auch schon durch...)
 
  • Like
Reaktionen: _voiper
Schließe mich an- der alte Beitrag ist überdies lückenhaft. Hier sollte dringend eine Überarbeitung stattfinden, denn in Deutschland ist Lancom zu Recht eine führende Marke in Sachen Router.
 
Angenommen, die installierte 3CX hat den HTTPS Port 443, den SIP Port 5060, den Tunnel Port 5090, an den RTP Ports wurde nichts verändert und die 3CX hat die LAN IP 10.11.12.13 (kann alles auf die eigenen Wünsche angepasst werden), dann im Lancom folgende NAT Regeln eintragen:
Konfiguration / IP-Router / Maskierung / Port Forwarding
  1. für HTTPS: Anfangs-Port 443, End-Port 443, Gegenstelle <Alias_des_Internetzugang>, Intranet Adresse 10.11.12.13, Map Port 443, Protokoll TCP
  2. für SIP und SIPS: Anfangs-Port 5060, End-Port 5061, Gegenstelle <Alias_des_Internetzugang>, Intranet Adresse 10.11.12.13, Map Port 5060, Protokoll TCP+UDP
  3. für den Tunnel: Anfangs-Port 5090, End-Port 5090, Gegenstelle <Alias_des_Internetzugang>, Intranet Adresse 10.11.12.13, Map Port 5090, Protokoll TCP+UDP
  4. für RTP: Anfangs-Port 9000, End-Port 10999, Gegenstelle <Alias_des_Internetzugang>, Intranet Adresse 10.11.12.13, Map Port 9000, Protokoll UDP
Sofern die Lancom Firewall aktiviert ist (siehe Konfiguration / Firewall/QoS / Allgemein / IPv4-Firewall/QoS aktiviert, ist standardmäßig an), dann noch folgende Regeln anlegen (meiner Meinung nach entbehrlich, ein Lancom reicht die in der Standardkonfiguration durch):
Konfiguration / Firewall/QoS / IPv4-Regeln
  1. ein Stations Objekt für die IP der 3CX anlegen: Name 3CXPBX, Stationen (Eine IP-Adresse oder ein Bereich von Adressen) von 10.11.12.13 bis 10.11.12.13
  2. ein Dienst Objekt anlegen: Name 3CX-TCP, Dienste - Benutzerdefinierte Protokolle,
    TCP, Ports 443,5060,5061,5090
  3. ein Dienst Objekt anlegen: Name 3CX-UDP, Dienste - Benutzerdefinierte Protokolle,
    UDP, Ports 5060,5090,9000-10999
  4. eine Regel anlegen, Name 3CX, Aktionen ACCEPT, Stationen / Verbindungs Ziel - das Stations Objekt 3CXPBX wählen, Dienste / Protokoll/Ziel-Dienste / folgende Protokoll/Ziel-Dienste, hinzufügen der Dienst Objekte 3CX-TCP und 3CX-UDP;
    diese Regel recht weit oben platzieren
Damit die Verbindungen nicht permanent getrennt werden muss das Timeout der halboffenen Verbindungen erhöht werden:
Konfiguration / IP-Router / Maskierung / UDP-Aging auf 300 setzen.

Für Split DNS evtl. noch einen Eintrag unter Konfiguration / DNS / Allgemein / Stations-Namen machen:
Stations-Name = FQDN der 3CX, IPv4 Adresse = 10.11.12.13

Falls nicht schon geschehen SIP-ALG deaktivieren. Dazu unter
Konfiguration / Sonstige Dienste / Dienste / SIP-ALG aktivieren den Haken entfernen und damit deaktivieren.

Damit der Firewall Test der 3CX durchläuft noch unter
Konfiguration / Firewall/QoS / IDS / Maximalzahl der Port-Anfragen auf wenigstens 800 setzen.

Das darf gern verbessert werden. Vielleicht schreibt das jemand dem Nick, damit das in die aktuelle Dokumentation der Firewall Konfigurationen eingepflegt wird.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: LasseSamenstrøm, _voiper und bitn2
Bilder sagen manchmal mehr als Worte:

3CX-Server hat die IP 192.168.115.9

Lancom mit Firmware 10.50.110RU11

1695732700976.png

Und hier:

1695732807791.png

Und hier:

1695732876899.png

Die Firewall-Regeln sind nicht erforderlich, weil durch die Port-Weiterleitungen überflüssig.

Grüße,
Walter
 
  • Like
Reaktionen: avraammich_3CX, _voiper und fxbastler
Danke für die Bilder, ich war einfach zu faul.
Walter Konrad schrieb:
Die Firewall-Regeln sind nicht erforderlich, weil durch die Port-Weiterleitungen überflüssig.
Zum Vergrößern anklicken....
Richtig, sofern die Standardeinstellungen benutzt werden. Das hatte ich so geschrieben.

Deine Zahl in der IDS Maximalanzahl ist zu klein im Bild. Damit läuft der Firewall Test der 3CX nicht durch.
 
Der Wert 404 bei IDS passt bei den 14 Installationen, die wir mit Lancom laufen haben.
Aber letztendlich ist das nur Kosmetik, auch wenn der Firewall-Check in der 3CX deswegen fehlschlägt. So viele Anfragen von einer externen Adresse werden nie auf dem Lancom ankommen.
 
