Какие порты открыть для voip
Отметим, что пробрасывать порты для сервера 3CX необходимо только при условии, что он установлен за NAT. Если АТС 3CX смотрит напрямую в интернет, нет необходимости публиковать порты. Для корректной работы требуется пробросить следующие порты:
- 5060 UDP (выбор этого порта осуществляется в момент установки АТС) – сигнальный порт для прохождения SIP-трафика, например, от провайдера телефонии
- 9000-10999 UDP - диапазон для RTP-трафика, т.е. по нему осуществляется передача голоса для SIP
- 443 или 5001 TCP (выбор этого порта осуществляется в момент установки АТС) – нужно пробрасывать при условии, если вы хотите администрировать 3CX снаружи, а также для передачи служебной информации клиентам 3CX Phone (если таковые планируете использовать снаружи).
- 5090 TCP и UDP – порт для фирменного “туннеля” 3CX. Он предназначен прежде всего для надежного преодоления NAT у внешних клиентов 3CX Phone. Туннель 3CX - это наиболее предпочтительный и более безопасный способ подключения внешних клиентов.
В 3CX имеется собственный инструмент проверки Firewall. Рекомендуем сразу после установки 3CX сервера запустить его для проверки корректности проброса портов. Запуск осуществляется с главного раздела веб-панели администрирования 3CX. Зачастую проверка выявляет “вредный” механизм некоторых роутеров под названием SIP ALG – он призван помогать прохождению SIP-трафика, но на деле только мешает. Обязательно отключайте эту опцию в своих сетевых экранах.
* Если мы не смогли полно ответить на ваш вопрос, или вы искали другую информацию, которой нет в нашей базе знаний, обращайтесь в нашу компанию по телефону или по e-mail. Обращаем внимание: для всех новых клиентов, которые находятся на стадии изучения 3CX и определяются с покупкой, мы предлагаем полностью бесплатную поддержку, а для коммерческих инсталляций действует лояльная ценовая политика. Более подробно читайте по ссылке.
Ваше сетевое оборудование может блокировать порты, необходимые для работы телефонии. Убедитесь, что следующие порты открыты:
Как правило, проверку технических требований может произвести системный администратор вашей компании.
Рекомендации
Мы рекомендуем только то, что сами протестировали и с чем имеем большой опыт работы.
Выбор оператора связи
Используйте качественных операторов связи. Дешево не значит хорошо.
Список рекомендуемых операторов связи
Партнёр. Возможность приобрести номер из панели управления onlinePBX.
Для регистрации номера в onlinePBX необходима настройка в л.к. Манго.
Стабильный оператор связи. Свои линии, не арендует у других операторов. Есть несколько платформ для подключения IP-телефонии. Из них р екомендуем: MTT YouMagic и МТТ Бизнес.
Выбор оборудования
Выбор маршрутизатора
Для работы с IP-телефонией подойдёт любой современный роутер с поддержкой SIP-протокола. Сложности могут возникнуть, если на предприятия с большой нагрузкой на сеть приобретаются «домашние» роутеры с малой пропускной способностью.
Мы не рекомендуем использовать в офисах так называемые «домашние» роутеры. Зачастую они отличаются от профессиональных роутеров, проигрывая по нескольким параметрам:
- Малая скорость;
- Зависания, перезагрузки, обрывы соединения;
- Малая скорость работы Wi-Fi и малая зона покрытия;
- Слабая защита от вирусов, вторжений и прочего;
- Отсутствие доп. функций (возможность подключения флешки, сетевого принтера, поддержка DDNS, VPN, NAT);
- Прошивка от провайдера связи. Смена прошивки — большее время на настройку;
- Слабая производительность.
