Sidebar Sidebar

Elastix 5.0 не проходит тест сетевого экрана

L

leikocid

Регистрация
7 Янв 2017
Сообщения
15
поставил Elastix 5.0 на виртуальную машину в proxmox 4.2 , ставил образом, все встало и настроилось,пробросил порты на шлюзе, по FQDN и по внешнему ip web интерфейс доступен, но......не проходит тест "Проверка сетевого экрана" по всем пунктам ктоме первых трех, порты проброшены и в том что сетевой экран на шлюзе порты открыл уверен,так как проброс портов работает с множеством сервисов на других ip, утилитой 3CXFirewallCheckerClientApplication тоже не может подключится к транку , соответственно из за этого не получается подключить VoIP FXO шлюз который на другом провайдере, в чем может быть дело кто знает?
 
Нарисуйте схему сети, со шлюзами и IP адресами.
 
VoIP шлюз -> роутер -> провайдер(95.xx.xx.xx) = интернет = провайдер(92.xx.xx.xx) -> роутер -> Elastix 5.0(192.168.0.xx)
 
Вы опубликовали порты 5060 TCP и UDP, 5001 TCP, 5090 TCP, 9000-9500 UDP?
 
да, на 5001 TCP попадаю на веб интерфейс нормально, остальные тест показывает что закрыты, хотя обуюлекованы
 
из локальной сети где находится Elastix 5 тоже не получается подключится при помощи 3CXFirewallCheckerClientApplication
 
Подключайтесь обычными клиентами 3cx через автонастройку. Firewall checker сделана для диагностики проблем, только если они есть. У вас есть проблемы в работе системы? Оставьте firewall checker и просто настраивайте систему.
 
leikocid добрый день,


firewall checker проверяет только UDP порты,
подробнее по портам : https://www.3cx.com/docs/ports/
подробнее по проверке сетевого экрана: https://www.3cx.com/blog/docs/firewall-voip-rules-check/
 
Игорь Снежко, FXO шлюз не видит sip север, в этом основная проблема(
3cxoleg, спасибо изучаю вопрос, вроде из локалки мимо всех фаерволов должны быть доступны транки для подключения из 3CXFirewallCheckerClientApplication чего не происходит
 
захватите пакеты через wireshark и по примеру (подробнее по проверке сетевого экрана: https://www.3cx.com/blog/docs/firewall-voip-rules-check/ ) будет видно что не так.
 
а у Elastix 5.0 есть свой сетевой экран?, получается что на
resolving 'stun.3cx.com'... done
resolving 'stun2.3cx.com'... done
resolving 'stun3.3cx.com'... done
тесты проходят а на свои внутренние порты нет
 
для проверки корректной настройки портов, АТС делает тест на STUN сервер 3CX.
По умолчанию порты сетевого экрана (iptables) на Elastix 5.0 (если вы скачали iso) открыты.
 
Я вам советую на удаленной точке, где вы подключаете VoIP шлюз, сделать проброс портов 5060 UDP и RTP портов (посмотрите в параметрах этого шлюза). В самом шлюзе в качестве STUN сервера указывайте FQDN вашего сервера 3CX и порт 5060. 3CX сама предоставляет STUN сервис для внешних подключений.
 
Игорь, спасибо попробую отпишусь
 
>а у Elastix 5.0 есть свой сетевой экран?, получается что на
>resolving ‘stun.3cx.com’… done
>resolving ‘stun2.3cx.com’… done
>resolving ‘stun3.3cx.com’… done
>тесты проходят а на свои внутренние порты нет

Firewall checker работает не совсем так. Проверяются не "внутренние порты", а то, как они транслируются NAT устройством при отправке UDP сообщений на внешние адреса.
три первые строчки - это получение адреса внешних STUN серверов, с помощью которых и будет проводиться тестирование.
Судя по тому, что у Вас TCP работает (web консоль открывается снаружи), а ни один UDP порт не проходит проверки на "статическую привязку" портов (кстати, какое сообщение выдается в логе checker'а?), то
1. либо вообще весь UDP трафик заблокирован и ничего не проходит через шлюз наружу.
2. либо NAT не сконфигурирован для UDP (порт транслируется но в какой-то случайный, что совсем не подходит для сервера, к которому нужно обращаться клиентам, в том числе и упомянутому FXO шлюзу)
3. либо (есть вероятность и такой проблемы) шлюз вообще не реализует "Full cone NAT" (статическая привязка внешнего порта к порту локального хоста) для UDP.
Будем надеяться, что проблема 1. или 2., поскольку 3. никак не лечится и общение с внешним шлюзом будет проблематичным вплоть до принципиальной невозможности.
 
