3CX Portfreigaben und Konfiguration der Firewall z.B. bei Verwendung einer Watchguard

Allgemein sind bei der Konfiguration der Firewall, in Kombination mit einer 3CX TK- Anlage, folgende Dinge zu beachten:

  • SIP-ALG muss deaktiviert sein: Router/ Firewall ohne SIP Helper und SIP ALG oder Nutzung eines Gerätes, bei dem es sich deaktivieren lässt.
  • Für externe IP- Telefone und Geräte sowie Bridges ist keine zusätzliche Konfiguration erforderlich, wenn ein 3CX SBC (Session Border Controller für Tunnelverbindung) im Einsatz ist oder eine direkte SIP-Verbindung erfolgt. Hier bündelt der SBC den VoIP-Traffic über einen Port. Zudem nutzt der SBC dieselben Ports wie die 3CX selbst.
  • Bei einer direkten SIP- Verbindung von externen Nebenstellen sind folgende Ports zu beachten: Port 5060 (eingehend, UDP und TCP), Port 5061 (eingehend, TCP, bei Verwendung von Secure SIP) , Port 9000–10999 (eingehend, UDP) , Port 443 oder 5001 (eingehend, TCP, HTTPS) zur Provisionierung von Telefonen (außer bei Nutzung benutzerdefinierter Ports).
  • Wichtig für die Nutzung von externen Anwendungen z.B. für iOS, MAC. Microsoft Windows oder Android, die außerhalb des Firmennetzwerks genutzt werden sollen sind folgende Ports: 5090 für den Tunnel, Port 443 oder 5001 für Präsenzanzeige und Telefon- Provisionierung, Port 443 (ausgehend, TCP) für Push-Benachrichtigungen von Google Android, Port 443, 2197 und 5223 (ausgehend, TCP) für Push-Benachrichtigungen von Apple iOS.

Eine grafische Übersicht für die Portfreigaben im Netzwerk

Portfreigaben im Netzwerk
Portfreigaben im Netzwerk

SMTP und Aktivierung

Bei von 3CX bereitgestellten Cloud- Diensten sind folgende Ports wichtig:

  • SMTP-Dienst: Cloud-Dienst für SMTP-Nachrichten
            smtp-proxy.3cx.net, 2528 (ausgehend, TCP)
  • Aktivierungsdienst: Zur Aktivierung von 3CX Produkten
            activate.3cx.com, 443 (ausgehend, TCP, ungeprüfter Traffic)
  • RPS-Dienst: Zur Provisionierung externer IP-Telefone
            rps.3cx.com, 443 (ausgehend, TCP)
  • Update-Server: Für Updates der 3CX Telefonanlage und von IP-Telefon-Firmware
            Downloads-global.3cx.com, 443 (ausgehend, TCP)

Der Firewall- Checker als Anhaltspunkt und Kontrolle

Ein Durchlauf des Firewall-Checker weist immer auf mögliche, noch freizugebende Ports hin. Hier auf dem Dashboard unter dem  Punkt Firewall den Run starten.

3CX Adminkonsole, Dashboard Übersicht
3CX Adminkonsole, Dashboard Übersicht

Die Firewall im Dashboard kann auch schon den ersten Hinweis liefern, wenn diese rot leuchtet.

3CX Adminkonsole Firewall- Check Durchlauf
3CX Adminkonsole Firewall- Check Durchlauf

Achtung hierbei stellt die 3CX die Dienste ein, Gespräche werden dann beendet.

Tabellarische Übersicht zu den relevanten Ports:

Beschreibung Protokoll Port Ein/Aus Funktion
CTI / Provisionierung TCP 5000 IN  
Webclient TCP 5001 IN
  • HTTPs-Port des Webservers
  • Secure SIP
  • Präsenzanzeige und zur Provisionierung von Telefonen (außer bei Nutzung benutzerdefinierter Ports).
IP Ports TCP/UDP 5060:5061 IN
  • 3CX Telefonsystem
  • Port ist konfigurierbar
  • Ist Konfigurierbar
Tunnel Port TCP/UDP 5090 IN 3CX-Tunnelprotokolldienst-Listener
RTP Ports UDP 9000-10999 IN
  • 3CX Media Server (RTP)
  • RTP- Kommunikation
  • WAN-Audio/Video/t38 Streams
Teams Direct Routing TCP 5062 IN Optional auch als SIP- Port verwendbar/ konfigurierbar
Updates System TCP 80,443 OUT
  • Anbindung an die 3CX Cloud-Infrastruktur
  • Audio- und Videoübertragung zwischen Konferenzteilnehmern
  • Anbindung von Konferenzteilnehmern an die 3CX Telefonanlage
DNS TCP/UDP 53 OUT  
NTP TCP/UDP 123 OUT  
Apple Push TCP 2195:2196 OUT Apple PUSH Benachrichtigung
Google Push TCP 5228:5230 OUT Google PUSH Benachrichtigung
3CX SMTP Server TCP 2528 OUT  
3CX STUN Server UDP 3478 OUT  

Bitte beachten Sie, dass für die einmalige 3CX Installation/Webkonfiguration der Port 5015 freigegeben werden muss!

Für eine detaillierte Beschreibung für die Konfiguration auf einer Watchguard, schauen Sie hier: 

HOWTO: Konfiguration einer WatchGuard Firebox für den Betrieb einer 3CX VoIP Telefonanlage

Mit freundlicher Unterstützung unseres Partners BOC IT-Security GmbH (Watchguard Platinum Partner)