Ниже примеры аппаратов, в работе с которыми всегда были сложности. Не приобретайте следующие модели:
- Роутеры от компании D-Link (недорогого сегмента). Небезопасные роутеры. Мошенники взламывают их через протокол TR-069 за пару минут. Также есть сложности с перепрошивкой аппаратов, т. к. количество прошивок огромное, но для стабильной работы IP-телефонии подходят далеко не все;
- Роутеры, произведённые по заказу интернет-провайдеров (Билайн, МГТС, Ростелеком, МТС, Мегафон и т. д.). У данных аппаратов урезанный функционал, проблема с выпуском актуальных версий обновлений;
- Роутеры от компании Netgear требуют дополнительной настройки. Без неё работа с механизмами nat и firewall будет некорректной, роутер может на время блокировать IP-адреса, с которых одновременно поступило большое количество пакетов с данными;
- GSM-шлюзы;
- Маршрутизаторы (kerio) на базе Windows.
Выбор устройства для звонков
В нашей базе знаний есть раздел, посвящённый выбору и настройке устройства для звонков.
Дополнительные параметры для настройки программных и аппаратных телефонов
Помимо основных параметров, часто необходимо настраивать и дополнительные параметры, а именно:
- Аудио кодеки — PCMA (g.711 a-law) и PCMU (g.711 u-law);
- Транспортный протокол: по умолчанию UDP, реже — TCP;
- Время перерегистрации телефона — 120-180 секунд;
- Включите параметр rport;
- Включите параметр keep-alive со значением 30 сек;
- Ptime выберите 20 мсек;
- Выберите тип DTMF — RFC2833.
Выбор браузера
Рекомендуем перейти на Google Chrome.
Выбор гарнитуры
Рекомендуем использовать USB-гарнитуры. Фирмы Jabra и Plantronics специализируются на производстве гарнитур для офисов и call-центров.
Почему не рекомендуем использовать аналоговые гарнитуры?
Мы не рекомендуем использовать аналоговые гарнитуры, имеющие разъемы jack3,5 и jack6,3, во-первых, из-за плохого качества встроенных звуковых карт стационарных и портативных компьютеров. Зачастую для экономии средств и снижения сложностей в производстве, производители компьютерных компонентов экономят на некоторых частях своей продукции. Поэтому на средне- и низкобюджетных устройствах часто ставят самые дешевые звуковые карты.
Рекомендуемые USB-гарнитуры уже оснащены встроенной звуковой картой, что исключает влияние первой причины помех.
Второй причиной плохого звука, фоновых шумов и треска при использовании аналоговых гарнитур является полное отсутствие или недостаточное экранирование от низко- и высокочастотных излучений. В таких случаях гарнитура может выступать как антенна для разных частот. Самый яркий пример: если вы поднесёте мобильный телефон к колонкам вашего компьютера, то услышите характерный звук.
Ввиду особенностей конструкции блока со звуковой картой и спецификации порта USB, при использовании рекомендуемых гарнитур, — помехи будут отсутствовать.
Если рассматривать покупку отдельной звуковой карты для решения проблем с помехами и искажениями, то покупка USB-гарнитуры будет дешевле. Стоимость отдельной звуковой карты варьируется от 2000 до 30 000 рублей, и к ней всё-равно придётся покупать гарнитуру.
У последних моделей ноутбуков от компании Apple нет USB разъёма. В таких случаях для использования IP-телефонии, помимо USB гарнитуры, приобретите адаптер (переходник).
Для того, чтобы SIP сервер был доступен для подключения удаленных абонентов, нужно открыть к нему доступ извне. Это означает проброс портов доступа к SIP серверу на роутере, подключенном к Интернету:
ПРОБРОС, PORT FORWARDING, НУЖНО ВЫПОЛНИТЬ ДЛЯ ПОРТОВ МАРШРУТИЗАТОРА:
- SIP Server - эта настройка обеспечивает подключение к удаленному серверу через порт 12005 (маршрутизатор переадресует данные с порта 12005 на реальный порт сервера: 5060). Переадресация рекомендована в связи с тем, что многие сотовые операторы блокируют обмен данными через порт 5060 (стандартный порт SIP).
