Вирішуємо проблеми з віддаленими з'єднаннями в 3CX

До нас періодично надходять звернення про некоректної роботи віддалених користувачів, підключених до 3CX через корпоративний NAT-маршрутизатор або мережевий екран. У цій статті пропонуємо покрокове керівництво по вирішенню проблем з віддаленими з'єднаннями.
На жаль, 3CX не може гарантувати коректну роботу «прямих» віддалених підключень, особливо без використання технології 3CX Тунель.
не гарантується Коректна робота з наступних причин:
  • Специфічна або некоректна топологія мережі;
  • Специфічні або некоректні налаштування маршрутизатора або мережевого екрану як з боку 3CX, так і з боку віддаленого користувача;
  • Некоректна робота NAT або SIP ALG сервісів мережних пристроях (іноді усувається оновленням прошивки);
  • Блокування певних портів інтернет провайдерами (у деяких операторів або в готелях);
  • Відсутність доступу VoIP спеціаліста до мережного обладнання, тобто неможливість налаштувати мережу замовника для роботи VoIP додатків.
На що слід звернути увагу, якщо ви зіткнулися з проблемами при віддаленому підключенні?
Дозвіл віддаленого підключення для користувача
В інтерфейсі управління 3CX відкрийте властивості Користувача на вкладкуПараметри
image
  • Для того, щоб дозволити «пряме» віддалене підключення відключіть опцію Заборонити підключення за межами локальної мережі
  • Для того, щоб дозволити віддалене підключення через 3CX Tunnel, відключіть опцію Заборонити підключення з публічної мережі по тунелю 3CX
Публікація сервісів 3CX (кидок портів) на роутері
Перш за все зауважимо, що чим простіше топологія мережі, чим менше проміжних пристроїв між сервером 3CX і WAN інтерфейс роутера, на який підключаються зовнішні користувачі, тим більше шансів на успіх. Ви можете навіть не підозрювати, що Інтернет провайдер видав вам не «білий» IP адреса на WAN інтерфейс, а «сірий» IP зі своєї внутрішньої мережі. Особливо часто це спостерігається в бізнес центрах, де Інтернет роздають по внутрішньої локальної мережі.
Для коректного підключення зовнішніх користувачів, а також для проходження аудіо і відео він них, на маршрутизаторі повинні бути опубліковані (проброшены IP адреса сервера 3CX) наступні порти:
  • 5060 UDP – порт сервера SIP 3CX
  • 9000-9500 UDP — RTP Аудіо / Відео потік з віддаленим користувачем
  • 5090 UDP і TCP — порт сервісу 3CX Tunnel
  • 5000 – 5001 або 80 / 443 – HTTP порти для веб сервісу 3CX
Рекомендуємо ознайомитися з повним списком портів, використовуваним 3CX.
Видалені SIP пристрої з підтримкою роботи через NAT
Якщо ви плануєте використовувати пряме SIP підключення (тобто без технології 3CX Tunnel), рекомендується використовувати тільки підтримувані 3CX телефони. Вони, зокрема, коректно підтримують такі функції:
  • Rport
  • STUN
  • Keep – Alive
Підключіть один з рекомендованих телефонів віддалено і переконайтеся, що він зареєструвався на 3CX. Зробіть дзвінок на 3CX луна-тест *777. Якщо ви виконали коректне налаштування маршрутизатора з боку сервера 3CX (як описано вище), але виклик не проходить, або чутність одностороння – швидше за все, проблема в маршрутизаторі, який з'єднує віддалений IP телефон з Інтернет (тобто на вашій стороні).
Спробуйте підключитися ще раз, але з використанням 3CX Tunnel (3CX SBC). Якщо чутність буде нормальна, вам слід повернутися до налаштування маршрутизатора — оновити прошивку, переконатися у правильності настройки прокидання портів, зв'язатися з техпідтримкою виробника і т. п.
Використання 3CX Tunnel і 3CX Session Border Controller
Якщо ви не можете визначити причину некоректної реєстрації віддаленого абонента, або не можете досягти двосторонньої чутності, рекомендуємо відмовитися від «прямого» SIP підключення і використовувати технологію 3CX Tunnel. 3CX Tunnel вбудований в 3CX Client для всіх платформ. Якщо вам потрібно підключити апаратний телефон або групу телефонів, рекомендуємо використовувати 3CX Session Border Controller.
