Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

3CXPhone Clients hinter Firewall mit 3CX Tunnel

Frage Netzwerke Voice over IP

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

27.12.2014, aktualisiert 29.12.2014, 2533 Aufrufe, 6 Kommentare

Hallo,

wir arbeiten hier mit 3CX VoIP-Server der draußen gehostet wird und die Clients des Büros hinter NAT / Pfsense sind.

ich hatte mal wertvolle Hinweise zu diesem Thema bekommen: http://www.administrator.de/frage/pfsense-voip-ports-manuell-einrichten ...

Ich habe es auch so umgesetzt: Fritzbox mit DECT vor PfSense, Fritzbox mit WLAN nach PfSense.

Aktuell haben wir aber den Bedarf, dass auch Softphones der unterschiedlichen Notebooks telefonieren können, die sich hinter Firewall befinden. Aus diesem Grund haben wir angefangen 3CXPhone-Clients einzusetzen, die mit sog. 3CXTunnel auf den Server zugreifen können. Mit diesem Tunnel besteht die Möglichkeit, dass du den Port 5090 alle VoIP Traffic umgeleitet werden kann. Wenn ich also richtig verstehen sind Ports für RTP nicht notwendig.

Hat jemand Erfahrung wie die beiden Ports 5060 und 5090 geöffnet werden sollen?

- Sowohl LAN als auch WAN?
- Muss 5090 auf den jeweiligen Client geroutet werden?
- Wenn ja was mache ich mit mehrere Clients?

Wenn jemand mit 3CX Clients hinter Firewall Erfahrungen hat, wäre ich für Hinweise dankbar.

Ein weiteres Problem ist, dass der Router sich nach wie vor hinterm SFR Router befindet. Ich habe dabei zwei Optionen:

- ich kann die interne LAN IP des Routers im Modem als DMZ einstellen (der Router wird dadurch von Draußen frei zugänglich)
- Ich kann die entsprechenden Ports vom Modem (5060, 5090) auf die LAN-interne IP des pfSense routen.

Aktuell sind auf pfSense alle Ports in beide Richtungen offen, Client kann sich anmelden, es klingelt bei Testanrufen aber beide Seiten hören nichts, während des Telefonats. PfSense war dabei als DMZ eingerichtet, der Modem hatte also keinen aktiven NAT.

Wie würdet ihr es machen?

Danke für die Tipps.

Gr. I.

Mitglied: istike2
28.12.2014, aktualisiert um 11:51 Uhr
Danke sehr Aqui,

In dem Artikel geht es um die FW-Einstellungen des Servers und nicht die der Clients. Die muessen etwas anders eingerichtet werden. Die haben nicht mal dann funktioniert als ich die die FW deaktiviert habe. ich vermute mal, dass bestimmte Ports im NAT fest auf die Clients umgeleitet werden müssen. Aber welche? Die 5060, 5090 oder die für RTP?

Gr. I.
Bitte warten ..
Mitglied: aqui
LÖSUNG 29.12.2014, aktualisiert um 14:37 Uhr
ich vermute mal, dass bestimmte Ports im NAT fest auf die Clients umgeleitet werden müssen. Aber welche?
Jein, SIP nutzt dynamische Ports beim Verbindungsaufbau, das ist die Crux. Die SIP Antwortpakete nutzen einen Random Port und den lässt die NAT Firewall dann nicht durch.
Als Lösung müsste man eine riesige Range an Ports an der Firewall freigeben, was dann die FW als solches vollkommen konterkariert, da sie damit ja dann quasi nutzlos geworden ist !
Die Lösung lautet STUN ! Definiere einfach einen STUN Server oder aktiviere STUN, das löst das Problem.
http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
Idealerweise supportet deinen FW ggf. ALG (Application Layer Gateway) kann also intelligent mit solchen Protokollen wie SIP umgehen. Die FW "merkt" dann wenn SIP durch sie durchgeht und erkennt das aktiv und öffnet dann selektiv den Random Port.
Bei Voice sollte man immer auf solche Features achten wie STUN oder ALG !
Bitte warten ..
Mitglied: istike2
29.12.2014 um 14:39 Uhr
Danke Aqui,

ich habe versehentlich das "gelöst" Button gedrückt, es ist aber noch nicht gelöst.

STUN ist bei dem 3CX-Server standardmäßig eingerichtet und ist bei allen 3CXPhone Client standard. Es geht trotzdem nicht.

Ich versuche mal Januar den Support zu erreichen ...

Gr. I.
Bitte warten ..
Mitglied: aqui
29.12.2014 um 17:12 Uhr
Es geht trotzdem nicht.
Das kann eigentlich niemals sein ! Das würde bedeuten das sich deine NAT Firewall nicht standardkonform verhält ?! Bei einer pfSense nicht wirklich glaubwürdig.... rennt hier zu SIPGate und T-Com fehlerlos intern über einen SPA-112 z.B.
Dann musst du vermutlich doch den Kabelhai mal drauf loslassen und dir ansehen WAS genau da vor oder hinter der NAT FW passiert ?!
Bitte warten ..
Mitglied: istike2
02.01.2015 um 13:56 Uhr
Ich habe mal meinen Händler beuaftragt. WS hat ergeben, dass STUN in Tunnel-Modus nicht greift.
Als Direkt-SIP hat es funktioniert. LAN-seitig mussten wir Port 9000-9049 öffnen.

So war es Ok...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Firewall
Vom LAN auf Router über Firewall zugreiffen (5)

Frage von miichiii9 zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...