Configuration pare-feu et routeur
- Introduction
- Configurer/Ouvrir ces ports
- Pour votre trunk SIP / Opérateur VoIP
- Pour les applications 3CX distantes & SBC
- Pour la visioconférence 3CX
- Pour les autres services (SMTP & Activation)
- Configuration des ports pour Direct SIP / STUN
- Désactiver le SIP ALG
- Configurer le Split DNS
- Lancer le contrôleur de pare-feu
- Instructions étape par étape pour des pare-feux répandus
- Voir aussi
Introduction
Si vous avec un 3CX installé en local, vous devrez apporter des modifications à la configuration de votre pare-feu pour que 3CX puisse communiquer avec les trunks SIP et les téléphones IP distants. Ce guide donne un aperçu générique sur les ports à ouvrir/rediriger statiquement sur votre pare-feu. Nous avons également des guides détaillés sur les pare-feux répandus qui vous guideront étape par étape dans la configuration correcte de votre pare-feu. Vous pourrez en savoir plus dans cet article sur les Routeurs, NAT, VoIP et Pare-feux.
Configurer/Ouvrir ces ports
Pour permettre à 3CX de fonctionner correctement vous devez ouvrir les ports suivants :
Pour votre trunk SIP / Opérateur VoIP
Ouvrez ces ports pour autoriser 3CX à communiquer avec l’opérateur VoIP/Trunk & WebRTC:
- Port 5060 (entrant, UDP) et 5060-5061 (entrant, TCP) pour les communications SIP
- Port 9000-10999 (entrant, UDP) pour les communications RTP (Audio), contenant l’appel. Chaque appel nécessite 2 ports RTP, un pour contrôler l’appel et un autre pour les données de l’appel. Du coup, il faudra ouvrir deux fois plus de ports que d’appels simultanés à supporter.
Pour les applications 3CX distantes & SBC
Pour permettre aux utilisateurs d’utiliser leurs applications 3CX à distance, sur Android, iOS, Mac ou Windows, vous devrez ouvrir les ports suivants:
- Port 5090 (entrant, UDP et TCP) pour le tunnel 3CX
- Port 443 ou 5001 (entrant, TCP) HTTPS pour la présence et le provisioning, ou le port HTTPS personnalisé que vous avez spécifié.
- Port 443 (sortant, TCP) vers le Push Google Android
- Port 443, 2197 et 5223 (sortant, TCP) pour le Push Apple iOS. Plus d’informations ici.
Les messages PUSH sont envoyés par 3CX aux extensions utilisant des smartphones afin de réveiller leurs appareils pour qu’ils prennent les appels. Ceci améliore considérablement l’usage des applications smartphones.
Pour la visioconférence 3CX
Pour créer et participer à des réunions web, les services cloud de 3CX doivent pouvoir communiquer avec votre PBX 3CX et vice-versa. Pour ce faire, les ports suivants doivent être configurés :
- Port 443 (sortant, TCP) doit être permis pour que les participants se connectent à votre système 3CX
- Système 3CX : Port 443 (sortant, TCP) doit être permis pour se connecter à l’infrastructure cloud 3CX
- Utilisateurs : Port 443 (sortant, TCP) et 48000-65535 (sortants, UDP) doivent être permis pour échanger l’audio et vidéo avec les autres participants
Pour les autres services (SMTP & Activation)
Un système 3CX se connecte à différents services fournis par 3CX sur le cloud.
- Service SMTP : Service cloud pour les messages SMTP
smtp-proxy.3cx.net, 2528 (sortant, TCP) - Service d’activation : Activation des produits 3CX
activate.3cx.com, 443 (sortant, TCP, trafic non inspecté) - Service RPS : Provisioning des téléphones IP distants
rps.3cx.com, 443 (sortant, TCP) - Serveur de mises à jour : Pour les mises à jour du système 3CX et des firmwares des téléphones IP
Downloads-global.3cx.com, 443 (sortant, TCP)
Configuration des ports pour Direct SIP / STUN
Nous ne recommandons pas et ne supportons pas l’utilisation du STUN ou du Direct SIP sur le cloud. A la place, nous demandons l’utilisation du SBC 3CX SBC (Tunnel). Le service SBC de 3CX permet de faire passer tout le trafic VoIP via un port unique pour faciliter grandement la configuration du pare-feu et améliorer la fiabilité du service. Aucune configuration additionnelle n’est nécessaire parce que le SBC 3CX utilise les mêmes ports que les applications 3CX. Vous pouvez trouver plus d’informations sur le SBC ici.
Désactiver le SIP ALG
Utilisez un routeur/pare-feu sans SIP Helper ou SIP ALG (Application Layer Gateway), ou bien choisissez un appareil sur lequel le SIP ALG peut être désactivé. Les liens suivants sont des exemples pour désactiver l’ALG sur des routeurs répandus:
- Comment désactiver le SIP ALG sur Fortinet / FortiGate
- Comment désactiver le SIP ALG sur les routeurs Netgear
- Comment désactiver le SIP ALG sur les routeurs Thomson
Configurer le Split DNS
Vous devez configurer le FQDN 3CX pour qu’il fonctionne en interne sur votre réseau local et en externe hors du réseau (sauf si vous ne voulez pas donner l’accès à votre standard téléphonique depuis l’extérieur du réseau). Lisez comment configurer un split DNS ici.
Lancer le contrôleur de pare-feu
Après avoir configuré votre pare-feu, lancez le contrôleur de pare-feu 3CX pour vérifier sa configuration.
Instructions étape par étape pour des pare-feux répandus
Exemple de configuration pour des pare-feux répandus:
- Configurer un pare-feu Sonicwall pour 3CX
- Configurer un routeur Draytek 2820 pour 3CX avec configuration de QoS
- Configurer un AVM FritzBox comme pare-feu pour 3CX
- Configurer un routeur CISCO pour autoriser la connection à un opérateur VoIP
- Configurer un FortiGate 80C pour 3CX
- Configurer un pare-feu WatchGuard XTM pour 3CX
- Configurer un pare-feu pfSense pour 3CX
- Configurer un pare-feu MikroTik
Voir aussi
- En savoir plus sur les Routeurs, NAT et VoIP.
- Retrouvez plus d’informations sur la configuration pare-feu pour 3CX.
- Comment utiliser le Contrôleur de pare-feu 3CX
- Le guide de dépannage 3CX Android PUSH
Standard téléphonique 
