[kmaxmax]

Salve..
dopo giorni di perfetto funzionamento, si è verificato un po' di caos..
ho comincito a non ricevere piu' chiamate alle 2 numerazioni eutelia. Le chiamate in uscita funzionavano perfettamente.

Il check del firewall, che era pulito sino a ieri oggi mi restituisce questo:

3CX Firewall Checker, v1.0. Copyright (C) 3CX Ltd. All rights reserved.

<21:17:54>: Phase 1, checking servers connection, please wait...
<21:17:54>: Stun Checker service is reachable. Phase 1 check passed.
<21:17:54>: Phase 2a, Check Port Forwarding to UDP SIP port, please wait...
<21:17:55>: UDP SIP Port is set to 5060. Response received WITH TRANSLATION 1024::5060. Phase 2a check passed with WARNINGS. Some functionality will be LIMITED. For more information, please visit http://www.3cx.com/support/firewall-checker.html

<21:17:55>: Phase 2b. Check Port Forwarding to TCP SIP port, please wait...
<21:17:55>: TCP SIP Port is set to 5060. Response received WITH TRANSLATION 1024::5060. Phase 2b check passed with WARNINGS. Some functionality will be LIMITED. For more information, please visit http://www.3cx.com/support/firewall-checker.html

<21:17:55>: Phase 3. Check Port Forwarding to TCP Tunnel port, please wait...
<21:17:56>: TCP TUNNEL Port is set to 5090. Response received correctly with no translation. Phase 3 check passed.

<21:17:56>: Phase 4. Check Port Forwarding to RTP external port range, please wait...

Application exit code is 2

In particolare vorrei chieder cosa sta a significare questo

TCP SIP Port is set to 5060. Response received WITH TRANSLATION 1024::5060. Phase 2b check passed with WARNINGS. Some functionality will be LIMITED

e perchè non fa il test delle rtp?

Ovviamente per testare il tutto ho spento il firewall generando un "tutto aperto" verso l'ip pubblico del centralino.

Qualche suggerimento??

[kmaxmax]

ok, dev'essere un problema di firewall, ma non mi è chiaro il motivo.
Spiego:

Ho impostato un nat 1:1 sull'ip pubblico dove stà il centralino.Quindi tutto aperto.
Ora, se configuro il provider eutelia su ip statico non funziona nulla, se metto server stun va.
Ripeto, sino a ieri andava tutto e nessuno ha toccato nulla.

Su un provider diverso (iplabs) nessun problema, ne prima ne ora.

Riuscite a darmi una mano?
Grazie

[kmaxmax]

era un problema non fi firewall ma di doppia registrazione su ip.. diciamo che era un nostro errore.

Invece persiste l'errore

TCP SIP Port is set to 5060. Response received WITH TRANSLATION 1024::5060. Phase 2b check passed with WARNINGS. Some functionality will be LIMITED

anche ricontrollando i settaggi delle porte, che smbrano corretti, non riusciamo ad eliminare il messaggio che precedentemente non esisteva ( passava tutto)

Inoltre chiedo:
che vuol dire questo alla fine?

Application exit code is 2

[eurylink.com]

Sembra un problema imputabile al router firewall. Se non è tra quelli con pieno supporto allo Static Port Mapping ed al NAT traversal ti consiglio di sostituirlo perchè avrai di questi problemi in continuazione. Che modello è per curiosità ?
Tipicamente ciò accade con i Linksys e Dlink.

[kmaxmax]

TCP SIP Port is set to 5060. Response received WITH TRANSLATION 1024::5060. Phase 2b check passed with WARNINGS. Some functionality will be LIMITED

e

Application exit code is 2

Mi interessa il significato dei 2 messaggi, dato che non trovo la problematica ( porte perfettamente aperte e correttamente girate.

Utilizza un router zyxel, con firewall e nat disattivati, con un'adsl su cui ho 8 ip. Il router è collegato alla RED (IP PUBBLICO e specificato gli altri come utilizzabili) di un Endian FW, e sulla green c'e' il pbx. Faccio notare che ho avuto grossi problemi a utilizzare un'ip diverso dal primo assegnato, nonostatnte abbia specificato sul pbx (rete) e sui provider voip (stun disattivato e IP pubblico dichiarato)

Una domanda ulteriore:
quali sono le porte strettamente necessarie da utilizzare? Tolte quelle della gesione del webserver, dell'interfaccia etc..
Le porte 7000-8000 di default le usate cosi' o fate qualche varioazione?

[eurylink.com]

Direi che non ci siamo......Se lo zyxel è della serie 630-650 i problemi sono all'ordine del giorno con i PBX Voip. In secondo luogo senza nattare le porte 5060 e range 9000-9049 ( o comunque quelle impostate nella gestione di 3cx) non può funzionare nulla correttamente. Eventualmente va aperta anche la 5090 per il tunnel 3CX (o quella eventualmente impostata). Il range delle 7000 invece non va aperto per nessun motivo poichè è riservato al solo uso interno.
Tutte le porte devono essere libere sul server (range 7000 compreso) e non condivise con servizi di DNS e DHCP (che in genere utilizzano random porte di questi range). L'ideale è una regola di esclusione mediante inserimento di una stringa nel registro di Windows. Queste cose però sono esplicitate in maniera abbastanza evidente sia durante il wizard di installazione di 3cx sia sul manuale stesso.