- SIP RTP - диапазон RTP портов для передачи голоса
- 192.168.0.41 - IP адрес SIP сервера в локальной сети
ОПРЕДЕЛЕНИЕ ВНЕШНЕГО IP АДРЕСА МАРШРУТИЗАТОРА (SIP СЕРВЕРА):
НАСТРОЙКА ПРОЕКТА IRIDIUM ДЛЯ ПОДКЛЮЧЕНИЯ К УДАЛЕННОМУ SIP СЕРВЕРУ:
ОПРЕДЕЛЕНИЕ "EXTERNAL IP" ПАНЕЛИ УПРАВЛЕНИЯ ПРИ РАБОТЕ ЧЕРЕЗ ИНТЕРНЕТ:
Если External IP (параметр драйвера SIP в настройках iRidium) неизвестен, разговор с абонентом через удаленный SIP сервер работать не будет, т.к. сервер должен получить IP адрес панели для осуществления коммутации вызова. Панель должна передать свой внешний IP адрес в параметре External IP.
Определение адреса панели можно осуществить через приведенный далее скрипт.
Скрипт проверки внешнего адреса работает только при наличии лицензии с суффиксом Pro.
Скрипт нужно добавить в свой проект (через редактор скриптов, кнопка [JS] в редакторе):
и настроить его параметры (соответствуют параметрам драйвера SIP в редакторе):
Скрипт обеспечит получение внешнего IP адреса панели управления, на которой запущен. Определение адреса происходит автоматически, а применение новых настроек (подключаться к серверу через локальный или внешний адрес) - по нажатию на кнопки в проекте.
Кнопки нужно создать и привязать к ним команды ScriptCall(ExternalIP) и ScriptCall(LocalIP), вызывающие применение локальных или внешних настроек подключения:
Если вы планируете подключить к системе 3CX SIP-транки от операторов связи или удаленных пользователей, и ваша АТС расположена в частной сети — на сетевом экране должна быть выполнена статическая публикация («проброс») портов.
VoIP-приложения используют протокол RTP для передачи мультимедийных потоков (аудио и видео). При прохождении пограничных сетевых устройств (сетевых экранов и маршрутизаторов) в работе протокола могут возникать сложности. Это связано с тем, что RTP использует случайные номера портов для отправки и получения мультимедиа-трафика. Неверная конфигурация сетевого экрана проявляется как односторонняя слышимость или вообще отсутствие звука от VoIP-провайдера и удаленных пользователей.
Проблема VoIP с симметричным NAT (Symmetric NAT)
При использовании симметричного NAT, пограничное сетевое устройство динамически изменяет номер порта, на который принимается аудиопоток. Например, при исходящем вызове через SIP-транк оператора, 3CX сперва делает STUN-запрос для определения своего внешнего IP-адреса и текущего номера порта. Затем этот адрес и порт передаются SIP-серверу оператора для взаимных коммуникаций. Но в это время ваш сетевой экран динамически закрывает этот порт (который уже был передан оператору — указан в заголовке INVITE). Возникает сбой передачи аудио. Очевидно, что из-за этой особенности невозможно обеспечить надежную работу VoIP. В руководствах по настройке сетевых экранов такая технология называется симметричный NAT (Symmetric NAT).
Решение проблемы с односторонней слышимостью в VoIP — Full Cone NAT
Для решения проблемы с односторонней слышимостью (или полной «тишиной») следует настроить так называемый конический NAT (Full Cone NAT), который также известен как NAT «один-в-один». В нем нужные порты на внешнем адресе маршрутизатора маппируются (или «пробрасываются») на определенный внутренний адрес (номер порта сохраняется). Внешний хост обменивается RTP-пакетами с внутренним хостом, отправляя их сперва на внешний адрес маршрутизатора и внешний (маппированный) порт.
На самом деле, подавляющее большинство сетевых устройств поддерживают этот режим. Как правило, он называется «Static port mapping». Статическая публикация гарантирует, что определенный порт всегда остается открытым и никогда не изменяется сетевым экраном. Некоторые очень дешёвые маршрутизаторы некорректно реализуют эту функцию, но большинство, как было сказано, позволяют нормально настроить «проброс» портов. В конце статьи приводятся примеры соответствующей настройки различных сетевых устройств.