Використання 3CX Firewall Checker Client
Якщо вам все ж необхідно домогтися коректної роботи «прямого» з'єднання, рекомендуємо запустити 3CX Firewall Checker Client. Основне завдання цієї утиліти – визначити, чи правильно налаштований статичний кидок портів на сервер 3CX. Використання 3CX Firewall Checker Client може «дати підказку» в наступних ситуаціях:
  • Віддалений абонент не реєструється
  • Односторонній звук з віддаленим абонентом
  • Проблеми з сервером STUN
Лог помилок 3CX Firewall Checker Client дозволять вам зрозуміти, де шукати джерело проблем.
Роутери з SIP ALG і SIP Helper
Багато маршрутизатори мають функцію SIP ALG або SIP Helper. SIP ALG модифікує заголовок SIP пакету для коректної NAT / PAT трансляції. Однак з розвитком стандарту SIP з'явилися більш надійні механізми проходження NAT, наприклад, SIP поле Rport в заголовку VIA. Всі телефони, рекомендовані 3CX, підтримують поле Rport. Функція роутера SIP ALG може небажано змінювати заголовок SIP VIA, спотворивши дані, встановлені розширенням Rport. Тому ми настійно рекомендуємо відключити опцію SIP ALG або SIP Helper, якщо вона присутня у вашому роутері. Перегляньте особливостями проходження трафіку VoIP через NAT / PAT трансляцію.
Системний параметр «ALLOWSOURCEASOUTBOUND»
Системний параметр ALLOWSOURCEASOUTBOUND встановлюється в консолі управління 3CX в розділіПараметри.
image
За замовчуванням він дорівнює 0 (вимкнений). Якщо його встановити1 (включений), 3CX буде використовувати для реєстрації віддаленого телефону IP адреса і порт з IP-заголовка пакета (мережевий рівень), а не з поля Contact заголовка пакета SIP (рівень додатків). 3CX Media Server також буде використовувати дані заголовка IP RTP (вхідний медіапотік) пакета для з'ясування адреси, на який слід відсилати вихідний медіапотік.
цей параметр рекомендується встановити, якщо є наступні проблеми:
  • Віддалений абонент за подвійним або потрійним NAT
  • Віддалений абонент не підтримує розширення Rport
  • Віддалений абонент передає некоректну інформацію про реєстрацію із-за помилок в своєму SIP стеку
  • Віддалений абонент, підключений до мережі через NAT роутер з включеним SIP ALG. Цей роутер некоректно модифікує інформацію в SIP заголовку. При цьому ви не маєте доступу віддаленого роутеру.
Рознесення SIP портів у віддалених пристроях
Якщо декілька віддалених пристроїв підключаються з однієї мережі (LAN), і всі вищеописані методи не призводять до вирішення проблеми, можна спробувати на кожному такому пристрої призначити свій, неповторяющийся SIP порт. Наприклад, на першому пристрої (телефон, шлюзу тощо) встановіть SIP порт 5060, на другому 5062, на третьому 5064 і т. д. В деяких випадках після цього пристрою починають успішно працювати.
Висновок
Тепер ви бачите, наскільки грамотне планування і коректна робота мережевої інфраструктури важливі для підключення віддалених користувачів, так і VoIP системи в цілому. Підводячи підсумок, ще раз звернемо увагу на особливості роботи 3CX з віддаленими з'єднаннями:
  • Якщо віддалений абонент підключився, які від нього не проходить звук – це не проблема 3CX, це проблема мережевої інфраструктури, зокрема, WAN – LAN маршрутизації
  • Намагайтеся максимально спростити інфраструктуру і виключити подвійне і потрійне NAT перетворення
  • Використовуйте рекомендовані, перевірені мережеві екрани і рекомендоване 3CX SIP обладнання
  • Виберіть останні оновлення 3CX і самі останні прошивки на маршрутизатори і SIP пристрою
  • За можливості використовуйте 3CX Тунель, який використовується у всіх софтфонах 3CX, або 3CX SBC для віддаленого підключення стандартних SIP телефонів
image
Повторимо: 3CX підтримує видалені прямі SIP підключення. Тим не менш, 3CX гарантує коректну роботу віддалених абонентів тільки за умови використання технології 3CX Tunnel. У всіх інших випадках, у зв'язку з безліччю незалежних від нас чинників, гарантувати коректне віддалене підключення неможливо!
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.