Как правильно открыть порты на микротике для sip?
Помогите новичку, наблюдаются проблемы что входящие звонки не приходят на телефонию.
Арендуем номера у Битрикс то есть сервер телефонии тоже их, нашел статью на хелп деск Битриксhttps://helpdesk.bitrix24.ru/open/1272906/ .
Настроил правила в файрволе
Вот правила пакеты идут, в конектионне есть соедения с сервером sip Битрикса по портам 5060, service sip отключил так, как это требования Битрикса.
- Вопрос задан более двух лет назад
- 1280 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 1
5060 это порт только для установки соединения и сигнализации. Для голоса нужен диапазон портов UDP а какой он вам только саппорт битрикса может сказать. Вот этот диапазон и надо пробрасывать.
Ответ написан более двух лет назад
Роман Рензин @RomaUser Автор вопроса
Rtp порты, я так понимаю это от 8000-48000 и как мне пробросить порты если у меня 5 станций и Битрикс выдают 100 айпи адресов ?
Значит открыть этот диапазон портов для всего интернета, 0.0.0.0/0
Роман Рензин @RomaUser Автор вопроса
Keffer, Я думаю, что это слишком плохо, в инструкции они не пишут, что не нужно пробрасовать порты, пишут что должно быть открыто в локальной сети, я же правильно в цепочке forward открыл порты ?
Роман Рензин, Нет, не правильно. Порты открываются не в фаерволе и тем более не в форвард. Курите мануалы или наймите специалиста, который все настроит.
Роман Рензин @RomaUser Автор вопроса
Keffer, как не в файрволе, а на винбокс, я открыла 8291порт, на на входящие интерфейс wan и все работает (только с воих айпи), а если вы про нат, то открывать на все весь трафик из интернета это очень плохая идея
Роман Рензин, Повторюсь, уровень вашего понимания работы RouterOS на данном этапе почти нулевой. Единственное что можно это сделать все за вас. Пошагово «тыкни сюда», «нажми туда» вам никто пояснять не будет.
Роман Рензин @RomaUser Автор вопроса
Keffer, да, уровень низкий, вот я и написал сюда для того, чтобы мне подсказали так, как нет информации, какие ртп порты нужно открывать потому что нет информации в интернете, если бы у нас была своя телефония, то там ясно какие ртп порты, а какие для регистрации.
Роман Рензин @RomaUser Автор вопроса
poisons, а. Регистрация без проблем проходит. Да спасибо, я тоже думал о том чтобы отключить все дроп правила, именно на форвард, правила приложу позже. Тут проблема что rtp порты не кто не говорит, не битрикс, не voxiplant.
как не в файрволе, а на винбокс, я открыла 8291порт, на на входящие интерфейс wan и все работает (только с воих айпи), а если вы про нат, то открывать на все весь трафик из интернета это очень плохая идея
Нужно делать через Accept input и настройку nat, зачем на весь трафик в статье есть список серверов
Роман Рензин @RomaUser Автор вопроса
Fenrir89, почему инпут трубки же относится к форварду. Вы имеете ввиду сделать адрес листы и использовать их при пробросе портов ?
