Self Hosted v20: keine Verbindung von/zur App?! Unifi / Unraid

[Saarlaender]

Hallo Leute,

ich habe mich jetzt an die v20 getraut, nachdem v18 jetzt lange problemlos funktioniert hat - inkl. App.

Die Version V20 habe ich komplett neu aufgesetzt (die 3CX-Iso als VM auf Unraid) und eingerichtet. Telekom-Trunks sind aktiv und grün, Telefonieren via Fanvil X7A geht auch soweit.
Bis hier hin gab es im Firewall-Check immer einen Fehler auf Port 5060, obwohl der Port bei v18 ging und ich ihn genau wie alle anderen Portfreigaben "nicht" geändert habe (nur die IP im Unifi-Router - die hat sich ja nun geändert). Alle anderen Ports waren IO, die Funktion war soweit (Telefonie mit Fanvils) auch ok.

Die App hatte - zuhause - sogar eine Verbindung aufgebaut. Unterwegs bin ich unsicher.

Ohne weitere - bewusste - Änderungen war dann irgendwann der Port 5060 auch ok im Firewall-Test, die App war aber offline und kommt weder zuhause im Wlan noch unterwegs online.



Gibts Hinweise, wonach ich suchen bzw. welche Einstellungen ich prüfen kann? Insbesondere vor dem Hintergrund, dass ich aktuell noch alles genau so eingerichtet habe wie mit v18. Evt. gibts ja neue Ports die freigeschaltet werden müssen etc. Auch wenn der Portscan bei mir vollständig grün ist...



vielen Dank

 

[fxbastler]

Der 3CX Firewall Test überprüft keine TCP Ports. Unter anderem die Smartphone und Desktop Anwendungen benötigen aber zwei, siehe hier.

 

[Saarlaender]

Danke für die Info. Bei mir hat lediglich der 5001 gefehlt, ansonsten sind die ganzen Ports ja offenbar gleich zur v18 geblieben und korrekt eingestellt.

Die App bekommt aber keine Verbindung und bekommt auch die URL xyz.my3cx.de - da komm ich auch direkt via Browser nicht drauf.

Gibts weitere Ideen?



ps: Bis v20 lief, musste ich mehrfach alles neu installieren etc. Nicht dass da irgend ne Verknüpfung nicht sauber angelegt wurde?! Kann ich das iwie prüfen / neu anlegen?

 

[fxbastler]

Die App bekommt aber keine Verbindung und bekommt auch die URL xyz.my3cx.de - da komm ich auch direkt via Browser nicht drauf.

Das sagt doch alles.

Aber vielleicht fehlte bei diesem Test ja einfach nur ein https:// davor und die Angabe des Port :5001 (bzw. der von deiner 3CX verwendete HTTPS Port) dahinter.

Zumindest das Webinterface der 3CX muss intern (per FQDN und Split DNS) und extern benutzbar sein. Egal ob die 3CX den HTTPS Port 5001, 443 oder einen sonstigen benutzt.

 

[Saarlaender]

Danke, aber das hat auch keine Besserung gebracht.

Wie kann ich das denn Troubleshooten, sprich den verwendeten Port checken und die IP auf die xyz.my-3cx.de auflöst? Wenn der auf 443 geht, landet er definitiv im Nirvana - der is nich freigeschaltet bzw. nich auf 3CX gemappt.

Wenn ich meine öffentliche IP direkt via Browser versuche zu erreichen, lande ich bei Port 5001 via http auf connection refused und bei https auf timeout

 

[fxbastler]

Wie kann ich das denn Troubleshooten, sprich den verwendeten Port checken

Wenn du wirklich nicht weißt, auf welchen HTTPS Port die 3CX eingerichtet ist (eigenartig), dann schau in einer Shell auf dem System nach, z.B. mit netstat -anp. Da sieht man den verwendeten Port, an dem der Dienst nginx master an der lokalen IP 0.0.0.0 lauscht.

Falls der Webserver gar nicht läuft, dann ist systemctl status bzw. systemctl rot.

