Configuration pare-feu et routeur
- Introduction
- Ports requis pour votre trunk SIP / opérateur VoIP
- Ports requis pour les applications 3CX distantes & le SBC
- Ports requis pour la visioconférence 3CX
- Ports requis pour les autres services (SMTP & Activation)
- Configurer le Split DNS / Hairpin NAT
- Désactiver SIP ALG
- Lancer le contrôleur de pare-feu
- Instructions étape par étape pour les pare-feux communs
- Voir aussi
Introduction
Si vous avec un 3CX installé en local, vous devrez apporter des modifications à la configuration de votre pare-feu pour que 3CX puisse communiquer avec vos trunks SIP et applications. Ce guide donne un aperçu générique sur les ports à ouvrir/rediriger statiquement sur votre pare-feu.
Si vous avez des téléphones IP distants, vous devez mettre un SBC ou un téléphone routeur devant. Alternativement, nous vous recommandons l’usage de nos applications qui possèdent un tunnel intégré. Vous pouvez trouver plus d’informations sur le SBC ici.
Ports requis pour votre trunk SIP / opérateur VoIP
Ouvrez ces ports pour autoriser 3CX à communiquer avec l’opérateur VoIP/Trunk & WebRTC :
- Port 5060 (entrant, UDP) et 5060-5061 (entrant, TCP) pour les communications SIP.
- Port 9000-10999 (entrant, UDP) pour les communications RTP (Audio), c.à.d. l’appel lui-même. Chaque appel nécessite 2 ports RTP, un pour contrôler l’appel et un autre pour les données de l’appel. Pour cette raison, il faudra ouvrir deux fois plus de ports que d’appels simultanés à supporter.
Ports requis pour les applications 3CX distantes & le SBC
Pour permettre aux utilisateurs d’utiliser leurs applications 3CX à distance, sur Android, iOS ou Windows, vous devrez ouvrir les ports suivants:
- Port 5090 (entrant, UDP et TCP) pour le tunnel 3CX
- Port 443 ou 5001 (entrant, TCP) HTTPS pour la présence et le provisioning, ou le port HTTPS personnalisé que vous avez spécifié.
- Port 443 (sortant, TCP) vers le Push Google Android
- Port 443, 2197 et 5223 (sortant, TCP) pour le Push Apple iOS. Plus d’informations ici.
Les messages PUSH sont envoyés par 3CX aux extensions utilisant des smartphones afin de réveiller leurs appareils pour qu’ils prennent les appels. Ceci améliore considérablement l’usage des applications smartphones.
Ports requis pour la visioconférence 3CX
Pour créer et participer à des réunions web, les services cloud de 3CX doivent pouvoir communiquer avec votre PBX 3CX et vice-versa. Pour ce faire, les ports suivants doivent être configurés :
- Port 443 (sortant, TCP) doit être permis pour que les participants se connectent à votre système 3CX
- Système 3CX : Port 443 (sortant, TCP) doit être permis pour se connecter à l’infrastructure cloud 3CX
- Utilisateurs : Port 443 (sortant, TCP) et 48000-65535 (sortants, UDP) doivent être permis pour échanger l’audio et vidéo avec les autres participants
Ports requis pour les autres services (SMTP & Activation)
Un système 3CX se connecte à différents services fournis par 3CX sur le cloud.
- Service SMTP : Service cloud pour les messages SMTP
smtp-proxy.3cx.net, 2528 (sortant, TCP) - Service d’activation : Activation des produits 3CX
activate.3cx.com, 443 (sortant, TCP, trafic non inspecté) - Service RPS : Provisioning des téléphones IP distants
rps.3cx.com, 443 (sortant, TCP) - Serveur de mises à jour : Pour les mises à jour du système 3CX et des firmwares des téléphones IP
downloads-global.3cx.com, 443 (sortant, TCP)
Configurer le Split DNS / Hairpin NAT
Vous devez configurer le FQDN 3CX pour qu’il fonctionne en interne sur votre réseau local et en externe hors du réseau (sauf si vous ne voulez pas donner l’accès à votre standard téléphonique depuis l’extérieur du réseau). Lisez comment configurer un split DNS ici.
Désactiver SIP ALG
Utilisez un routeur/pare-feu sans SIP Helper ou SIP ALG (Application Layer Gateway), ou bien choisissez un appareil sur lequel le SIP ALG peut être désactivé.
Lancer le contrôleur de pare-feu
Après avoir configuré votre pare-feu, lancez le contrôleur de pare-feu 3CX pour vérifier sa configuration.
Instructions étape par étape pour les pare-feux communs
Exemple de configuration pour les pare-feux les plus répandus :
- Configurer un pare-feu Sonicwall pour 3CX
- Configurer un routeur Draytek 2820 pour 3CX avec configuration de QoS
- Configurer un AVM FritzBox comme pare-feu pour 3CX
- Configurer un routeur CISCO pour autoriser la connection à un opérateur VoIP
- Configurer un FortiGate 80C pour 3CX
- Configurer un pare-feu WatchGuard XTM pour 3CX
- Configurer un pare-feu pfSense pour 3CX
- Configurer un pare-feu MikroTik
Voir aussi
- En savoir plus sur les Routeurs, NAT et VoIP.
- Quels ports ouvrir si vous avez des soucis avec PUSH : guide de dépannage 3CX PUSH
Dernière mise à jour
La dernière mise à jour de ce document a été effectuée le 06 mars 2024.
https://www.3cx.fr/docs/manuel/configuration-parefeu-routeur/