Роман Рензин, форвард куда если вы за натом? То есть сервер о вашей внутренней сети ничего не знает, ему запрос прилетел от роутера, сервер отправил обратно на роутер, и этому роутеру надо понять куда дальше отправить, для этого правила nat и есть. Да, а как раз то что вы сделали, плохо так как не фильтруется откуда прилетело, в firewall обязательно добавить эти листы к правилам фильтрации
Ps для понимания как это работает посмотрите цикл видео сети для самых маленьких без негатива, просто и доступно о сложном
Роман Рензин @RomaUser Автор вопроса
Fenrir89, /ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=95.213.198.99 list=sip
add address=149.11.34.27 list=sip
add address=149.11.44.91 list=sip
add address=149.56.83.166 list=sip
add address=149.56.83.167 list=sip
add address=38.122.236.126 list=sip
add address=173.237.15.28 list=sip
add address=173.237.12.68 list=sip
add address=173.237.12.69 list=sip
add address=173.237.16.194 list=sip
add address=173.0.146.133 list=sip
add address=173.0.146.163 list=sip
add address=95.213.221.98 list=sip
add address=95.213.228.3 list=sip
add address=198.27.75.221 list=sip
add address=185.164.148.247 list=sip
add address=185.164.148.245 list=sip
add address=185.164.148.237 list=sip
add address=185.164.149.11 list=sip
add address=185.164.149.13 list=sip
add address=185.164.149.31 list=sip
add address=185.164.149.33 list=sip
add address=185.164.149.15 list=sip
add address=185.164.148.216 list=sip
add address=185.164.149.19 list=sip
add address=185.164.149.21 list=sip
add address=185.164.148.234 list=sip
add address=185.164.148.232 list=sip
add address=185.164.149.26 list=sip
add address=185.164.149.28 list=sip
add address=185.164.148.228 list=sip
add address=185.164.148.226 list=sip
add address=185.164.148.214 list=sip
add address=185.175.44.164 list=sip
add address=185.164.149.34 list=sip
add address=185.164.148.244 list=sip
add address=185.164.148.233 list=sip
add address=185.164.149.20 list=sip
add address=185.164.148.217 list=sip
add address=185.164.149.32 list=sip
add address=185.164.148.213 list=sip
add address=185.164.149.22 list=sip
/ip firewall connection tracking
set tcp-established-timeout=1h
/ip firewall filter
add action=accept chain=input comment=established/related/untra \
connection-state=established,related,untracked
add action=accept chain=input comment=gre in-interface-list=WAN protocol=gre
add action=drop chain=input comment=»drop invaled» connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input dst-port=8291 in-interface-list=WAN log=yes \
protocol=tcp src-address-list=Manager
add action=accept chain=input comment=»l2tp/ipsek udp» dst-port=1701,4500,500 \
in-interface-list=WAN protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-ah
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=1d chain=input comment=»Trap for port scanning» \
in-interface-list=WAN protocol=tcp psd=10,10s,3,1
add action=accept chain=input comment=icmp icmp-options=8:0 in-interface-list=\
WAN limit=5,5:packet protocol=icmp
add action=drop chain=input comment=»drop vsego» in-interface-list=WAN
add action=accept chain=forward comment=established/related/untracker \
connection-state=established,related,untracked
add action=drop chain=forward comment=»drop invaled» connection-state=invalid \
in-interface-list=WAN
add action=accept chain=forward dst-port=5060,8000-48000,3478 \
out-interface-list=WAN protocol=udp
add action=accept chain=forward dst-port=5060,3478,443 out-interface-list=WAN \
protocol=tcp
add action=accept chain=forward in-interface=keenetic out-interface=\
«Microtik home»
add action=accept chain=forward in-interface=»Microtik home» out-interface=\
keenetic
add action=drop chain=forward comment=»Reject BoGogon» dst-address-list=BOGON \
out-bridge-port-list=WAN out-interface-list=WAN
add action=drop chain=forward comment=»drop vsego/!dst-nat» \
connection-nat-state=!dstnat in-interface-list=WAN
/ip firewall nat
add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=\
46.46.168.138
add action=dst-nat chain=dstnat dst-port=5060 in-interface-list=WAN log=yes \
protocol=udp src-address-list=sip to-addresses=192.168.88.20
add action=dst-nat chain=dstnat dst-address-list=sip dst-port=5060 \
in-interface-list=WAN log=yes protocol=udp to-addresses=192.168.88.20
add action=dst-nat chain=dstnat dst-port=3478 in-interface-list=WAN log=yes \
protocol=udp src-address-list=sip to-addresses=192.168.88.20
add action=dst-nat chain=dstnat dst-port=8000-48000 in-interface-list=WAN log=\
yes protocol=udp src-address-list=sip to-addresses=192.168.88.20
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.21
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.22
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.23
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.24
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.25
/ip firewall raw
add action=drop chain=prerouting src-address-list=TrapAddress
add action=notrack chain=prerouting dst-address-type=multicast \
in-interface-list=WAN
add action=notrack chain=prerouting dst-address-type=multicast in-interface=\
«Microtik home»
add action=notrack chain=prerouting dst-address-type=multicast in-interface=\
keenetic
add action=notrack chain=prerouting dst-address-type=multicast in-interface=\
school1561
add action=notrack chain=output disabled=yes out-interface=ether1
Вот как я начал делать, я без негатива, но как я знаю инпут он отвечает за микротик, там всякие сервисы и тд, но не как за телефонию.
