3CX Portfreigaben und Konfiguration der Firewall z.B. bei Verwendung einer Watchguard
Allgemein sind bei der Konfiguration der Firewall, in Kombination mit einer 3CX TK- Anlage, folgende Dinge zu beachten:
- SIP-ALG muss deaktiviert sein: Router/ Firewall ohne SIP Helper und SIP ALG oder Nutzung eines Gerätes, bei dem es sich deaktivieren lässt.
- Für externe IP- Telefone und Geräte sowie Bridges ist keine zusätzliche Konfiguration erforderlich, wenn ein 3CX SBC (Session Border Controller für Tunnelverbindung) im Einsatz ist oder eine direkte SIP-Verbindung erfolgt. Hier bündelt der SBC den VoIP-Traffic über einen Port. Zudem nutzt der SBC dieselben Ports wie die 3CX selbst.
- Bei einer direkten SIP- Verbindung von externen Nebenstellen sind folgende Ports zu beachten: Port 5060 (eingehend, UDP und TCP), Port 5061 (eingehend, TCP, bei Verwendung von Secure SIP) , Port 9000–10999 (eingehend, UDP) , Port 443 oder 5001 (eingehend, TCP, HTTPS) zur Provisionierung von Telefonen (außer bei Nutzung benutzerdefinierter Ports).
- Wichtig für die Nutzung von externen Anwendungen z.B. für iOS, MAC. Microsoft Windows oder Android, die außerhalb des Firmennetzwerks genutzt werden sollen sind folgende Ports: 5090 für den Tunnel, Port 443 oder 5001 für Präsenzanzeige und Telefon- Provisionierung, Port 443 (ausgehend, TCP) für Push-Benachrichtigungen von Google Android, Port 443, 2197 und 5223 (ausgehend, TCP) für Push-Benachrichtigungen von Apple iOS.
Eine grafische Übersicht für die Portfreigaben im Netzwerk
SMTP und Aktivierung
Bei von 3CX bereitgestellten Cloud- Diensten sind folgende Ports wichtig:
- SMTP-Dienst: Cloud-Dienst für SMTP-Nachrichten
smtp-proxy.3cx.net, 2528 (ausgehend, TCP) - Aktivierungsdienst: Zur Aktivierung von 3CX Produkten
activate.3cx.com, 443 (ausgehend, TCP, ungeprüfter Traffic) - RPS-Dienst: Zur Provisionierung externer IP-Telefone
rps.3cx.com, 443 (ausgehend, TCP) - Update-Server: Für Updates der 3CX Telefonanlage und von IP-Telefon-Firmware
Downloads-global.3cx.com, 443 (ausgehend, TCP)
Der Firewall- Checker als Anhaltspunkt und Kontrolle
Ein Durchlauf des Firewall-Checker weist immer auf mögliche, noch freizugebende Ports hin. Hier auf dem Dashboard unter dem Punkt Firewall den Run starten.
Die Firewall im Dashboard kann auch schon den ersten Hinweis liefern, wenn diese rot leuchtet.
Achtung hierbei stellt die 3CX die Dienste ein, Gespräche werden dann beendet.
Tabellarische Übersicht zu den relevanten Ports:
| Beschreibung | Protokoll | Port | Ein/Aus | Funktion |
| CTI / Provisionierung | TCP | 5000 | IN | |
| Webclient | TCP | 5001 | IN |
|
| IP Ports | TCP/UDP | 5060:5061 | IN |
|
| Tunnel Port | TCP/UDP | 5090 | IN | 3CX-Tunnelprotokolldienst-Listener |
| RTP Ports | UDP | 9000-10999 | IN |
|
| Teams Direct Routing | TCP | 5062 | IN | Optional auch als SIP- Port verwendbar/ konfigurierbar |
| Updates System | TCP | 80,443 | OUT |
|
| DNS | TCP/UDP | 53 | OUT | |
| NTP | TCP/UDP | 123 | OUT | |
| Apple Push | TCP | 2195:2196 | OUT | Apple PUSH Benachrichtigung |
| Google Push | TCP | 5228:5230 | OUT | Google PUSH Benachrichtigung |
| 3CX SMTP Server | TCP | 2528 | OUT | |
| 3CX STUN Server | UDP | 3478 | OUT |
Bitte beachten Sie, dass für die einmalige 3CX Installation/Webkonfiguration der Port 5015 freigegeben werden muss!
Für eine detaillierte Beschreibung für die Konfiguration auf einer Watchguard, schauen Sie hier:
HOWTO: Konfiguration einer WatchGuard Firebox für den Betrieb einer 3CX VoIP Telefonanlage
Mit freundlicher Unterstützung unseres Partners BOC IT-Security GmbH (Watchguard Platinum Partner)
