- Настройка маршрутизаторов и сетевых экранов
- Порты, которые нужно открыть для SIP-транка / VoIP-провайдера
- Порты, которые нужно открыть для приложений 3CX и сервиса SBC
- Порты, которые нужно открыть для видеоконференций 3CX
- Порты, которые нужно открыть для других сервисов (SMTP и сервер активации)
- Другие настройки
- Подробные руководства для распространенных сетевых экранов
- Дополнительная информация
- Проброс SIP RTP портов MikroTik
- Правильный NAT
- SIP-порт — что это такое, как настроить
- Определение SIP-port и его функции
- Номера портов для SIP-соединения, как их настроить
- Проброс портов для SIP
- Не 5060 и 5061 едиными
Настройка маршрутизаторов и сетевых экранов
Если вы установили 3CX на собственном сервере в локальной сети, потребуется настройка вашего сетевого экрана. Это необходимо для корректной работы SIP-провайдеров и удаленного подключения SIP-телефонов. В данном руководстве рассматриваются общие вопросы настройки сетевых экранов для работы с 3CX.
Если у вас используются удаленные подключения IP-телефонов, в удаленном офисе необходимо установить сервер SBC или телефон-маршрутизатор. Кроме того, рекомендуем использовать наши мобильные приложения, которые имеют встроенный туннель для передачи голоса. Подробная информация о работе SBC.
Порты, которые нужно открыть для SIP-транка / VoIP-провайдера
Для работы 3CX с SIP-транками / VoIP-провайдерами и использования технологии WebRTC, создайте в сетевом экране правила публикации следующих портов:
- Порт 5060 (на вход, UDP) и 5060-5061 (на вход, TCP) для SIP-трафика
- Порт 9000-10999 (на вход, UDP) для RTP (Audio) трафика, который передает голос. Каждый вызов использует два RTP порта: один для управления, другой для передачи данных. Это значит, что на каждый одновременных вызов, который примет 3CX, вы должны открыть два порта (т.е. портов должно быть вдвое больше, чем вызовов).
Порты, которые нужно открыть для приложений 3CX и сервиса SBC
Для подключения удаленных пользователей с приложениями 3CX для Android, iOS и Windows, опубликуйте следующие порты:
- Порт 5090 (на вход, UDP и TCP) для технологии 3CX Tunnel.
- Порт 443 или 5001 (на вход, TCP) HTTPS для передачи статусов пользователя и автонастройки телефонов. Если при установке сервера 3CX выбраны другие порты, укажите их.
- Порт 443 (на выход, TCP) для Google Android Push.
- Порты 443, 2197 и 5223 (на выход, TCP) для Apple iOS Push. Дополнительная информация .
PUSH-уведомления отправляются сервером АТС на приложения 3CX, установленные на смартфонах пользователей. При получении сообщения приложение активируется и принимает вызов. Это принципиально важно для мобильных пользователей.
Порты, которые нужно открыть для видеоконференций 3CX
Чтобы пользователи могли создавать видеоконференции или подключаться к совещаниям, облачный сервис видеоконференций 3CX и локальная система 3CX должны обмениваться данными. Для этого необходимо открыть следующие порты:
- Порт 443 (на вход, TCP) должен быть открыт, чтобы участники могли подключиться к вашей системе 3CX.
- Система 3CX. Порт 443 (на выход, TCP) должен быть открыт, чтобы подключаться к облачной инфраструктуре видеоконференций 3CX.
- Участники конференции. Порты 443 (на выход, TCP) и 48000-65535 (на выход, UDP) должны быть открыты для обмена аудио- и видеоданными между участниками.