SIP-порт — что это такое, как настроить
При организации IP-телефонии применяется SIP-протокол (помимо нескольких других). Именно через него осуществляется передача информации, необходимой для установления соединения (сеанса связи) между абонентами (конечными точками), его поддержания, внесения изменений, завершения и так далее. Естественно, для передачи данных с помощью этого протокола используются какие-то порты. Давайте рассмотрим, что это такое, что собой представляют порты для SIP, какая информация через них передается и каким образом происходит их настройка.
Определение SIP-port и его функции
SIP — это порты для IP телефонии, через которые осуществляется прием и передача информации, касающейся сеанса связи/соединения. Т.е. сами мультимедиа данные (речь, видео, картинки и пр.) через эти порты не передаются. Через SIP-ports циркулируют информационные запросы и ответы, необходимые для создания простейшего вызова по IP-сети и его поддержания.
Существует несколько типов запросов:
- инициирование вызова (INVITE ),
- подтверждение установления сеанса связи (ACK) от конечной точки, получившей INVITE,
- отмена запросов, которые стали неактуальными (Cancel),
- завершение текущего соединения/сеанса (BYE),
- регистрация места расположения конечной точки (Register),
- запрос данных о функциональных возможностях конечной точки (OPTIONS), который отправляется.
Ответы, проходящие через порты для SIP, описывают состояние соединения. Они имеют вид трехзначного индекса, первая цифра которого определяет тип ответа. Например, ответ 1xx сообщает о ходе выполнения отправленного запроса. Это — единственный тип ответа, который не завершает запрос. Отправка всех остальных означает завершение запроса. А это следующие типы ответов:
- 2xx. Ответ передается при успешном окончании полученного ранее запроса.
- 3хх. Передается в случае изменения местоположения конечной точки в ходе сеанса.
- 4хх. Традиционно, ответы, начинающиеся с четверки, используются для сообщения о возникающих ошибках.
- 5хх. Аналогично предыдущему варианту: ответы об ошибках на стороне сервера.
- 6хх. Такой ответ формируется SIP-сервером, если установление сеанса с вызываемой конечной точкой невозможно. Причины этого могут быть разными: пользователь занят (уже участвует в другом созвоне), недоступен или вообще не зарегистрирован (неверный номер).
Номера портов для SIP-соединения, как их настроить
Для передачи информации для установления соединения между абонентами и его поддержания (т.е. данных, циркулирующих через SIP-протокол) обычно используется 2 порта (они же — SIP ports) 5060 и 5061. Между ними есть некоторые различия. SIP-порт 5060 имеет следующие отличительные особенности:
- Он используется в случае, когда в ходе сеансов связи осуществляется передача незашифрованного трафика,
- При работе по нему используются TCP и UDP-соединения, что обеспечивает должный уровень защиты данных,
- Этот порт используется в большинстве случаев при совершении VoIP-звонков.
Что касается порта 5061, он применяется в случае, когда речь идет об обмене зашифрованным трафиком. При этом применяется только TCP-соединение.
Проброс портов для SIP
Внутри сети все работает с использованием порта 5061. А вот при организации связи с помощью IP-телефонии, чтобы для вашей инфраструктуры была обеспечена возможность «общения» с конечными точками извне, необходим проброс портов:
- Для исходящего и входящего SIP-трафика для IP-телефонов (софтофонов, обычных телефонов, подключенных к сети через SIP-адаптер и т.д.). Исходящий и входящий SIP-трафик передается с/на порт 5060 на/с портов 1024-65535.
- Для исходящего и входящего RTP-трафика для указанных выше абонентских устройств. Для этого задействуются порты из диапазона1024-65535.
- Для исходящего и входящего трафика с IP-телефона. Передача осуществляется с/на порта 69 на/с порты 1024-65535.
Не 5060 и 5061 едиными
5060 и 5061 можно назвать «традиционными» SIP-портами. Одновременно с этим может возникать и ряд проблем с безопасностью. Угадайте, по каким портам хакеры попытаются проникнуть в вашу SIP-сеть в первую очередь? Правильно, именно по 5060 и 5061. Поэтому часто провайдеры, предоставляющие услуги в области IP-телефонии используют другие номера портов. Благо, применение 5060 и 5061 нигде декларативно не прописано, и нет обязанности применять только их для организации SIP-соединения.