Trotz der Einstellungen lief bei mir der Test nicht komplett durch. Der 3CX PhoneSystem 01 SIP Server...brachte noch nicht das grüne Ergebnis. Beide waren ROT
detecting SIP ALG...
testing port 5060...

UDP-Aging: 240 Sekunden brachte den Erfolg 180 Sekunden waren auch noch gut. (okay das stand sogar oben im Text :cool: )
1705342134677.png
 
fxbastler schrieb:
Angenommen, die installierte 3CX hat den HTTPS Port 443, den SIP Port 5060, den Tunnel Port 5090, an den RTP Ports wurde nichts verändert und die 3CX hat die LAN IP 10.11.12.13 (kann alles auf die eigenen Wünsche angepasst werden), dann im Lancom folgende NAT Regeln eintragen:
Konfiguration / IP-Router / Maskierung / Port Forwarding
Zum Vergrößern anklicken....

fxbastler schrieb:
Sofern die Lancom Firewall aktiviert ist (siehe Konfiguration / Firewall/QoS / Allgemein / IPv4-Firewall/QoS aktiviert, ist standardmäßig an), dann noch folgende Regeln anlegen (meiner Meinung nach entbehrlich, ein Lancom reicht die in der Standardkonfiguration durch):
Konfiguration / Firewall/QoS / IPv4-Regeln
  1. ein Stations Objekt für die IP der 3CX anlegen: Name 3CXPBX, Stationen (Eine IP-Adresse oder ein Bereich von Adressen) von 10.11.12.13 bis 10.11.12.13
  2. ein Dienst Objekt anlegen: Name 3CX-TCP, Dienste - Benutzerdefinierte Protokolle,
    TCP, Ports 443,5060,5061,5090
  3. ein Dienst Objekt anlegen: Name 3CX-UDP, Dienste - Benutzerdefinierte Protokolle,
    UDP, Ports 5060,5090,9000-10999
  4. eine Regel anlegen, Name 3CX, Aktionen ACCEPT, Stationen / Verbindungs Ziel - das Stations Objekt 3CXPBX wählen, Dienste / Protokoll/Ziel-Dienste / folgende Protokoll/Ziel-Dienste, hinzufügen der Dienst Objekte 3CX-TCP und 3CX-UDP;
    diese Regel recht weit oben platzieren
Zum Vergrößern anklicken....
Ich komme bei dem 4. Punkt nicht weiter. Ich finde in der Firewall einstellung kein "Accept" und den Rest auch nicht. Hast du evtl. ein Bild davon ?

Ohne die Firewall läuft der Test durch
 

Anhänge

  • __3CX__, ... Konfiguration 06.03.2024 08_34_09.png
    __3CX__, ... Konfiguration 06.03.2024 08_34_09.png
    15,4 KB · Aufrufe: 14
Dir scheinen die Grundlagen des Lancoms zu fehlen. Guckst Du z.B. hier. Dein Anhang zeigt ein 'Aktions-Objekt'. Damit musst Du gar nichts machen. Du musst eine neue Regel entsprechend Punkt 4 erstellen.
 
  • Like
Reaktionen: fxbastler
Habe es heute hinbekommen. War da etwas verwirrt und ja, habe noch nicht lange damit zu tun, daher sitzen die Basics noch nicht. Daher bin ich froh über jede Hilfe :) Also Firewall ist wieder an und 3CX läuft der Test in Grün durch :)
 
  • Like
Reaktionen: joschi, Walter Konrad und fxbastler
Das Problem liegt offensichtlich daran, dass die 3CX bei Verwendung der Vorlage für den SIP Trunk "Deutsche Telekom (CompanyFlex - VoiceData)" mit der Standard-Einstellungen (600s beim "Zeitlimit für Neuanmeldung") sich dann alle 540s (90% von 600s) erneut anmeldet und bei Verwendung eines LANCOM Routers aus Sicht der Telekom dabei jedes Mal der TCP-Source Port gewechselt wird.

Lösung 1:
Beim LANCOM Router kann das TCP-AGING vom Default Wert 300s auf >600s gesetzt werden, damit es nicht zu den Problemen bei der Neuregistrierungen und zu Gesprächsabbrüchen kommt. Den Wert TCP-AGING ändert man über:

LANconfig: Konfiguration -> IP-Router -> Maskierung

WEBconfig: Experten-Konfiguration -> Setup -> IP-Router-Modul -> Masquerading -> Service-Tabelle

Terminal/Telnet: /Setup/IP-Router-Modul/Masquerading/ServiceTabelle

Lösung 2:
In den Einstellungen für den Trunk "Deutsche Telekom (CompanyFlex - VoiceData)" unter Optionen den Wert für "Zeitlimit für Neuanmeldung" auf maximal 300s heruntersetzen.
 
  • Like
Reaktionen: joschi
Um antworten zu können musst du eingeloggt sein.

Einstieg für Admins

Top-Foren

Zurzeit aktive Besucher

Gesamt: 253 (Mitglieder: 4, Gäste: 249)

Statistik des Forums

Themen
21.361
Beiträge
107.425
Mitglieder
70.521
Neuestes Mitglied
Massimiliano DiBiagio
Holen Sie sich 3CX - völlig kostenlos!

Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX register cta
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Verifizieren Sie Ihre E-Mail-Adresse

Prüfen Sie Ihren Posteingang!

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – Wenn Sie keine Nachricht finden können, dann überprüfen Sie auch Ihren Spam-Ordner.

Oben Unten
Zurück