Pour toute mise à jour de ce document, merci de consulter la version anglaise

Introduction

Ce document décrit la configuration d’un Sonicwall TZ210, NSA240, NSA2400 pour l’utiliser avec le 3CX Phone System. Ce manuel est basé sur:

  • SonicWALL TZ210 utilisant la version du firmware « SonicOS Enhanced 5.5.1.0-5o »
  • SonicWALL NSA240 utilisant la version du firmware « SonicOS Enhanced 5.1.1-18o »
  • SonicWALL NSA2400 utilisant la version du firmware « SonicOS Enhanced 5.8.1.5-46o »

Sonicwall-NSA-Stack

Statuts

Sonicwall n’est pas supporté avec le 3CX Phone System. Un pare-feu Sonicwall avec la redirection de port implémentée, ne peut pas déterminé s’il y a une règle entrante NAT sur un port, et chagera les ports quand il envoie des paquets et par conséquent, les tests du 3CX Firewall Checker échoueront. 3CX n’offre pas de support pour ces problèmes liés au pare-feu Sonicwall, aux opérateurs VoIP et aux extensions distantes, à moins que les extensions distantes n’utilisent le Tunnel 3CX – SBC.

Configurer un pare-feu SonicWall

Pour une liste toujours à jour des ports qui doivent être ouverts consultez « Configuration du pare-feu et du routeur« . Pour configurer le pare-feu SonicWall veuillez suivre ces étapes:

  1. Démarrez le dispositif  avec la configuration Factory Default
  2. Démarrez l’assistant:
    • Router-style config
    • WAN/LAN config
    • Private LAN IP Address: x.x.x.x (LAN IP Address for Router)
    • Public WAN IP Address: y.y.y.y (WAN IP Address for Router)
  3. Créez le pare-feu suivant->Services:
    • name== »TCP::5001″, protocol== »TCP », port_from== »5001″, port_to== »5001″
    • name== »TCP::5000″, protocol== »TCP », port_from== »5000″, port_to== »5000″
    • name== »TCP::5060″, protocol== »TCP », port_from== »5060″, port_to== »5060″
    • name== »UDP::5060″, protocol== »UDP », port_from== »5060″, port_to== »5060″
    • name== »UDP::9000-9049″, protocol== »UDP », port_from== »9000″, port_to== »9049″
    • name== »TCP::5090″, protocol== »TCP », port_from== »5090″, port_to== »5090″
    • name== »UDP::5090″, protocol== »UDP », port_from== »5090″, port_to== »5090″
  4. Créez un pare-fu->ServiceGroup avec le nom « 3CX::ALL_SERVICES », avec des membres:
    • TCP::5001
    • TCP::5000
    • TCP::5060
    • UDP::5060
    • UDP::9000-9049
    • TCP::5090
    • UDP::5090
  5. Créez un réseau->AddressObject avec:
    • name== »3CX::PBX »
    • zone== »LAN »
    • type= »Host »
    • ipaddress== »z.z.z.z » (l’adresse IP  pour le 3CX PhoneSystem – devrai être dans le même sous-réseau que x.x.x.x ci-dessus)
  6. Créez un réseau->NATpolicy avec:
    • OriginalSource== »Any »
    • TranslatedSource== »Original »
    • OriginalDestination== »WAN Interface IP »
    • TranslatedDestination== »3CX::PBX »
    • OriginalService== »3CX::ALL_SERVICES »
    • TranslatedService== »Original »
    • InboundInterface== »X1″
    • OutboundInterface== »Any »
    • EnableNATpolicy==YES
    • CreateReflexivePolicy==NO
  7. Créez un pare-feu->AccessRule avec:
    • FromZone== »WAN »
    • ToZone== »LAN »
    • Service== »3CX::ALL_SERVICES »
    • Source== »Any »
    • Destination== »WAN Interface IP »
    • UsersAllowed== »All »
    • Schedule== »AlwaysOn »
    • EnableLogging==YES
    • AllowFragmentedPackets==YES
  8. Ajustez la VoIP->Paramètres:
    • Enable consistent NAT == DISABLED
    • Enable SIP transformations == DISABLED

L’adresse IP x.x.x.x; y.y.y.y; z.z.z.z; doit être remplacée avec les valeurs correspondante pour votre installation.

Validation

Démarrez le 3CX Firewall Checker pour valider l’installation depuis la Console d’administration du 3CX Phone System > Contrôleur de pare-feu. Tous les ports testé doivent devenir vert / fonctionnent.

Notes importantes

  • Vous devez désactiver le STUN dans le 3CX PhoneSystem pour éviter de défaire les règles implémentées de redirection du port  – Quand et comment éteindre un STUN dans 3CX
  • Quand vous utilisez des extensions directes distantes (3CXPhone pour Windows, 3CXPhone pour iPhone, 3CXPhone pour MAC, 3CXPhone pour Android et des téléphones  SIP) vous ne pouvez pas utiliser la fonctionnalité intégrée STUN du 3CX Phone System vous devez modifier chaque terminaison de la configuration pour utiliser un serveur STUN tiers comme stun.3cx.com

Vous devez désactiver STUN dans 3CX Phone System pour éviter des incompatibilités avec les règles de redirections de ports mises en œuvre.