Порты, которые нужно открыть для других сервисов (SMTP и сервер активации)
Сервер АТС также использует некоторые вспомогательные облачные сервисы 3CX:
- SMTP Service: Облачный сервис SMTP для отправки уведомлений пользователям
smtp-proxy.3cx.net, 2528 (на выход, TCP) - Activation Service: Сервис активации продуктов 3CX
activate.3cx.com, 443 (на выход, TCP, без инспектирования пакетов) - RPS Service: Автонастройка удаленных IP-телефонов
rps.3cx.com, 443 (на выход, TCP) - Update Server: Сервер скачивания обновлений для 3CX и новых прошивок для поддерживаемых IP-телефонов
Downloads-global.3cx.com, 443 (outbound, TCP)
Другие настройки
- Отключите SIP ALG. Для использования с 3CX выбирайте сетевой экран без сервиса SIP ALG (Application Layer Gateway) / SIP Helper или с возможностью его отключения.
- Настройте Split DNS. Настройте свой сервер DNS таким образом, чтобы FQDN 3CX единообразно резолвился как внутри вашей локальной сети, так и из Интернета (этого можно не делать, если вы не планируете подключаться к АТС из внешней сети). Подробнее о настройке раздельной DNS .
- Проверьте корректность настройки утилитой Firewall Checker. После публикации портов проверьте корректность настройки сетевого экрана с помощью утилиты 3CX Firewall Checker !
Подробные руководства для распространенных сетевых экранов
Руководства по публикации портов 3CX в популярных маршрутизаторах / сетевых экранах:
Дополнительная информация
Последнее обновление документа 18 июня 2023
Проброс SIP RTP портов MikroTik
Аналогично делаем для всех пробрасываемых портов.
/ip firewall nat add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=5060 in-interface=ether1-WAN1 protocol=tcp to-addresses=10.73.10.14 add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=5060 in-interface=ether1-WAN1 protocol=udp to-addresses=10.73.10.14 add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=5061 in-interface=ether1-WAN1 protocol=tcp to-addresses=10.73.10.14 add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=4569 in-interface=ether1-WAN1 protocol=udp to-addresses=10.73.10.14 add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=10000-20000 in-interface=ether1-WAN1 protocol=udp to-addresses=10.73.10.14
Правильный NAT
Правило должно быть выше основного NAT для сети.
Для подключения изнутри, нужно настраивать DNS или Hairpin
SIP-порт — что это такое, как настроить
При организации IP-телефонии применяется SIP-протокол (помимо нескольких других). Именно через него осуществляется передача информации, необходимой для установления соединения (сеанса связи) между абонентами (конечными точками), его поддержания, внесения изменений, завершения и так далее. Естественно, для передачи данных с помощью этого протокола используются какие-то порты. Давайте рассмотрим, что это такое, что собой представляют порты для SIP, какая информация через них передается и каким образом происходит их настройка.
Определение SIP-port и его функции
SIP — это порты для IP телефонии, через которые осуществляется прием и передача информации, касающейся сеанса связи/соединения. Т.е. сами мультимедиа данные (речь, видео, картинки и пр.) через эти порты не передаются. Через SIP-ports циркулируют информационные запросы и ответы, необходимые для создания простейшего вызова по IP-сети и его поддержания.
Существует несколько типов запросов:
- инициирование вызова (INVITE ),
- подтверждение установления сеанса связи (ACK) от конечной точки, получившей INVITE,
- отмена запросов, которые стали неактуальными (Cancel),
- завершение текущего соединения/сеанса (BYE),
- регистрация места расположения конечной точки (Register),
- запрос данных о функциональных возможностях конечной точки (OPTIONS), который отправляется.
Ответы, проходящие через порты для SIP, описывают состояние соединения. Они имеют вид трехзначного индекса, первая цифра которого определяет тип ответа. Например, ответ 1xx сообщает о ходе выполнения отправленного запроса. Это — единственный тип ответа, который не завершает запрос. Отправка всех остальных означает завершение запроса. А это следующие типы ответов:
- 2xx. Ответ передается при успешном окончании полученного ранее запроса.
- 3хх. Передается в случае изменения местоположения конечной точки в ходе сеанса.
