Pré requis réseau 3CX
Ce document résume les configurations et ouvertures de ports indispensables à appliquer sur votre infrastructure pare-feu et routeur afin de garantir le bon fonctionnement, la sécurité et la qualité de la solution de communication 3CX installée en local.
| Recommandation Cruciale (Sécurité) : L'environnement réseau doit être cloisonné. Il est de la responsabilité de l'administrateur réseau client de définir des règles ACL / pare-feu strictes pour empêcher l'accès à l'hôte 3CX depuis des sous-réseaux ou terminaux sensibles non autorisés. |
1. Flux Entrants (Inbound Traffic)
Ces ports doivent être redirigés statiquement (NAT/PAT) vers l'adresse IP locale du serveur 3CX depuis l'extérieur.
| Port / Plage | Protocole | Usage / Service | Notes / Spécifications |
|---|---|---|---|
5060
|
UDP | Communications SIP | Trunk SIP / Opérateur VoIP. |
5060 - 5061
|
TCP | Communications SIP sécurisées | Trunk SIP / Opérateur VoIP. |
9000 - 10999
|
UDP | Flux Audio RTP / WebRTC | Chaque appel nécessite 2 ports (contrôle et données). Prévoir 2x plus de ports que d'appels simultanés. |
5090
|
UDP / TCP | Tunnel 3CX | Requis pour les applications 3CX distantes et la liaison SBC. |
443 ou 5001
|
TCP | HTTPS (Présence & Provisioning) | Port par défaut ou personnalisé spécifié lors de l'installation. |
443
|
TCP | Transcription Cloud (Entrant) | Autoriser uniquement depuis la source IP : 34.40.92.110 (wmr-in.3cx.net).
|
2. Flux Sortants (Outbound Traffic)
Le serveur 3CX et les postes clients doivent pouvoir initier des connexions vers internet sur les destinations suivantes.
| Destination / Service | Port / Protocole | Description et utilité |
|---|---|---|
| Push Google Android | 443 (TCP)
|
Notifications push pour réveiller les smartphones Android. |
| Push Apple iOS | 443, 2197, 5223 (TCP)
|
Notifications push pour les applications Apple iOS. |
| Visioconférence 3CX | 443 (TCP)48000-65535 (UDP)
|
Le serveur 3CX utilise le 443 TCP vers le Cloud 3CX. Les utilisateurs distants requièrent le 443 TCP et la plage UDP pour l'échange audio/vidéo. |
smtp-proxy.3cx.net
|
2528 (TCP)
|
Service Proxy SMTP pour l'envoi de courriels système. |
activate.3cx.com
|
443 (TCP)
|
Service d’activation de la licence 3CX (Trafic non inspecté). |
discoverv4.3cx.com
|
443 (TCP)
|
Service de découverte de votre adresse IP publique (Trafic non inspecté). |
rps.3cx.com
|
443 (TCP)
|
Service RPS pour le provisioning automatique des téléphones IP distants. |
downloads-global.3cx.com
|
443 (TCP)
|
Téléchargement des mises à jour système et firmwares validés. |
wmr.3cx.net
|
443 (TCP)
|
Service cloud lié aux réunions Webmeeting et aux transcriptions. |
pbxservicespush.3cx.com
|
443 (TCP)
|
Service Push global 3CX (Trafic non inspecté). |
3. Directives de Configuration Routeur & DNS
- Désactivation de SIP ALG : Il est impératif d'utiliser un routeur/pare-feu sans SIP Helper ou SIP ALG (Application Layer Gateway), ou de veiller à ce que cette fonctionnalité soit explicitement désactivée. Le cas contraire provoque des pertes d'enregistrements et des problèmes d'audio unidirectionnel.
- Split DNS / Hairpin NAT : Le FQDN (nom de domaine) fourni par 3CX doit obligatoirement se résoudre vers l'adresse IP interne du serveur lorsqu'un équipement est connecté au réseau local (LAN), et vers l'adresse IP publique lorsqu'il est à l'extérieur (WAN). Une configuration de Split DNS sur votre serveur DNS local est fortement recommandée.
- Validation par le Contrôleur 3CX : Une fois les règles appliquées, l'outil intégré "Contrôleur de pare-feu" (Firewall Checker) devra être exécuté depuis la console d'administration 3CX pour valider la conformité des ouvertures.