 

[Saarlaender]

Danke,

ich habs mir halt - sofern es während der Installationsroutine wählbar war bzw. angezeigt wurde - nicht gemerkt... Bei sowas gehe ich auch davon aus, dass man das nach der Installation sowohl sehen als auch ändern kann.

netstat -anp kann ich nicht vollständig analysieren. Ein anderes Problem meiner Umgebung: Ich kann da nicht scrollen und keine Sonderzeichen eingeben. Da arbeiten wir an anderer Stelle dran

systemctl status is grün und running, bei systemctl sehe ich nginx auch running


(Wo) kann ich denn auf der Adminoberfläche die entsprechende Konfig sehen / ändern?



ps: Adminoberfläche -> Klick auf "Verbindungen" scheint mir ne passende Liste anzuzeigen - aber ich weiß nicht welche Einträge ich prüfen soll. Ich sehe sowohl 80 als auch 443.

Angemeldet zeigt er mir auch an "3CX ab Version 20 erfordert eine sichere Verbindung, um den Webclient zu nutzen. Sie verwenden keine FQDN oder HTTPS, um sich mit 3CX zu verbinden."

Ich bin via https drauf - Zertifikat ungültig.

Kann es daran liegen? Sprich dass FQDN noch nicht passt? Laut Anleitung geht das bei meiner HW automatisch nachdem man Port Forwarding eingerichtet hat (habe ich - und wenn der Firewall-Test ok ist (ist er)

 

[fxbastler]

(Wo) kann ich denn auf der Adminoberfläche die entsprechende Konfig sehen

Admin / Systemübersicht rechts zweite Zeile von oben. Aber Moment mal - ich denke, da kommst du nicht hin oder habe ich etwas hier verpasst?

ändern?

In einer laufenden 3CX gar nicht. Das geht nur beim Durchlauf des 3CX Installationsassisten, z.B. direkt nach einer Neuinstallation (auch mit Einspielen eines Backups).

netstat -anp kann ich nicht vollständig analysieren. Ein anderes Problem meiner Umgebung: Ich kann da nicht scrollen und keine Sonderzeichen eingeben.

netstat -anp | less (sofern ihr das | eingeben könnt) oder mit > in eine Datei umleiten und mit less anschl. anschauen.

Angemeldet zeigt er mir auch an "3CX ab Version 20 erfordert eine sichere Verbindung, um den Webclient zu nutzen. Sie verwenden keine FQDN oder HTTPS, um sich mit 3CX zu verbinden."

Ich bin via https drauf - Zertifikat ungültig.

Das nächste Problem, evtl. die Ursache. Was ist denn das für ein FQDN? Einer von 3CX oder ein eigener? Was steht denn in dem falschen Zertifikat drin (Aussteller, für wen, für was, ab wann, bis wann)?

 

[bitn2]

Wie kommst du denn auf die Admin Oberfläche? Wenn du nur die IP eingibst und keinen Port, dann nutzt du 443 und musst den entsprechend weiterleiten.

 

[Saarlaender]

Sorry, die letzten Tage waren etwas knapp zeitlich gesehen. Ich hoffe ich komme am WE zu den Tests

Die Oberfläche erreiche ich über die IP - bzw. manuell dann mit https davor, sonst gehts ja glaub nich obwohl die Login-Seite auch mit http lädt.

 

[Saarlaender]

Admin / Systemübersicht rechts zweite Zeile von oben. Aber Moment mal - ich denke, da kommst du nicht hin oder habe ich etwas hier verpasst?

NetzwerkportsSIP:5060 SIPS:5061Tunnel:5090 Media:9000-10999
HTTP:80 HTTPS:443

In einer laufenden 3CX gar nicht. Das geht nur beim Durchlauf des 3CX Installationsassisten, z.B. direkt nach einer Neuinstallation (auch mit Einspielen eines Backups).


netstat -anp | less (sofern ihr das | eingeben könnt) oder mit > in eine Datei umleiten und mit less anschl. anschauen.

