Проброс портов UniFi USG для 3CX PBX

Проброс портов UniFi USG для 3CX PBX, UniFi Network

bethelcolonyit

Guest

15.09.2018 20:44:00

Я не смог найти эту информацию ни на форумах, ни в службах поддержки 3CX или Ubiquiti, поэтому решил написать короткое руководство, чтобы помочь всем, кто пытается настроить требования файервола 3CX с использованием USG или USG Pro 4 Port. Мне удалось использовать следующее руководство от 3CX для настройки правил проброса портов: https://www.3cx.com/docs/manual/firewall-router-configuration/

Зайдите в веб-портал контроллера UniFi.
Выберите иконку настроек.
Выберите меню Routing & Firewall.
Перейдите на вкладку Port Forwarding.
Выберите опцию создания нового правила проброса портов.
Создайте следующие правила проброса, заменив IP назначения 192.168.1.100 на IP-адрес вашего сервера 3CX PBX.

Имя: PBX HTTPs
От: Anywhere
Порт: 5001
IP назначения: 192.168.1.100
Порт назначения: 5001
Протокол: TCP
Включить логи: опционально

Имя: PBX RTP
От: Anywhere
Порты: 9000-10999
IP назначения: 192.168.1.100
Порты назначения: 9000-10999
Протокол: UDP
Включить логи: опционально

Имя: PBX SIP
От: Anywhere
Порт: 5060
IP назначения: 192.168.1.100
Порт назначения: 5060
Протокол: Both
Включить логи: опционально

Имя: PBX SIPs
От: Anywhere
Порт: 5061
IP назначения: 192.168.1.100
Порт назначения: 5061
Протокол: TCP
Включить логи: опционально

Имя: PBX Tunnel
От: Anywhere
Порт: 5090
IP назначения: 192.168.1.100
Порт назначения: 5090
Протокол: Both
Включить логи: опционально

Теперь вы можете снова запустить тест файервола 3CX PBX.

JAKIT

Guest

05.02.2019 16:20:00

Ты загрузил свой конфигурационный файл в аккаунт в приложении 3cx для Windows? Конфигурационный файл можно найти в разделе Welcome 3CX ext... рядом с твоим QR-кодом. А для софтфона, по-моему, такая настройка не нужна. Настройка фаервола нужна только для настоящего SIP-телефона. Yealink, GrandStream... У меня, например, оба GXP2130 подключены к облачной АТС через TLS, и роутер для этого не настраивался. И правил для моего приложения в Windows я не создавал.

bethelcolonyit

Guest

04.02.2019 01:04:00

Intouch01, я думаю, вы неправильно поняли ситуацию. Ваш сервер IP-АТС размещён в облаке, а под облаком имеется в виду сервер в удалённой сети. В этой сети есть файрвол, который нужно настроить согласно рекомендациям из этого руководства. Именно поэтому я и сказал, что вам нужно связаться с ними, чтобы они помогли вам с настройкой. У них есть вся информация о локальных адресах сети и необходимый доступ к настройкам файрвола. Ваша локальная сеть не должна требовать никаких изменений, если только SIP ALG отключён. Пожалуйста, позвоните вашему облачному провайдеру и объясните, что для вашего хостингованного IP-АТС нужно настроить порты так, как описано в этом руководстве или согласно инструкции для роутера, которую можно найти на сайте поддержки 3CX: https://www.3cx.com/support/firewall-configuration/

Rooster1 Guest	#4 03.02.2019 23:50:00 Это софтфон 3CX для Windows. SIP ALG отключен как на роутере, так и на роутере провайдера. Я почти уверен, что та же причина, по которой проверка фаервола не проходит в 3CX, вызывает и одностороннюю речь.

JAKIT Guest	#5 03.02.2019 23:48:00 Какую софтфон-программу ты используешь?

Rooster1

Guest

03.02.2019 23:41:00

Окей, роутер/шлюз по умолчанию — 192.168.0.1. Маска подсети — 255.255.255.0. Все ПК с софтфонами находятся в диапазоне 192.168.0.5–192.168.0.50. АТС размещена в внешнем дата-центре на совершенно другой сети с публичным IP 10.XX.XX.XXX. Ни один из софтфонов не работает нормально — слышимость только в одну сторону. Проверка файрвола 3CX тоже не проходит из-за проблем с Full cone NAT. Я пропустил публичный IP через файрвол и открыл все порты. Сейчас перенаправления портов нет, так как локальной АТС на сети нет, чтобы перенаправлять на неё.

bethelcolonyit

Guest

03.02.2019 23:34:00

Intouch01, вам стоит связаться с вашим облачным провайдером, чтобы он помог с настройкой. У него есть вся необходимая информация под рукой. Без сетевого адреса, маски подсети, адреса шлюза и IP-адреса сервера мы никак не сможем подсказать, что делать дальше. Пожалуйста, соберите эти данные, и мы с радостью поможем вам.