Проверка корректности работы сетевого экрана сервисом 3CX Firewall Checker
Хороший способ проверки конфигурации сетевого устройства (выяснения, не находитесь ли вы за Symmetric NAT и других проблем с настройкой) — использование сервиса 3CX Firewall Checker.
3CX Firewall Checker позволяет заранее проверить, что ваше пограничное сетевое устройство корректно обрабатывает VoIP-трафик от SIP-операторов, мостов 3CX, внешних SIP-клиентов и подключений по технологии 3CX Tunnel. Рассмотрим на простом примере, как использовать этот сервис. Для примера примем, что сервер 3CX имеет адрес 192.168.0.100, тестирование проводится на порту 9500, а внешний адрес вашей сети 11.22.33.44.
Как было сказано, корректная публикация порта означает, что любой исходящий пакет UDP от сервера АТС с адресом источника source IP::Port — 192.168.0.100::9500 должен дойти до получателя (обычно это SIP-сервер оператора связи, удаленный IP-телефон или другая АТС 3CX) с «переписанным» адресом источника source IP::Port — 11.22.33.44::9500. Несмотря на то, что происходит трансляция адреса (которая необходима для маршрутизации пакета в публичной сети WAN), порт пакета не изменяется. Кроме того, любой UDP пакет, приходящий из WAN, с адресом получателя destination IP::Port — 11.22.33.44::9500 должен достигнуть сервер 3CX с адресом destination IP::Port — 192.168.0.100::9500. 3CX Firewall Checker как раз и используется для проверки корректного преобразования адресов, а также выясняет другую важную.
Для запуска 3CX Firewall Checker зайдите в интерфейс управления 3CX > раздел Главная > секция Состояние АТС > нажмите Сетевой экран > Запустить.
После запуска начнется выполнение сетевых тестов. В зависимости от типа пограничного устройства и фактической конфигурации, вы увидите результат вместе с рекомендациями по устранению проблем.
Внимание: Запуск 3CX Firewall Checker останавливает некоторые сервисы 3CX, поэтому в период тестов АТС будет недоступна. Если тестирование порта прошло успешно, оно занимает 1 сек. Неуспешное тестирование порта растягивается на 5-10 сек. По умолчанию, тестируются порты в диапазоне 9000 – 10999. Если изначально все настроено корректно, тестирование займет не более минуты. Если возникнут проблемы — тестирование затягивается на 4-9 мин. Однако в любой момент можно остановить тест.
Сервис использует STUN-сервер компании 3CX, который должен быть установлен в разделе Параметры > Сеть > Публичный IP. Некоторые сетевые экраны эту проверку могут ошибочно квалифицировать как сканирование портов. Если это происходит, 3CX Firewall Checker сообщает о проблеме в самом начале тестирования. Поэтому в сетевом экране следует отключить проверку на сканирование перед началом тестирования.
Тесты 3CX Firewall Checker
Утилита проверяет корректность настройки оборудования, делая различные запросы к STUN-серверам. Проводятся два теста.
Доступность Интернет
Этот тест проверяет доступность серверов STUN с проверяемых портов сервера 3CX. Также проверяется работа DNS (STUN-серверы в 3CX указаны по FQDN).
Если этот тест не пройден, возможны следующие проблемы:
- Общая проблема доступа в Интернет. Если на сервере установлен браузер, попробуйте просто зайти на какой-то сайт. Возможно, вам нужно открыть доступ с сервера АТС в интернет по портам, указанных в этом руководстве.
- Тест может не пройти, если STUN-сервер недоступен. Проверьте настройки в разделе Параметры > Сеть > Публичный IP или используйте резервный сервер.
- Проверьте, какой порт указан для STUN (по умолчанию 3478)
- Убедитесь, что сетевой экран на самом сервере 3CX, например брандмауэр Windows, разрешает подключение на тестируемые порты. Антивирусы или другие программы безопасности также могут блокировать порты. Отключите или даже полностью удалите их с сервера на время тестирования (простое отключение не всегда помогает).
- Блокировать порты могут также на стороне вашего интернет-оператора — стоит исключить эту возможность.