Das nächste Problem, evtl. die Ursache. Was ist denn das für ein FQDN? Einer von 3CX oder ein eigener? Was steht denn in dem falschen Zertifikat drin (Aussteller, für wen, für was, ab wann, bis wann)?

Zertifikat ist ein Lets Encrypt mit dem Namen xyz.my3cx.de

 

[Saarlaender]

Wie kommst du denn auf die Admin Oberfläche? Wenn du nur die IP eingibst und keinen Port, dann nutzt du 443 und musst den entsprechend weiterleiten.

Ich kann die IP im Browser eingeben und komm dann auf die Oberfläche. Login klappt aber nur, wenn ich manuell https://ip eingebe - es gibt also keine Weiterleitung auf https


was nicht geht ist die xyz-de.my3cx.de ... egal ob mit http oder https


Was mich da wundert: Die hinterlegte öffentliche IP im Adminbereich (Systemübersicht) ist falsch und es steht Static dabei... das is sicher mal ein dicker Fehler - korrigiere ich jetzt mal und teste weiter

Update: Wenn ich umstelle auf dynamische IP, gehen die Trunks offline mit der Meldung
Call or Registration to Telekom_xyz has failed. sip:[email protected];transport=TCP replied: 403 Forbidden; from IP:217.0.148.133:5060 (wobei das nicht meine öffentliche IP ist)

Wenn ich zurück stelle auf Static-IP, gehen die Trunks wieder online.

Beim Test mit dynamischer IP ging xyz-de.my3cx.de NICHT ... nach Rückstellung auf statische IP (und mit - für den Moment - korrekter IP) geht es dann. Könnte aber auch daran liegen, dass das Update der IP für die URL etwas dauert.

Auch nachdem xyz-de.my3cx.de wieder funktioniert, gehen die Trunks nach Umstellung auf dynamische IP offline und kommen erst wieder mit Einstellung static ip

 

[mbehrens]

Ich kann die IP im Browser eingeben und komm dann auf die Oberfläche. Login klappt aber nur, wenn ich manuell https://ip eingebe - es gibt also keine Weiterleitung auf https


was nicht geht ist die xyz-de.my3cx.de ... egal ob mit http oder https

Dann ist wohl der DNS kaputt. Der FQDN der 3CX muss intern auf einen Private Address Space verweisen (Prefix 10/8, 172.16/12, 192.168/16).

 

[Saarlaender]

Also wie in meinem Update zu sehen geht alles, wenn eine (korrekte) statische IP vergeben wird.

Mit der Einstellung dynamische IP gehen die trunks nicht (wtf?!)

 

[bitn2]

Update: Wenn ich umstelle auf dynamische IP, gehen die Trunks offline mit der Meldung
Call or Registration to Telekom_xyz has failed. sip:[email protected];transport=TCP replied: 403 Forbidden; from IP:217.0.148.133:5060 (wobei das nicht meine öffentliche IP ist)

Das ist die IP der Telekom und hat nichts mit deiner IP zu tun. Wenn du auf dynamisch stellst, bekommst du dann deine richtige öffentliche IP? Wenn die Portweiterleitungen im Controller korrekt hinterlegt sind (ich gehe mal davon aus das du ein Unifi Gateway hast) dann sollte auch der FQDN aufrufbar sein. Was nutzt du als DNS?

 

[fxbastler]

was nicht geht ist die xyz-de.my3cx.de ... egal ob mit http oder https

Wie weiter oben schon mehrfach geschrieben: das ist so nicht richtig und stark problembehaftet. Das ist vordergründig ein internes DNS Problem mit der Nummer 1.

Wenn dann mal irgendwann die 3CX per FQDN aufgerufen wird (weil Problem 1 behoben wurde), dann darf da auch kein Zertifikatproblem bestehen, sonst ist das Problem Nr. 2. Da du einen 3CX FQDN verwendest sollte sich das Problem nach einer gewissen Zeit von selber beheben. Man kann das grundsätzlich nicht forcieren.