Например, один из крупнейших российских провайдеров IP-телефонии для предотвращения взлома IP АТС на базе программной АТС Asterisk практикует использование для SIP порта 6655 и других. Кроме того, для повышения уровня защищенности применяются такие меры, как:
- Изменение портов IAX и SSH, установленных по умолчанию,
- Запрет подключения по рабочим портам для произвольных IP-адресов. Устанавливается в firewall,
- Ограничение списков адресов и сетей, с которых к IP АТС могут подключаться адаптеры и IP-телефоны,
- Ограничение списка доступных стран и направлений.
Конечно, это далеко не полный список мер по правильному использованию SIP- и других портов, а также технологий для обеспечения высоких показателей безопасности SIP-телефонии. Подробнее узнавайте непосредственно у провайдера. Например, у «Телфин» общий список мер включает более десяти позиций.
Итак, из вышеизложенного можно понять, что SIP-порты обеспечивают сеансы связи, но не применяются непосредственно для передачи мультимедиа в ходе общения между абонентами (конечными точками). Несмотря на то, что 5060 и 5061 порты применяются практически повсеместно, они не являются строго обязательными к использованию, можно (и нужно для обеспечения безопасности) использовать для обмена данными о параметрах соединений по SIP-протоколу и другие номера. Пользуйтесь SIP-протоколом правильно, и получайте уверенность в том, что ваша инфраструктура защищена от преступных посягательств.
Какие порты требуется пробросить перед установкой АТС 3CX Phone System
Отметим, что пробрасывать порты для сервера 3CX необходимо только при условии, что он установлен за NAT. Если АТС 3CX смотрит напрямую в интернет, нет необходимости публиковать порты. Для корректной работы требуется пробросить следующие порты:
- 5060 UDP (выбор этого порта осуществляется в момент установки АТС) – сигнальный порт для прохождения SIP-трафика, например, от провайдера телефонии
- 9000-10999 UDP — диапазон для RTP-трафика, т.е. по нему осуществляется передача голоса для SIP
- 443 или 5001 TCP (выбор этого порта осуществляется в момент установки АТС) – нужно пробрасывать при условии, если вы хотите администрировать 3CX снаружи, а также для передачи служебной информации клиентам 3CX Phone (если таковые планируете использовать снаружи).
- 5090 TCP и UDP – порт для фирменного “туннеля” 3CX. Он предназначен прежде всего для надежного преодоления NAT у внешних клиентов 3CX Phone. Туннель 3CX — это наиболее предпочтительный и более безопасный способ подключения внешних клиентов.
В 3CX имеется собственный инструмент проверки Firewall. Рекомендуем сразу после установки 3CX сервера запустить его для проверки корректности проброса портов. Запуск осуществляется с главного раздела веб-панели администрирования 3CX. Зачастую проверка выявляет “вредный” механизм некоторых роутеров под названием SIP ALG – он призван помогать прохождению SIP-трафика, но на деле только мешает. Обязательно отключайте эту опцию в своих сетевых экранах.
* Если мы не смогли полно ответить на ваш вопрос, или вы искали другую информацию, которой нет в нашей базе знаний, обращайтесь в нашу компанию по телефону или по e-mail. Обращаем внимание: для всех новых клиентов, которые находятся на стадии изучения 3CX и определяются с покупкой, мы предлагаем полностью бесплатную поддержку, а для коммерческих инсталляций действует лояльная ценовая политика. Более подробно читайте по ссылке.
Настройка маршрутизаторов и сетевых экранов
Если вы установили 3CX на собственном сервере в локальной сети, потребуется настройка вашего сетевого экрана. Это необходимо для корректной работы SIP-провайдеров и удаленного подключения SIP-телефонов. В данном руководстве рассматриваются общие вопросы настройки сетевых экранов для работы с 3CX.
Если у вас используются удаленные подключения IP-телефонов, в удаленном офисе необходимо установить сервер SBC или телефон-маршрутизатор. Кроме того, рекомендуем использовать наши мобильные приложения, которые имеют встроенный туннель для передачи голоса. Подробная информация о работе SBC.