[kmaxmax]

Faccio chiarezza:

Router zyxel p660h-t1

In secondo luogo senza nattare le porte 5060 e range 9000-9049 ( o comunque quelle impostate nella gestione di 3cx) non può funzionare nulla correttamente. Eventualmente va aperta anche la 5090 per il tunnel 3CX (o quella eventualmente impostata). Il range delle 7000 invece non va aperto per nessun motivo poichè è riservato al solo uso interno.
Tutte le porte devono essere libere sul server (range 7000 compreso) e non condivise con servizi di DNS e DHCP (che in genere utilizzano random porte di questi range)

Ho seguito il wiki per la configurazione delle porte, a questo indirizzo http://wiki.3cx.com/documentation/netwo ... sed-by-3cx

In particolare come da manuale:
· Le porte 5060 (SIP), 5090 (Tunnel – Opzionale) aperte
· Le porte 5480, 5482, 5483, 5485, 5486, 5487 libere
· Una porta per IIS, 3 se si usa Cassini (5000, 5481, 5484)

Quindi sottolineo che ho su firewall aperte solo la 5060, 5090 e il range 7000-8000

Allego uno screenshot della configurazione rete del pbx

3cx.JPG (56.6 KiB) Viewed 628 times

nel firewall ho impostato le regole da ip pubblico a ip privato del pbx
Sul pc ho solo il pbx e UVNC.

[eurylink.com]

Ti manca comunque il range 9000-9049 a livello NAT che è fondamentale. Se per firewall intendi quello interno al router ricordati che devi aprire anche queste ultime oltre alla 5060.
Il range 7000-8000 nel tuo caso va aperto sul firewall solo se il firewall è quello software (windows xp o windows server) relativo alla piattaforma di installazione di 3CX. Non ho capito se ti riferisci al firewall software dello Zyxel (che io disabiliteri inizialmente giusto per scrupolo....) o al firewall di XP.
Non mi quadra per quale ragione hai impostato le porte per le chiamate esterne e quelle interne sullo stesso range di indirizzo.......dovresti avere 7000-7049 sul primo blocco e 9000-9049 sul secondo blocco.
Questo in primis per una questione di sicurezza ed in secondo luogo per non creare soprapposizioni e conflitti......

[kmaxmax]

C'e' un po' di confusione, ma provo a ripetermi:

Ti manca comunque il range 9000-9049 a livello NAT che è fondamentale.

Questo perche' non sapevo il range consigliato per le porte in uscita fosse 9000-9049 e non 7000-8000 come da default

Se per firewall intendi quello interno al router ricordati che devi aprire anche queste ultime oltre alla 5060.

Non ho firewall abilitato a livello software ( sistema operativo). Ho un firewall hardware dopo il router. Sul router il firewall è disabilitato.

Il range 7000-8000 nel tuo caso va aperto sul firewall solo se il firewall è quello software (windows xp o windows server) relativo alla piattaforma di installazione di 3CX.

qui non ti ho capito.

Non ho capito se ti riferisci al firewall software dello Zyxel (che io disabiliteri inizialmente giusto per scrupolo....) o al firewall di XP.

Cosa è il firewall software dello zyxel? Su XP il firewall è spento.

Non mi quadra per quale ragione hai impostato le porte per le chiamate esterne e quelle interne sullo stesso range di indirizzo.......dovresti avere 7000-7049 sul primo blocco e 9000-9049 sul secondo blocco.
Questo in primis per una questione di sicurezza ed in secondo luogo per non creare soprapposizioni e conflitti......

Non sapevo fosse il range consigliato, quindi ho provveduto a fare esattamente cosi' come mi dici.

Ora la situazione è questa:

ADSL --> Zyxel --> Firewall Endian --> Macchina con XP e 3CX
- Zyxel: Firewall spento - NAT spento - Configurato per sfruttare 8 IP
- Firewall Endian: Firewall configurato con NAT sulle porte -- 5060 TCP,5060 UDP,5090 UDP,9000-9049 UDP -- IP pubblici configurati e gestiti
- Macchina con XP e 3CX: Firewall spento e ip locale

Così è corretto??

[eurylink.com]

Si la configurazione è corretta. Ho qualche dubbio invece sul firewall nel senso che non l'ho mai utilizzato in abbinamento a 3CX. In linea di massima non metterei mai un firewall tra il centralino IP ed il router se non obbligato. Se anche così dovessi avere problemi comunque (anche con il firewall checker) prova ad eliminare il firewall per avere riprova del corretto funzionamento. A quel punto quantomeno saprai che il problema sta sul firewall e potrai giocarci per trovare la configurazione migliore.

[kmaxmax]

obbligato a lasciare il firewall così com'e' per questioni di rete interna, ma vi aggiorno sul funzionamento appena termino le prove.
Piuttosto, riguardo il tunnell 3cx, la 5090 va liberata in tcp, non in udp.. scusate.

[kmaxmax]

Allora, confermo che con i seguenti settaggi, salvo errori di configurazione su router o sulla macchina 3cx il firewall, se idoneo per 3cx come da specifiche, il test del firewall da esito positivo (nessun errore) e il 3cx va che una meraviglia !!

Code: Select all

TCP    IP PUBBLICO : 5060    =>         IP locale 3CX : 5060             3cx SIP 5060 TCP    
UDP    IP PUBBLICO : 5060    =>         IP locale 3CX : 5060             3cx SIP 5060 UDP    
TCP    IP PUBBLICO : 5090    =>         IP locale 3CX : 5090             3cx Tunnel 5090    
UDP    IP PUBBLICO : 9000:9049    =>    IP locale 3CX : 9000:9049        3cx RTP SIP

ovviamente le porte sulla macchina 3cx come da manuale libere!