Налаштування фаєрвола Kerio Control для 3CX Phone System

У цьому мануалі ми розповімо про налаштування фаєрвола Kerio Control для роботи з 3CX Phone System. Ми розберемо процес на прикладі версії Kerio 8.3.0 build 1988.

Зазвичай Kerio Control працює коректно при використанні в якості прикордонного шлюзу для підключення VoIP-операторів, віддалених абонентів (STUN) і підключення по Тунелю 3CX. У фаєрволл входить функціонал перевірки SIP HTTP трафіку, але ці механізми можуть вплинути на коректну роботу віддалених 3CX Phone.
Тип Nat: IP Restricted

Отже, перейдемо до налаштування...

Відкрийте панель управління Kerio Control Web Admin і перейдіть в «Services»:



  1. Виберіть перевірку для протоколу «SIP» як «None».
  2. Натисніть «Add» щоб створити новий сервіс. Список портів які потрібно відкрити тут:http://www.3cx.com/docs/firewall-router-configuration-voip/. Зверніть увагу, що номери портів можуть залежати від версії 3CX.

  1. Якщо сервіс SIP вже по замовчуванню, то Audio(1), 3CX Tunnel (2), HTTP (3) і HTTPs (4) потрібно додати вручну.

  1. Зберіть всі сервіси в одну Групу.
  1. Зберегти конфігурацію натиснувши «Apply».

Налаштування NAT

Через Kerio Control Web Admin перейдіть в розділ «Traffic Rules»:
  1. Це список правил. Натисніть «Add» щоб створити нове правило.
Виберіть «Port mapping» і вкажіть IP-адресу (1) 3CX Phone System. У полі «Service» натисніть «Select (2) і виберіть сервіс «3CX Phone System». Натисніть«Next»щоб завершити.

Буде створено правило і його потрібно розташувати так, щоб воно не було блоковано іншими правилами.

Перевірка

Для перевірки запустіть 3CX Firewall Checker — 3CX Management Console «Налаштування > „Firewall Checker“. Всі порти повинні відобразиться зеленим.

Зверніть увагу:

Якщо ви використовуєте цей firewall у віддаленій точці перед IP-телефоном з STUN, для кожного IP-телефону має бути створено NAT-правило ( перевірка „SIP“ повинна бути відключена). Може виникнути ситуація, коли проходять тільки вихідні дзвінки, а для вхідних може бути відсутнім голос в обидві сторони. Це може бути із-за того, що firewall спочатку очікує передачі аудіо або даних з локальної мережі, а тільки після цього дозволяє прийом на динамічний NAT. В залежності від часу, може вийти що 3CX Phone System відправляє аудіо на віддалений IP-телефон:RTP-порт до того, як цей апарат (з використанням STUN)відправити дані в бік АТС. Тоді вхідний потік від медіа-сервера 3CX буде блокований Firewall не дозволяючи при цьому працювати і іншим апаратам в цій мережі. Тому, правила NAT потрібно налаштовувати окремо для кожного IP-телефону.

N. B.

Оскільки дана процедура налаштування наведено в інформаційних цілях і не є офіційним керівництвом, то ми не можемо нести відповідальність за можливі проблеми з безпекою, які можуть виникнути у вашій мережі після проходження всіх етапів даної інструкції

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.