Порты, которые нужно открыть для SIP-транка / VoIP-провайдера
Для работы 3CX с SIP-транками / VoIP-провайдерами и использования технологии WebRTC, создайте в сетевом экране правила публикации следующих портов:
- Порт 5060 (на вход, UDP) и 5060-5061 (на вход, TCP) для SIP-трафика
- Порт 9000-10999 (на вход, UDP) для RTP (Audio) трафика, который передает голос. Каждый вызов использует два RTP порта: один для управления, другой для передачи данных. Это значит, что на каждый одновременных вызов, который примет 3CX, вы должны открыть два порта (т.е. портов должно быть вдвое больше, чем вызовов).
Порты, которые нужно открыть для приложений 3CX и сервиса SBC
Для подключения удаленных пользователей с приложениями 3CX для Android, iOS и Windows, опубликуйте следующие порты:
- Порт 5090 (на вход, UDP и TCP) для технологии 3CX Tunnel.
- Порт 443 или 5001 (на вход, TCP) HTTPS для передачи статусов пользователя и автонастройки телефонов. Если при установке сервера 3CX выбраны другие порты, укажите их.
- Порт 443 (на выход, TCP) для Google Android Push.
- Порты 443, 2197 и 5223 (на выход, TCP) для Apple iOS Push. Дополнительная информация .
PUSH-уведомления отправляются сервером АТС на приложения 3CX, установленные на смартфонах пользователей. При получении сообщения приложение активируется и принимает вызов. Это принципиально важно для мобильных пользователей.
Порты, которые нужно открыть для видеоконференций 3CX
Чтобы пользователи могли создавать видеоконференции или подключаться к совещаниям, облачный сервис видеоконференций 3CX и локальная система 3CX должны обмениваться данными. Для этого необходимо открыть следующие порты:
- Порт 443 (на вход, TCP) должен быть открыт, чтобы участники могли подключиться к вашей системе 3CX.
- Система 3CX. Порт 443 (на выход, TCP) должен быть открыт, чтобы подключаться к облачной инфраструктуре видеоконференций 3CX.
- Участники конференции. Порты 443 (на выход, TCP) и 48000-65535 (на выход, UDP) должны быть открыты для обмена аудио- и видеоданными между участниками.
Порты, которые нужно открыть для других сервисов (SMTP и сервер активации)
Сервер АТС также использует некоторые вспомогательные облачные сервисы 3CX:
- SMTP Service: Облачный сервис SMTP для отправки уведомлений пользователям
smtp-proxy.3cx.net, 2528 (на выход, TCP) - Activation Service: Сервис активации продуктов 3CX
activate.3cx.com, 443 (на выход, TCP, без инспектирования пакетов) - RPS Service: Автонастройка удаленных IP-телефонов
rps.3cx.com, 443 (на выход, TCP) - Update Server: Сервер скачивания обновлений для 3CX и новых прошивок для поддерживаемых IP-телефонов
Downloads-global.3cx.com, 443 (outbound, TCP)
Другие настройки
- Отключите SIP ALG. Для использования с 3CX выбирайте сетевой экран без сервиса SIP ALG (Application Layer Gateway) / SIP Helper или с возможностью его отключения.
- Настройте Split DNS. Настройте свой сервер DNS таким образом, чтобы FQDN 3CX единообразно резолвился как внутри вашей локальной сети, так и из Интернета (этого можно не делать, если вы не планируете подключаться к АТС из внешней сети). Подробнее о настройке раздельной DNS .
- Проверьте корректность настройки утилитой Firewall Checker. После публикации портов проверьте корректность настройки сетевого экрана с помощью утилиты 3CX Firewall Checker !
Подробные руководства для распространенных сетевых экранов
Руководства по публикации портов 3CX в популярных маршрутизаторах / сетевых экранах:
- Настройка сетевого экрана Sonicwall для работы с 3CX
- Настройка маршрутизатора Draytek 2820 для работы с 3CX, включая настройку QoS
- Настройка AVMFritzBoxв качестве сетевого экрана для работы с 3CX
- Настройка маршрутизатора CISCO для подключения VoIP-провайдера
- Настройка маршрутизатора FortiGate 80C для работы с 3CX
- Настройка сетевого экрана WatchGuard XTM для работы с 3CX
- Настройка сетевого экрана pfSense для работы с 3CX
- Настройка сетевого экрана Mikrotik для работы с 3CX
Дополнительная информация
- Дополнительная информация о работе маршрутизаторов, NAT и VoIP
- Устранение неполадок PUSH в приложении для Android
Последнее обновление документа 18 июня 2023