防火墙和路由器配置
介绍
如果您在本地安装了3CX,则需要更改防火墙配置以允许3CX与您的SIP中继和应用程序成功通信。本指南为您提供了在防火墙需要打开的端口/静态转发的总体概述。
如果您有远程IP电话,则需要在其前面放置SBC或路由话机。或者,我们建议使用具有内置隧道的应用程序。 有关SBC的更多信息,请参见 这里。
SIP 中继/VoIP 运营商所需开放的端口
打开这些端口允许3CX与VoIP运营商/SIP中继和WebRTC通信:
- 端口 5060(入站、 UDP) 5060-5061(入站,TCP)用于 SIP 通信。
- 端口 9000-10999 (入站、UDP)用于 RTP(音频)通信。每个呼叫需要2个RTP端口,一个用于控制呼叫,一个用于呼叫数据, 因此所需打开的端口数目是并发的双倍。
远程3CX应用程序以及SBC所需开放的端口
为了允许用户在Android、iOS或Windows上远程使用其3CX应用程序,您需要确保这些端口已打开:
- 端口 5090(入站,UDP 和 TCP)用于3CX隧道。
- 端口 443 或 5001(入站,TCP) HTTPS用于出席状态和配置,或自定义的HTTPS端口。
- 端口 443(出站,TCP) 用于 Google安卓推送的端口。
- 端口 443、2197 和 5223(出站、TCP) 用于 Apple iOS 推送。更多信息 这里。
PUSH消息由3CX系统发送给使用智能手机的分机,以唤醒设备进行通话。这极大加强了智能手机app的可用性。
3CX 视频会议所需开放的端口
要创建和参加基于Web的会议,3CX托管的云服务必须能够与3CX PBX通信,反之亦然。为此,需要配置这些端口:
- 必须允许参与者连接您的3CX系统的端口443(入站、TCP)
- 3CX系统:必须允许端口443(出站、TCP)连接到3CX的云基础设施
- 用户:必须允许端口443(出站,TCP)和48000-65535(出站,UDP)与其他参与者交换音频和视频
其他服务所需开放的端口
3CX连接到云端提供的各种服务。
- SMTP服务:SMTP消息的云服务
smtp-proxy.3cx.net,2528(出站,TCP) - 激活服务:3CX产品激活
activate.3cx.com, 443(出站、TCP、未经检查的流量) - 发现服务:发现您的公共IP
discoveryv4.3cx.com, 443(出站、TCP、未经检查的流量)
- RPS服务:远程IP电话的配置
rps.3cx.com,443(出站,TCP) - 更新服务器:用于 3CX和IP话机固件的更新
downloads-global.3cx.com,443(出站,TCP)
配置Split DNS / Hairpin NAT
您需要将3CX FQDN配置为在本地网络内部和网络外部工作(除非您不想从网络外部访问您的电话系统)。参考 如何在此处配置拆分 DNS。
禁用SIP ALG
使用没有SIP Helper或SIP ALG(应用层网关)的路由器/防火墙,或者使用可以禁用SIP ALG的设备。
运行防火墙检查器
配置防火墙后,运行3CX防火墙检查器来验证配置!
ACL/防火墙
每个本地安装环境都不同,因此,您有责任定义适当的 ACL/防火墙规则,以防止3CX主机到达网络内的敏感子网/端点。这必须在网关和防火墙的网络层以及3CX的最前端进行处理,以防止在受到损害的情况下改变我们的基础设施。
流行防火墙的步骤指导
流行防火墙的示例配置:
- 为3CX配置Sonicwall防火墙
- 使用QoS配置为3CX配置Draytek2820路由器
- 将AVM FritzBox配置为防火墙
- 配置CISCO路由器以允许连接到VOIP运营商
- 配置FortiGate 40F
- 配置一个WatchGuard XTM防火墙
- 配置一个pfSense防火墙
- 配置MikroTik防火墙
- 安装3CX SBC
- 3CX防火墙检查器
另请参阅
- 了解有关路由器,NAT and VoIP的更多信息.
- 无法收到PUSH通知所需开放的端口号 - PUSH故障排查文档
最后更新
本文件最后更新于2024年9月12日
https://www.3cx.cn/docs/manual/firewall-router-configuration/
版权所有 三思客软件(深圳)有限公司