3CX防火墙检查器简介
3CX防火墙检查器是一个工具,可用于检查您的路由器或防火墙是否允许与VoIP提供商,桥接,外部分机和3CX隧道连接的网络流量。受支持的3CX电话系统配置要求将所有必需的端口一对一转发到LAN中,转向3CX电话系统设备。我们将使用一个简单的示例来进一步演示3CX防火墙检查器的使用。
为了这个例子,我们将做一些假设:
- 3CX电话系统设备的IP地址为“192.168.0.100”,测试用于端口“9500”。
- WAN到LAN设备上WAN端口的公共IP地址为“11.22.33.44”(外部IP地址)。
端口转发信息
基本上,为了将端口正确转发到3CX电话系统,从PBX发起并且因此具有在其以太网报头中“源IP ::端口”读取192.168.0.100::5060的任何UDP包 ,必须通过以太网“源IP ::端口”报头读取为11.22.33.44::5060到达其最终目的地(通常是VoIP提供商服务,远程分机或桥接PBX)。 因此,实质上,即使需要转换IP地址(以便可以通过Internet Cloud路由流量),也不得转换端口。此外,源自WAN的任何UDP数据包,以太网报头“目标IP ::端口”读取的“11.22.33.44::5060”,必须到达3CX电话系统,并且以太网“目标IP ::端口”报头需要读取为“192.168.0.100::5060”。
3CX防火墙检测器可用于确定端口映射是否已正确配置,还将提供可帮助您正确配置防火墙的其他信息。
运行3CX防火墙检测
要运行3CX防火墙检查:
- 使用凭据登录3CX管理控制台。
- 在“仪表板”中,单击“PBX状态”部分中的“防火墙”节点
- 单击“运行”按钮。
防火墙检查程序启动后,将执行网络测试,并根据防火墙或边界设备的配置,提供结果以及有关修复/解决问题的方法的信息。
注意:
- 重要说明:启动防火墙检查程序将停止所有3CX服务。在测试期间,PBX将不可用。如果测试成功,则每个端口的测试持续1秒,如果端口未通过端口检查,则测试持续5到10秒。默认情况下,防火墙检查程序会检查9000 – 10999范围内的端口。如果一切配置正确,则测试应该不到一分钟。如果所有端口都存在问题,则测试可能需要4到9分钟。您还可以选择取消测试。
- 防火墙检查程序请求在“设置”→“网络”→“公共IP”选项卡中配置的STUN服务器,以连接到它和正在检查的端口。由于端口是按顺序检查的,因此某些防火墙可能会检测端口扫描。发生这种情况时,3CX防火墙检查程序将在检查完前几个端口后开始报告问题。如果发生这种情况,您可能希望在运行3CX 防火墙检测时禁用防火墙上的端口扫描检查。
3CX防火墙检查器测试
防火墙检查程序将通过向STUN服务器发出各种请求来检查连接。 防火墙检查程序执行以下两个测试:
测试1 – 互联网可达性测试
此测试检查3CX PBX是否能够从正在检查的端口与Internet上运行的STUN服务器进行通信。 如果指定了STUN服务器的主机名,则此测试还将执行DNS解析检查。 此测试检查与Internet的基本连接以及STUN服务器是否可访问。
如果测试1出现故障,请检查以下内容:
- 您可能在连接到互联网时遇到一般问题。要确认在服务器上打开浏览器,并检查您是否可以通过访问网站连接到Internet。
- 您可能需要将防火墙配置为允许从运行3CX电话系统的计算机连接到正在检查的端口上的Internet。
- 您的防火墙可能需要配置为允许在TCP和UDP上同时检查与端口的连接。
- 如果STUN服务器不可用,此测试将失败。确认“设置”→“网络”→“公共IP”中的STUN服务器设置正确或使用其他STUN服务器进行测试。
- 确认STUN服务器正在使用的端口。 STUN服务器可能正在另一个端口上运行。
- 除WAN到LAN设备(路由器或防火墙)外,还应检查本地计算机上安装的Windows防火墙是否允许检查端口上的连接。已知防病毒和其他反恶意软件会干扰此过程。您需要禁用或卸载这些以进行确认。注意:禁用这些反恶意软件程序可能不足以通过测试。
- 您的ISP可能会阻止正在检查的端口中的流量。
测试2 – 一对一端口转发(a.k.a.入站连接)测试