JAKIT

Guest

03.02.2019 23:05:00

Да, может быть то же самое. Если у вашего модема адрес 192.168.1.1, то, например:
Ваш ноутбук — 192.168.1.50
Ваш телефон — 192.168.1.47
Ваш андроид — 192.168.1.87
Ваш 3cx сервер — 192.168.1.150
Дальше всё зависит от того, сколько у вас подсетей.
Например, я веду бизнес из дома:
Мой основной роутер Wan1 выделен только для домашнего использования с адресом 192.168.0.1 — туда подключены телефон, андроид-бокс, AP AC pro, VOIP и так далее.
Но Wan2 работает с адресом 10.105.204.65 и там только мой бизнес-лаб, тестовая лаборатория, Plex media сервер и прочее.

Rooster1 Guest	#9 03.02.2019 22:30:00 Окей, подсеть совпадает с адресом шлюза по умолчанию? Большое спасибо,

JAKIT Guest	#10 03.02.2019 22:25:00 Да, замените 192.168.1.100 на вашу собственную подсеть. Какая у вас подсеть — 192.168.1.1, 192.168.0.1, 10.105.204.1... Напишите нам.

Rooster1 Guest	#11 03.02.2019 22:19:00 Спасибо за это, но 192.168.1.100 не входит в наш внутренний диапазон IP, так что мне интересно, чем я должен это заменить?

JAKIT Guest	#12 03.02.2019 22:16:00 Пожалуйста, посмотрите пример правил на моём скриншоте.

Rooster1

Guest

#13

03.02.2019 22:03:00

Да, это первый пост, с которым у меня возникли проблемы. В пункте 6 сказано: «Создайте следующие правила переадресации портов, заменив адрес назначения 192.168.1.100 на IP-адрес вашего сервера 3CX PBX». Значит, мне нужно заменить 192.168.1.100 на публичный IP-адрес телефонной системы?

JAKIT

Guest

#14

03.02.2019 21:25:00

Привет! Неважно, облако это или нет. Если тебе нравится первый пост, то должно быть так:
Имя: PBX SIP
Откуда: Anywhere
Порт: 5060
Переадресация IP: 192.168.1.100
Порт назначения: 5060
Протокол: Оба
Включить логи: По желанию
IP адрес вашего Anywhere должен быть IP вашего PBX, который переадресуется на локальный IP вашего IP-телефона.

Rooster1 Guest	#15 03.02.2019 21:07:00 У меня такая же проблема, но 3cx работает в облаке, поэтому я не могу пробросить порты на локальный адрес. Кто-нибудь знает, как с этим справиться?

bethelcolonyit Guest	#16 19.12.2018 19:03:00 Какое устройство и модель вы используете для Интернета? Возможно, у вас проблема с SIP ALG на уровне провайдера, начиная с точки разделения WAN.

KB4MTO

Guest

#17

19.12.2018 13:55:00

Спасибо за этот отличный урок. У меня есть связанный вопрос, надеюсь, вы сможете помочь. Моя АТС 3CX работает на VMWare esxi 6. Она подключена к коммутатору Ubiquiti US-48. Этот коммутатор соединён с основным коммутатором Ubiquiti US-48-750W по оптоволокну 10GB SPF+. Затем VoIP-линия идёт в Voice Gateway от Spectrum и выходит за пределы офиса, не проходя через мой Ubiquiti USG Pro 4.

У меня возникает ошибка full cone failure, и звонки не проходят через Voice Gateway. Внутренние звонки работают отлично. Нужно ли настраивать что-то в контроллере UniFi для этих двух коммутаторов, через которые проходит VoIP-схема? VoIP-сеть находится в VLAN 1, как и вся остальная сеть, без отдельного VLAN. Я проверил оба коммутатора и не заметил ничего, что могло бы повлиять на VoIP.

Так как VoIP-схема не проходит через мой фаервол USG Pro 4, нужно ли всё равно добавлять какие-то правила? Может, в контроллере UniFi надо что-то ещё сделать? Я искал информацию в поддержке 3CX и Ubiquiti, но ничего не нашёл.

Ещё хочу добавить, что другие серверы на том же VMWare работают без проблем, они проходят через оба коммутатора и затем через USG.

Спасибо за любую помощь, я в растерянности.
— Хэнк

florianrhomberg

Guest

#18

11.12.2018 10:03:00

Перезапуск виртуальной машины 3CX решил проблему с проверкой файрвола, хотя раньше всё работало.

Подытожу свою настройку, которая работает с 3CX:
1. Открыл следующие порты и перенаправил их на виртуальную машину 3CX:
5000: TCP
5061: TCP
5001: TCP
9000-10998: UDP
5060: TCP/UDP
5090: TCP/UDP

2. Отключил SIP ALG (Настройки -> Маршрутизация и файрвол -> Вкладка Файрвол -> Настройки -> Модуль Conntrack -> SIP) на контроллере unifi.
3. Перезапустил виртуальную машину 3CX.

Теперь всё работает, надеюсь, эта тема поможет другим в будущем.
Florian

bethelcolonyit Guest	#19 10.12.2018 15:50:00 florianrhomberg, ты пробовал перезагрузить сервер, как советует JAKIT?

bethelcolonyit Guest	#20 10.12.2018 15:41:00 JAKIT, спасибо за информацию.

Читают тему (гостей: 1)