1sy1, спасибо за ответ!
шлюз Dinstar DAG1000-4O вроде как современный с ним проблем быть не должно, первое что подумал это тоже про трафик UDP, пробовал подключится к транку 3CX из локальной сети где находится сервер их программой мимо интернет шлюза тоже не получилось, пока нету времени проверить все варианты.
3cxoleg, да ставил из ISO, по идее утилита 3CXFirewallCheckerClientApplication должна же подключатся к транку на сервере 3CX как по ip так и по по FQDN да?
часть лога checker’а:
resolving 'stun.3cx.com'... done
resolving 'stun2.3cx.com'... done
resolving 'stun3.3cx.com'... done
testing 3CX SIP Server... failed (How to resolve?)
stopping service... done
testing port 5060... failed
testing port 5060... unmatched mapping (55009)
starting service... done
testing 3CX Tunneling Proxy... failed (How to resolve?)
stopping service... done
testing port 5090... failed
testing port 5090... unmatched mapping (59689)
starting service... done
testing 3CX Media Server... failed (How to resolve?)
stopping service... done
testing ports [9000..9255]... failed
testing port 9000... unmatched mapping (60531)
testing port 9001... unmatched mapping (64421)
testing port 9002... unmatched mapping (52404)
testing port 9003... unmatched mapping (62142)
testing port 9004... unmatched mapping (57025)
testing port 9005... unmatched mapping (54233)
testing port 9006... unmatched mapping (52634)
testing port 9007... unmatched mapping (62148)
testing port 9008... unmatched mapping (62309)
testing port 9009... unmatched mapping (64516)
testing port 9010... unmatched mapping (62505)
testing port 9011... unmatched mapping (58551)
testing port 9012... unmatched mapping (51121)
testing port 9013... unmatched mapping (50840)
testing port 9014... unmatched mapping (63399)
testing port 9015... unmatched mapping (61268)
testing port 9016... unmatched mapping (64105)
testing port 9017... unmatched mapping (53985)
testing port 9018... unmatched mapping (58380)
testing port 9019... unmatched mapping (52174)
testing port 9020... unmatched mapping (56524)
 
в общем не знаю что я сделал и что помогло именно но, после того как сбросил шлюз по дефолту и настроил все по новой при чем прописал те же параметры ip адресов что и ранее, FXO подключился к транку сервера (elastix 5) и заработал, приложением так и не получилось подключится ни перед фаерволом ни за ним, всем огромнейшее спасибо очень помогли, правда пока появились новые вопросы(тишина вместо голосового меню) но это другая тема, изучаем
 
Тишина - от сервера к вам не идет голосовой поток.
 
Игорь Снежко, а какие причины могут быть?, в журнале вызовов звонки отображаются с какого номера на какой "IVR (80)" продолжительность, это может быть что со стороны fxo шлюза не опубликованы порты?, я там публиковал только 5060 порт
 
И порты нужно опубликовать, ведь шлюз стоит за NAT. Но, к ожалению, остается вариант: "общение с внешним шлюзом будет проблематичным вплоть до принципиальной невозможности"
 
Вам необходимо войти или зарегистрироваться, чтобы здесь отвечать.

Для администраторов

Топ форумы

Пользователи онлайн

Всего: 174 (пользователей: 18, гостей: 156)

Статистика форума

Темы
21.052
Сообщения
105.818
Пользователи
70.079
Новый пользователь
granit34125
Установите 3CX - Совершенно бесплатно!

Соединяйте сотрудников и клиентов Телефонная система Чат для сайта Видеоконференции

На хостинге или своих ресурсах. До 10 пользователей - бесплатно навсегда. Без банковских карт и рисков.

3CX
Аккаунт 3CX с таким e-mail уже существует. Вы будете переадресованы на Портал пользователя, где сможете ввести учетные данные или восстановить пароль.
Подтвердите e-mail

Проверьте Входящие

Вам отправлен e-mail. Нажмите кнопку в письме, чтобы верифицировать ваш адрес (если не видите письма – проверьте папку спама).

Верх Низ
Назад