Обычно Kerio Control работает корректно при использовании в качестве пограничного шлюза для подключения VoIP-операторов, удаленных абонентов (STUN) и подключения по Туннелю 3CX. На Firewall присутствует функционал проверки SIP и HTTP трафика, но эти механизмы могут повлиять на корректную работу удаленных 3CX Phone .
Тип Nat: IP Restricted
Отказ от претензий
Настройка firewall приведена в информационных целях, мы не несем ответственности за возможное последствия нарушения безопасности Вашей сети.
Настройка сервисов
Откройте панель управления Kerio Control Web Admin и перейдите в "Services":
- Установите для проверку для протокола "SIP" как "None".
2.Нажмите "Add" чтобы создать новый сервис. Список портов которые нужно открыть здесь:http://www.3cx.com/docs/firewall-router-configuration-voip/. Обратите внимание что номера портов могут зависеть от верcии 3CX.
3.Если сервис SIP уже есть по умолчанию, то Audio(1), 3CX Tunnel (2), HTTP (3) и HTTPs (4) нужно добавить вручную.
4.Соберите все сервисы в одну Группу.
5.Сохраните конфигурацию нажав "Apply".
Настройка NAT
Через Kerio Control Web Admin перейдите в раздел "Traffic Rules":
- Это список правил. Нажмите "Add" чтобы создать новое правило.
2.Выберите "Port mapping" и укажите IP адрес (1) 3CX Phone System. В поле "Service" нажмите "Select" (2) и выберите сервис "3CX Phone System". Нажмите"Next"чтобы завершить.
3.Будет создано правило и его нужно поместить так, чтобы оно не было блокировано другими правилами.
Проверка
Для проверки запустите 3CX Firewall Checker - 3CX Management Console "Настройка > “Firewall Checker”. Все порты должны отобразится зелёным.
Обратите внимание
Если вы используете этот firewall в удаленной точке перед IP-телефоном со STUN, для каждого IP-телефона должно быть создано NAT-правило ( проверка "SIP" должна быть отключена). Может возникнуть ситуация, когда проходят только исходящие вызовы, а для входящим может отсутствовать голос в обе стороны. Это может быть из-за того, что firewall сначала ожидает передачи аудио или данных из локальной сети, а только после этого разрешает прием на динамический NAT.
В зависимости от времени, может получиться что 3CX Phone System отправляет аудио на удаленный IP-телефон:RTP-порт до того, как этот аппарат (с использованием STUN)отправить данные в сторону АТС. Тогда входящий поток от медиа-сервер 3CX будет блокирован Firewall не позволяя при это работать и остальным аппаратам в этой сети. Поэтому, правила NAT нужно настраивать отдельно для каждого IP-телефона.