Folgende Einstellungen sind Empfohlen um einen reibungslosen Betrieb an einer 3CX zu gewährleisten.
Allgemeine Einstellungen für ausgehende Ports:
Für jeden Anruf sind zwei RTP-Ports erforderlich: ein Port zur Anrufsteuerung und ein weiterer zur Übertragung der Anrufdaten. Sollen mehrere Anrufe gleichzeitig erfolgen, muss somit stets die doppelte Anzahl an offenen Ports verfügbar sein.
Port-Information laut Hersteller: 3CX-Ports
Quelle: 3CX
Zum Deaktivieren jeglicher VoIP-Funktionalität auf einer Firewall von Fortinet bedarf es mehrerer Schritte.
Hierzu muss der in der Konfiguration enthaltene Session-Helper von der Firewall gelöscht werden. Über den Konfigurationsmodus bewegt man sich hierzu in den Bereich der Session-Helper und lokalisiert die ID des SIP-Session-Helpers.
config system session-helper
showIn der nun erscheinenden Liste findet man einen Config-Block, der in etwa wie folgt aussieht:
edit 13
set name sip
set protocol 17
set port 5060Der Session-Helper in diesem Bespiel ist also der Eintrag “13”, wobei hier auch eine beliebige andere Nummer erscheinen kann. Dieser Eintrag muss nun gelöscht werden. Dies geschieht einfach aus der momentanen position mit dem Befehl
delete 13Dabei ist zu beachten, dass die ID des zu löschenden Eintrags, hier “13”, mit dem Eintrag in der Konfiguration korrespondieren muss.
Fortinet-Firewalls besitzen ein VoIP-Profil, über das die Geräte auf spezielle Nachrichten auf Applikationsebene reagieren können. Unsere Empfehlung: Auch dieses Profil sollte deaktiviert werden.
config voip profile
edit default
config sip
set rtp disableUm das eigentliche SIP ALG zu deaktivieren, führt man folgende Schritte aus:
config system settings
set sip-helper disable
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-basedNote: If you are using FortiOS 6.2.2 or later, instead of “set sip-helper disable”, use:
set sip-expectation disableUm diese Konfiguration zu aktivieren, sollte das Gerät neu gestartet werden.
Mit diesem Vorgehen haben wir unseren SIP-Communication-Server bereits über hundert Mal erfolgreich mit Hilfe einer Fortinet-Firewall mit einen öffentlichen SIP-Uplink integriert. Auch die Kommunikation zwischen den beliebten IP-Telefonen von snom und unseren gehosteten TK-Anlagen funktioniert in dieser Konfiguration absolut stabil und verlässlich. Natürlich ist dieses Vorgehen nicht allgemeingültig; das SIP-ALG hat in diversen Szenarien durchaus eine Daseinsberechtigung.
Quelle: nethinks.com