В этом мануале мы расскажем о настройке фаерволла Kerio Control для работы с 3CX Phone System. Мы разберем процесс на примере версии Kerio 8.3.0 build 1988.
Обычно Kerio Control работает корректно при использовании в качестве пограничного шлюза для подключения VoIP-операторов, удаленных абонентов (STUN) и подключения по Туннелю 3CX. В фаерволл входит функционал проверки SIP и HTTP трафика, но эти механизмы могут повлиять на корректную работу удаленных 3CX Phone .
Тип Nat: IP Restricted
Откройте панель управления Kerio Control Web Admin и перейдите в «Services»:
Через Kerio Control Web Admin перейдите в раздел «Traffic Rules»:
Выберите «Port mapping» и укажите IP адрес (1) 3CX Phone System. В поле «Service» нажмите «Select» (2) и выберите сервис «3CX Phone System». Нажмите«Next»чтобы завершить.
Будет создано правило и его нужно поместить так, чтобы оно не было блокировано другими правилами.
Для проверки запустите 3CX Firewall Checker — 3CX Management Console «Настройка > “Firewall Checker”. Все порты должны отобразится зелёным.
Если вы используете этот firewall в удаленной точке перед IP-телефоном со STUN, для каждого IP-телефона должно быть создано NAT-правило ( проверка „SIP“ должна быть отключена). Может возникнуть ситуация, когда проходят только исходящие вызовы, а для входящим может отсутствовать голос в обе стороны. Это может быть из-за того, что firewall сначала ожидает передачи аудио или данных из локальной сети, а только после этого разрешает прием на динамический NAT. В зависимости от времени, может получиться что 3CX Phone System отправляет аудио на удаленный IP-телефон:RTP-порт до того, как этот аппарат (с использованием STUN)отправить данные в сторону АТС. Тогда входящий поток от медиа-сервера 3CX будет блокирован Firewall не позволяя при это работать и остальным аппаратам в этой сети. Поэтому, правила NAT нужно настраивать отдельно для каждого IP-телефона.
Поскольку данная процедура настройки приведена в информационных целях и не является официальным руководством, то мы не можем нести ответственность за возможные проблемы с безопасностью, которые могут возникнуть в вашей сети после прохождения всех этапов данной инструкции
Обычно Kerio Control работает корректно при использовании в качестве пограничного шлюза для подключения VoIP-операторов, удаленных абонентов (STUN) и подключения по Туннелю 3CX. В фаерволл входит функционал проверки SIP и HTTP трафика, но эти механизмы могут повлиять на корректную работу удаленных 3CX Phone .
Тип Nat: IP Restricted
Итак, перейдем к настройке...
Откройте панель управления Kerio Control Web Admin и перейдите в «Services»:
- Установите для проверку для протокола «SIP» как «None».
- Нажмите «Add» чтобы создать новый сервис. Список портов которые нужно открыть здесь:http://www.3cx.com/docs/firewall-router-configuration-voip/. Обратите внимание что номера портов могут зависеть от верcии 3CX.
- Если сервис SIP уже есть по умолчанию, то Audio(1), 3CX Tunnel (2), HTTP (3) и HTTPs (4) нужно добавить вручную.
- Соберите все сервисы в одну Группу.
- Сохраните конфигурацию нажав «Apply».
Настройка NAT
Через Kerio Control Web Admin перейдите в раздел «Traffic Rules»:
- Это список правил. Нажмите «Add» чтобы создать новое правило.
Выберите «Port mapping» и укажите IP адрес (1) 3CX Phone System. В поле «Service» нажмите «Select» (2) и выберите сервис «3CX Phone System». Нажмите«Next»чтобы завершить.
Будет создано правило и его нужно поместить так, чтобы оно не было блокировано другими правилами.Проверка
Для проверки запустите 3CX Firewall Checker — 3CX Management Console «Настройка > “Firewall Checker”. Все порты должны отобразится зелёным.
Обратите внимание
Если вы используете этот firewall в удаленной точке перед IP-телефоном со STUN, для каждого IP-телефона должно быть создано NAT-правило ( проверка „SIP“ должна быть отключена). Может возникнуть ситуация, когда проходят только исходящие вызовы, а для входящим может отсутствовать голос в обе стороны. Это может быть из-за того, что firewall сначала ожидает передачи аудио или данных из локальной сети, а только после этого разрешает прием на динамический NAT. В зависимости от времени, может получиться что 3CX Phone System отправляет аудио на удаленный IP-телефон:RTP-порт до того, как этот аппарат (с использованием STUN)отправить данные в сторону АТС. Тогда входящий поток от медиа-сервера 3CX будет блокирован Firewall не позволяя при это работать и остальным аппаратам в этой сети. Поэтому, правила NAT нужно настраивать отдельно для каждого IP-телефона.
N.B.
Поскольку данная процедура настройки приведена в информационных целях и не является официальным руководством, то мы не можем нести ответственность за возможные проблемы с безопасностью, которые могут возникнуть в вашей сети после прохождения всех этапов данной инструкции
