防火墙和路由器设置

首页/3CX管理员手册/防火墙和路由器设置

简介

如果您计划使用远程分机或VoIP提供商,则必须对防火墙配置进行更改,以便3CX电话系统与SIP中继线和远程IP电话成功通信。 本章将为您提供需要在防火墙上打开/静态转发的端口的一般概述。

步骤1:配置SIP中继/ VoIP提供商的端口

打开以下端口以允许3CX电话系统与VoIP提供商/ SIP中继和WebRTC通信:

  • 端口5060(入站,UDP)用于SIP通信
  • 端口9000-10999(入站,UDP)用于RTP(音频)通信,其中包含实际通话。 每个呼叫需要2个RTP端口,一个用于控制呼叫,一个用于呼叫数据。 因此,如果您希望支持同时呼叫,则必须打开两倍的端口。

pasted image 0 (1)

请注意,以上端口范围是3CX Phone System中的默认端口。 您可以从“设置”>“网络”>“端口”节点中的3CX管理控制台查看这些端口,如需更改这些端口,需要重装3CX系统。

步骤2:配置远程3CX客户端的端口

要允许用户远程使用他们的3CX客户端,无论是Android,iOS,Mac还是Windows,您必须打开以下端口:

  • 端口5090(入站,UDP和TCP)用于3CX隧道。
  • 端口443 or 5001(入站,TCP)用于分机在线状态显示和分机配置(除非您选择了自定义端口)。
  • Google Android端口443 or 5001 (出站,TCP)推送。
  • Apple iOS Push端口2195,2166(出站,TCP)

pasted image 1

PUSH消息由3CX电话系统使用智能手机发送到分机,以唤醒设备接听电话。 这大大增强了智能手机客户端的可用性。

步骤3:通过Direct SIP配置远程IP电话/桥接端口

对于远程IP电话和网桥,您可以选择使用3CX SBC(隧道)或Direct SIP。 3CX SBC服务将通过单一端口捆绑所有VoIP流量,大大简化了防火墙配置,提高了可靠性。 不需要额外的配置,因为3CX SBC将使用与3CXPhone客户端使用相同的端口。 有关SBC的更多信息https://www.3cx.com/docs/3cx-tunnel-session-border-controller/。

如果您希望通过直接SIP连接远程分机,则必须打开以下端口(如果使用SIP中继,大多数端口已经打开):

  • 端口5060(入站,UDP和TCP),端口5061(入站,TCP)(如果使用安全SIP)。
  • 端口9000-10999(入站,UDP)用于RTP 。
  • 端口443 or 5001(入站,TCP)用于IP话机远程配置。 (除非您选择了自定义端口)。

pasted image 1

步骤4:3CX WebMeeting,SMTP和3CX许可密钥激活的端口配置

为了能够创建和参与基于Web的会议,3CX托管的云服务必须能够与3CX pbx进行通信,反之亦然。 为了做到这一点,需要转发以下端口,需要允许出站流量:

  • 端口443 (出站,TCP)到webmeeting.3cx.net(建议尽可能允许流量到FQDN而不是IP地址,因为IP可能会发生变化。)。
  • 端口443 or 5001(入站,TCP)或 您指定的自定义HTTPS 端口,通知用户进入Web会议。
  • 为了能够使用3CX SMTP发送电子邮件,您的网络需要允许3CX主机的出站TCP:2528 。

pasted image 3

步骤5:禁用SIP ALG

为了最大限度地提高成功机会,请确保选择不实施SIP Helper或SIP ALG(应用层网关)的设备,或选择可禁用SIP ALG的设备。 以下链接是如何在流行路由器上关闭ALG的示例:

  • 如何在Fortinet / FortiGate上禁用SIP ALG

How to Disable SIP ALG on Fortinet / FortiGate 

  • 如何在Netgear路由器上禁用SIP ALG

How to Disable SIP ALG on Netgear Routers

  • 如何在Thomson Reuters上禁用SIP ALG

How to Disable SIP ALG on Thomson Routers

步骤6:运行防火墙检查器

配置防火墙后,运行3CX防火墙检查程序,确保配置正确!

主流的防火墙的逐步说明

主流防火墙的示例配置: