Настройка MikroTik для работы с 3CX

Введение

В этом руководстве описана настройка MikroTik RB951 для использования с 3CX. Руководство подойдет и для других устройств этой серии. Mikrotik может быть настроен через графический (winbox.exe) или веб-интерфейс, однако здесь рассматривается настройка через SSH.

Внимание! Техподдержка 3CX не оказывает помощь в настройке сетевых экранов.

Шаг 1: Отключите SIP ALG

1. Подключитесь к сетевому экрану. В командной строке введите:
   ip firewall service-port disable sip

Шаг 2: Настройте публикацию портов (NAT)

Необходимо опубликовать следующие порты для поддержки SBC, VoIP-провайдеров и удаленных добавочных номеров.

В командной строке Mikrotik введите следующие команды:

1. ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[HTTPS Port] protocol=tcp dst-port=[HTTPS Port] comment="3CX Presence and Provisioning HTTPS"
2. ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port] protocol=udp dst-port=[SIP Port] comment="3CX SIP UDP"
3. ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port] protocol=tcp dst-port=[SIP Port] comment="3CX SIP TCP"
4. ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[SIP Port + 1] protocol=tcp dst-port=[SIP Port + 1] comment="3CX SIP TLS"
5. ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=9000-10999 protocol=udp dst-port=9000-10999 comment="3CX Media UDP"
6. ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[Tunnel Port] protocol=tcp dst-port=[Tunnel Port] comment="3CX Tunnel TCP"
7. ip firewall nat add chain=dstnat action=dst-nat to-addresses=[3CX Server LAN IP] to-ports=[Tunnel Port] protocol=udp dst-port=[Tunnel Port] comment="3CX Tunnel UDP"

Внимание! В приведенных выше командах вместо блока в скобках следует указать корректный порт в вашей инсталляции.

Шаг 3: Правила входящего трафика (PAT)

Если у вас 1 to 1 NAT, этот шаг можно пропустить. Настройте PAT - создайте правила доступа, используя эти команды:

1. ip firewall filter add chain=input action=accept connection-state=established
2. ip firewall filter add chain=input action=accept connection-state=related
3. ip firewall filter add chain=forward action=accept connection-state=established
4. ip firewall filter add chain=forward action=accept connection-state=related
5. ip firewall filter add chain=forward action=drop connection-state=invalid
6. ip firewall filter add chain=input action=drop in-interface=[Interface Name]
7. ip firewall nat add chain=srcnat action=masquerade out-interface=[Interface Name]

Внимание! В шагах 6 и 7 следует указать интерфейс “in-interface”, который используется 3CX (он имеет публичный IP-адрес). Все названия интерфейсов можно узнать с помощью команды:

Шаг 4: Проверка корректности настройки

1. Войдите в интерфейс управления 3CX, перейдите в раздел "Dashboard" > "Firewall" и запустите программу Firewall Checker, чтобы убедиться, что ваш сетевой экран корректно настроен для работы с 3CX. Подробная информация о Firewall Checker доступна здесь.
2. Проверьте конфигурацию сетевого экрана с помощью следующих команд:

1. > ip address print

2. > ip firewall nat print

3. > ip firewall filter print

Дополнительная информация

• Как работает 3CX Firewall Checker

Версия документа

Последнее обновление документа 23 июня 2023

https://www.3cx.ru/docs/mikrotik-firewall-configuration/