在此测试中,防火墙检查程序尝试确定Internet上的服务器是否能够与正在检查的端口上的3CX电话系统进行连接和通信。 这确定了3CX PBX在防火墙设置上是否配置了一对一端口转发(也称为全锥形 Nat)。
对于此测试,3CX 防火墙检测将从正在检查的端口向STUN服务器发送请求,并请求STUN服务器从正在检查的端口上的其他IP地址建立与PBX的连接。
如果测试1成功,但测试2失败,则应检查以下内容:
- 需要检查您的WAN到LAN设备(防火墙或路由器)端口配置为一对一端口转发。
- 某些端口需要为TCP和UDP配置静态端口映射。
结果/错误消息
本节提供了防火墙检查器可以返回的结果/错误列表。
“成功 – 为此端口正确实施端口转发。 VoIP可以工作。支持此配置。“
所有测试都已成功完成。您的WAN到LAN设备(防火墙/路由器)允许在指定端口上连接到Internet并正确执行一对一端口转发。支持此配置。
“STUN服务器没有第二个地址。”
当您使用配置不正确的STUN服务器时,您将收到此错误消息。 STUN服务器必须有2个地址。您将需要使用不同的STUN服务器进行这些测试。
- 登录3CX管理控制台。
- 单击“设置”→“网络”→“公共IP”。
- 找到“外部IP配置”部分并配置以下服务器之一:stun.3cx.com,stun2.3cx.com,stun3.3cx.com,stun4.3cx.com。
“失败 – 未收到响应或端口映射已关闭。端口转发未正确配置。“
没有为正在检查的端口正确配置端口转发。在这种情况下,VoIP提供商和远程分机将无法工作。登录到路由器/防火墙并通过输入3CX所需的端口并将其转发到3CX电话系统计算机的IP地址来配置端口转发。
“失败 – 防火墙检查失败。检测到一些错误。请检查防火墙配置并再次尝试测试。“
如果某些端口通过测试而其他端口没有通过,您将收到此消息。您需要调查哪些端口未通过测试,并检查这些端口的端口转发。还要确保防火墙/路由器不能将特定端口上的连接转发到另一个IP地址。端口应转发到3CX电话系统的IP地址。
“失败 – 收到格式错误的响应 – (又名对称NAT)。端口转发未正确实施。“
我们从STUN服务器获得的响应表明您没有一对一NAT(全锥NAT)。 3CX电话系统需要1到1端口转发入站和出站,以便VoIP提供商,桥接和外部分机工作。
“STUN服务器未回复或未在防火墙上配置端口转发。”
用于此测试的STUN服务器没有回复。可能的原因可能是:
无法访问STUN服务器。
STUN服务器已关闭。
未正确配置端口转发。
“无法解析STUN服务器地址。”
用于解析STUN服务器IP地址的DNS解析失败。这可能是DNS问题,或者STUN服务器完全停止了操作。
“失败 – 从配置的STUN服务器收到格式错误或没有响应。检查您的互联网连接,DNS设置,或从设置→网络→公网IP配置部分更改STUN服务器。“
如果您收到此消息,请检查是否正确实现了端口转发。您的防火墙可能阻止数据包。
“失败 – 此计算机上的另一个应用程序正在使用端口。”或“进程{0}正在使用SIP端口。 3CX防火墙检查程序要求SIP端口是空闲的。“
此测试所需的端口当前正由计算机上安装的另一个应用程序使用。要确定在指定端口上使用的进程,请在命令提示符中运行以下命令:
netstat -ano | findstr / I / C:“PID”/ C:“:9500”
将9500替换为您需要检查的端口号。您将找到正在侦听PID列中指定端口的进程的进程ID。使用此编号通过使用任务管理器或在命令提示符中运行以下命令来标识进程:
任务列表/ fi“pid eq 4”
用之前确定的PID替换4。
“无法访问STUN服务器。 无法执行防火墙检查。 不支持此配置“
无法访问在“网络”→“公网IP配置”部分中配置的STUN服务器。 最可能的原因通常是互联网连接问题:
- 登录3CX管理控制台。
- 单击“设置”→“网络”。
- 转到“公网IP配置”部分,将STUN服务器更改为以下由3CX托管的服务器:stun.3cx.com,stun2.3cx.com,stun3.3cx.com,stun4.3cx.com。