Корректность публикации портов (Full Cone NAT)
Этот тест проверяет способность сервера, находящегося в Интернет, коммуницировать с сервером 3CX во внутренней сети. Тестируется настройка трансляции портов «один в один» (Full Cone NAT).
3CX Firewall Checker отправляет запрос на STUN-сервер с (номера) порта, который проверяется, и запрашивает STUN-сервер создать соединение с сервером АТС по этому порту с внешнего IP-адреса. Если второй тест не прошел, проверьте следующие настройки:
- Ваш сетевой экран должен иметь статическое правило публикации портов «один в один». Недорогие устройства, как правило, предлагают только такой тип правил.
- Для некоторых портов требуется правило как для TCP, так и для UDP трафика. См. список портов, необходимых для работы 3CX.
Перечислим результаты теста и ошибки, которые возвращает Firewall Checker.
Success – Port forwarding is correctly implemented for this port. VoIP can work. This configuration is supported (Успех — публикация порта выполнена корректно. VoIP-коммуникации будут работать. Данная конфигурация поддерживается 3CX).
Все тесты успешно пройдены. Ваше пограничное устройство разрешает трафик в интернет с тестируемого порта и корректно выполняет преобразование портов один в один. Конфигурация поддерживается.
STUN server has no second address (STUN-сервер не имеет второго адреса).
Failed – No response received or port mapping is closed. Port forwarding not configured correctly (Неуспешно — ответ не получен или порт закрыт. Некорректная настройка публикации порта).
Некорректно настроена публикация проверяемого порта. В этом случае VoIP-операторы и удаленные IP-телефоны не будут работать. Настройте публикацию портов по этим руководствам.
Failed – Firewall check failed. Some errors were detected. Please check your firewall configuration and try the test again (Неуспешно — проверка сетевого экрана не удалась. Обнаружены ошибки. Проверьте конфигурацию сетевого экрана и попробуйте снова).
Failed – Malformed response received – (aka Symmetric NAT). Port forwarding not correctly implemented (Неуспешно — получен некорректный ответ (возможно, симметричный NAT). Некорректно настроена публикация портов).
Ответ говорит о том, что у вас некорректно работает Full Cone NAT.
STUN server did not answer or port forwarding is not configured on your firewall (STUN-сервер не ответил или не настроена публикация портов на сетевом экране).
Ваш STUN-сервер не отвечает. Возможные причины:
- STUN-сервер недоступен с сервера 3CX.
- STUN-сервер в данный момент отключен.
- Не настроена публикация портов.
Не удалось определить IP-адрес STUN-сервера по его имени. Это может говорить о проблемах с вашим DNS-сервером, но также и о том, что данный STUN-сервер навсегда прекратил работу.
Failed – Malformed or no response received from configured STUN servers. Check your internet connection, DNS settings, or change STUN servers from Settings → Network → External IP Configuration section (Неуспешно — получен некорректный ответ от настроенных STUN-серверов. Проверьте подключение к Интернет, настройки DNS или используйте другой STUN в разделе Параметры → Сеть → Внешний IP).
Ответ говорит, что публикация портов выполнена корректно или ваш сетевой экран блокирует пакеты.
Failed – Port is in use by another application on this computer ИЛИ SIP port is in use by process . The 3CX Firewall checker requires the SIP port to be free (Неуспешно — порт используется другим приложением на этом сервере ИЛИ SIP-порт используется процессом . Сервису 3CX Firewall checker необходим свободный порт SIP.
Тестируемый порт используется другим приложением, установленным на этом сервере. Для определения конкретного процесса запустите команду
netstat -ano | findstr /I /C:"PID" /C:":9500"
где 9500 — номер порта. В колонке PID вы увидите ID процесса. Используете Диспетчер задач для идентификации процесса. Также можно выполнить команду
tasklist /fi "pid eq 4"
где 4 — ID процесса.
STUN servers are not reachable. Cannot perform Firewall check. This configuration is not supported (STUN-серверы недоступны. Невозможно выполнить проверку сетевого экрана. Конфигурация не поддерживается).
Читайте также: