Настройка MikroTik для работы с 3CX
Введение
В этом руководстве описана настройка MikroTik RB951 для использования с 3CX. Руководство подойдет и для других устройств этой серии. Mikrotik может быть настроен через графический (winbox.exe) или веб-интерфейс, однако здесь рассматривается настройка через SSH.
Внимание! Техподдержка 3CX не оказывает помощь в настройке сетевых экранов.
Шаг 1: Отключите SIP ALG
- Подключитесь к сетевому экрану. В командной строке введите:
ip firewall service-port disable sip
Шаг 2: Настройте публикацию портов (NAT)
Необходимо опубликовать следующие порты для поддержки SBC, VoIP-провайдеров и удаленных добавочных номеров.
В командной строке Mikrotik введите следующие команды:
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[HTTPS Port] protocol=tcp dst-port=[HTTPS Port] comment="3CX Presence and Provisioning HTTPS"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port] protocol=udp dst-port=[SIP Port] comment="3CX SIP UDP"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port] protocol=tcp dst-port=[SIP Port] comment="3CX SIP TCP"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port + 1] protocol=tcp dst-port=[SIP Port + 1] comment="3CX SIP TLS"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=9000-10999 protocol=udp dst-port=9000-10999 comment="3CX Media UDP"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[Tunnel Port] protocol=tcp dst-port=[Tunnel Port] comment="3CX Tunnel TCP"
- ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[Tunnel Port] protocol=udp dst-port=[Tunnel Port] comment="3CX Tunnel UDP"
Внимание! В приведенных выше командах вместо блока в скобках следует указать корректный порт в вашей инсталляции.
Шаг 3: Правила входящего трафика (PAT)
Если у вас 1 to 1 NAT, этот шаг можно пропустить. Настройте PAT - создайте правила доступа, используя эти команды:
- ip firewall filter add chain=input action=accept connection-state=established
- ip firewall filter add chain=input action=accept connection-state=related
- ip firewall filter add chain=forward action=accept connection-state=established
- ip firewall filter add chain=forward action=accept connection-state=related
- ip firewall filter add chain=forward action=drop connection-state=invalid
- ip firewall filter add chain=input action=drop in-interface=[Interface Name]
- ip firewall nat add chain=srcnat action=masquerade out-interface=[Interface Name]
Внимание! В шагах 6 и 7 следует указать интерфейс “in-interface”, который используется 3CX (он имеет публичный IP-адрес). Все названия интерфейсов можно узнать с помощью команды:
Шаг 4: Проверка корректности настройки
- Войдите в интерфейс управления 3CX, перейдите в раздел "Dashboard" > "Firewall" и запустите программу Firewall Checker, чтобы убедиться, что ваш сетевой экран корректно настроен для работы с 3CX. Подробная информация о Firewall Checker доступна здесь.
- Проверьте конфигурацию сетевого экрана с помощью следующих команд:
- > ip address print
- > ip firewall nat print
- > ip firewall filter print
Дополнительная информация
Версия документа
Последнее обновление документа 23 июня 2023