- 4хх. Традиционно, ответы, начинающиеся с четверки, используются для сообщения о возникающих ошибках.
- 5хх. Аналогично предыдущему варианту: ответы об ошибках на стороне сервера.
- 6хх. Такой ответ формируется SIP-сервером, если установление сеанса с вызываемой конечной точкой невозможно. Причины этого могут быть разными: пользователь занят (уже участвует в другом созвоне), недоступен или вообще не зарегистрирован (неверный номер).
Номера портов для SIP-соединения, как их настроить
Для передачи информации для установления соединения между абонентами и его поддержания (т.е. данных, циркулирующих через SIP-протокол) обычно используется 2 порта (они же — SIP ports) 5060 и 5061. Между ними есть некоторые различия. SIP-порт 5060 имеет следующие отличительные особенности:
- Он используется в случае, когда в ходе сеансов связи осуществляется передача незашифрованного трафика,
- При работе по нему используются TCP и UDP-соединения, что обеспечивает должный уровень защиты данных,
- Этот порт используется в большинстве случаев при совершении VoIP-звонков.
Что касается порта 5061, он применяется в случае, когда речь идет об обмене зашифрованным трафиком. При этом применяется только TCP-соединение.
Проброс портов для SIP
Внутри сети все работает с использованием порта 5061. А вот при организации связи с помощью IP-телефонии, чтобы для вашей инфраструктуры была обеспечена возможность «общения» с конечными точками извне, необходим проброс портов:
- Для исходящего и входящего SIP-трафика для IP-телефонов (софтофонов, обычных телефонов, подключенных к сети через SIP-адаптер и т.д.). Исходящий и входящий SIP-трафик передается с/на порт 5060 на/с портов 1024-65535.
- Для исходящего и входящего RTP-трафика для указанных выше абонентских устройств. Для этого задействуются порты из диапазона1024-65535.
- Для исходящего и входящего трафика с IP-телефона. Передача осуществляется с/на порта 69 на/с порты 1024-65535.
Не 5060 и 5061 едиными
5060 и 5061 можно назвать «традиционными» SIP-портами. Одновременно с этим может возникать и ряд проблем с безопасностью. Угадайте, по каким портам хакеры попытаются проникнуть в вашу SIP-сеть в первую очередь? Правильно, именно по 5060 и 5061. Поэтому часто провайдеры, предоставляющие услуги в области IP-телефонии используют другие номера портов. Благо, применение 5060 и 5061 нигде декларативно не прописано, и нет обязанности применять только их для организации SIP-соединения.
Например, один из крупнейших российских провайдеров IP-телефонии для предотвращения взлома IP АТС на базе программной АТС Asterisk практикует использование для SIP порта 6655 и других. Кроме того, для повышения уровня защищенности применяются такие меры, как:
- Изменение портов IAX и SSH, установленных по умолчанию,
- Запрет подключения по рабочим портам для произвольных IP-адресов. Устанавливается в firewall,
- Ограничение списков адресов и сетей, с которых к IP АТС могут подключаться адаптеры и IP-телефоны,
- Ограничение списка доступных стран и направлений.
Конечно, это далеко не полный список мер по правильному использованию SIP- и других портов, а также технологий для обеспечения высоких показателей безопасности SIP-телефонии. Подробнее узнавайте непосредственно у провайдера. Например, у «Телфин» общий список мер включает более десяти позиций.
Итак, из вышеизложенного можно понять, что SIP-порты обеспечивают сеансы связи, но не применяются непосредственно для передачи мультимедиа в ходе общения между абонентами (конечными точками). Несмотря на то, что 5060 и 5061 порты применяются практически повсеместно, они не являются строго обязательными к использованию, можно (и нужно для обеспечения безопасности) использовать для обмена данными о параметрах соединений по SIP-протоколу и другие номера. Пользуйтесь SIP-протоколом правильно, и получайте уверенность в том, что ваша инфраструктура защищена от преступных посягательств.