Wenn an diesem Internetanschluss nur dynamische sich ändernde öffentliche IPv4 zur Verfügung stehen, dann muss das auch so in der 3CX angegeben sein, das ist Problem Nr. 3. Erst wenn Problem 3 behoben ist, wird sich vmtl. Problem 2 in endlicher Zeit (durchaus 1 Tag, manchmal gar länger) von selber lösen.

Die 3CX schaut bei einer dynamischen öffentlichen IPv4 regelmäßig nach, was das für eine ist. Je nachdem was für eine 3CX Version verwendet wird, ist der Zeitraum des Verfolgen der eigenen öff. IPv4 einer 3CX unterschiedlich. Bei einer Standard oder Pro sind das 6 Stunden, bei einer Enterprise 5 min. Für diesen Vorgang muss der Internetzugang im allgemeinen für die 3CX funktionieren, DNS für die 3CX muss funktionieren, die in den Netzwerkeinstellungen der 3CX hinterlegten Public STUN Server müssen erreichbar sein und auch richtig funktionieren. Dann erkennt die 3CX die geänderte öff. IPv4, speichert die bei sich sichtbar neu ein und benutzt diese für die ab da folgenden Registrierungen beim SIP Trunk Provider. Wenn das nicht oder zu spät funktioniert, dann funktionieren keine eingehenden Anrufe und i.d.R. geht der SIP Trunk auf rot und funktioniert gar nicht mehr.

 

[Saarlaender]

Also nochmal ganz konkret:

Der eigentliche Fehler des ganzen Threads hier war und ist die IP.



Nach Umstellung auf dynamische IP bekam die 3CX sofort die korrekte IP (zumindest stand eine andere IP im Feld für die statische IP) und nach einiger Zeit funktionierte auch xyz-de.my3cx.de
Disclaimer: ich will nicht zu 100% ausschließen, dass ich testweise die tatsächliche aktuelle IP manuell eingetragen habe :-D

Was nach der Umstellung auf dynamische IP NICHT (!!!) geht sind die Trunks, welche alle 3 mit der beschriebenen Fehlermeldung ausfallen. Dieses Problem findet man so auch mindestens noch einmal online mit genau der "Lösung", zurück zu stellen auf statische IP. Das kann aber nicht die Lösung sein, wenn man nunmal eine dynamische IP hat.


Zugegeben, mit FQDN hab ich mich nicht auseinander gesetzt und ich hab auch keinen Plan was konkret das für mich bedeuten würde - nachdem ich gelesen habe, dass ich bei meiner Unifi Hardware nichts einstellen muss, war die Sache für mich erstmal gegessen. Hier sei nochmal daran erinnert, dass alles (!) inkl. App und co schon funktioniert hat. Vermutlich wie erwähnt, weil zu Beginn die IP dann einmal korrekt war - genau bis zur ersten Zwangsstrennung der Telekom, was ja alle 24h rum passiert.

DNS hab ich nix eingestellt, ist also was auch immer die Telekom zuweist



Ich sehe also das verbleibende bzw. eigentliche Problem in dem Zusammenspiel von der Einstellung "dynamische IP" und den Trunks der Telekom.
Wenn ich dazu einen neuen Thread aufmachen soll, gebt mir bitte kurz Bescheid

 

[bitn2]

Zwangsstrennung der Telekom, was ja alle 24h rum passiert.

Macht die Telekom mittlerweile nur alle 180 Tage. Die Trunks sollten sich nach einer IP Änderung aber sofort wieder registrieren. Statisch oder Dynamisch sollte da egal sein.

 

[mbehrens]

Zugegeben, mit FQDN hab ich mich nicht auseinander gesetzt und ich hab auch keinen Plan was konkret das für mich bedeuten würde [...]

Nicht ohne Grund steht in den Installationsvoraussetzungen für v20:

Der 3CX-FQDN muss in die IP-Adresse Ihres 3CX Host-Rechners in Ihrem LAN aufgelöst werden und vom Internet aus in Ihre öffentliche IP-Adresse.