Статьи

Как настроить Kerio Control с 3CX Phone System

Статьи
Описание настройки Kerio Control для работы с 3CX Phone System. Версия Kerio 8.3.0 build 1988.

Обычно Kerio Control работает корректно при использовании в качестве пограничного шлюза для подключения VoIP-операторов, удаленных абонентов (STUN) и подключения по Туннелю 3CX. На Firewall присутствует функционал проверки SIP и HTTP трафика, но эти механизмы могут повлиять на корректную работу удаленных 3CX Phone .
Тип Nat: IP Restricted

Отказ от претензий


Настройка firewall приведена в информационных целях, мы не несем ответственности за возможное последствия нарушения безопасности Вашей сети.

Настройка сервисов


Откройте панель управления Kerio Control Web Admin и перейдите в "Services":


  1. Установите для проверку для протокола "SIP" как "None".

2.Нажмите "Add" чтобы создать новый сервис. Список портов которые нужно открыть здесь:http://www.3cx.com/docs/firewall-router-configuration-voip/. Обратите внимание что номера портов могут зависеть от верcии 3CX.


3.Если сервис SIP уже есть по умолчанию, то Audio(1), 3CX Tunnel (2), HTTP (3) и HTTPs (4) нужно добавить вручную.


4.Соберите все сервисы в одну Группу.


5.Сохраните конфигурацию нажав "Apply".

Настройка NAT


Через Kerio Control Web Admin перейдите в раздел "Traffic Rules":


  1. Это список правил. Нажмите "Add" чтобы создать новое правило.


2.Выберите "Port mapping" и укажите IP адрес (1) 3CX Phone System. В поле "Service" нажмите "Select" (2) и выберите сервис "3CX Phone System". Нажмите"Next"чтобы завершить.


3.Будет создано правило и его нужно поместить так, чтобы оно не было блокировано другими правилами.

Проверка


Для проверки запустите 3CX Firewall Checker - 3CX Management Console "Настройка > “Firewall Checker”. Все порты должны отобразится зелёным.

Обратите внимание


Если вы используете этот firewall в удаленной точке перед IP-телефоном со STUN, для каждого IP-телефона должно быть создано NAT-правило ( проверка "SIP" должна быть отключена). Может возникнуть ситуация, когда проходят только исходящие вызовы, а для входящим может отсутствовать голос в обе стороны. Это может быть из-за того, что firewall сначала ожидает передачи аудио или данных из локальной сети, а только после этого разрешает прием на динамический NAT.

В зависимости от времени, может получиться что 3CX Phone System отправляет аудио на удаленный IP-телефон:RTP-порт до того, как этот аппарат (с использованием STUN)отправить данные в сторону АТС. Тогда входящий поток от медиа-сервер 3CX будет блокирован Firewall не позволяя при это работать и остальным аппаратам в этой сети. Поэтому, правила NAT нужно настраивать отдельно для каждого IP-телефона.