3CX Firewall-Konfiguration

Vollständige Admin-Anleitung für sichere und zuverlässige VoIP-Kommunikation

Kostenlose Demo Beratung buchen

Inhaltsverzeichnis

Warum ist die Firewall-Konfiguration kritisch?
Erforderliche Ports und Ports-Bereiche
NAT und STUN Konfiguration
Split DNS Setup
3CX Firewall Checker Tool
Router und Firewall-spezifische Tipps
Cloud vs. On-Premise Unterschiede
Security Hardening Empfehlungen
Häufig gestellte Fragen

Warum ist die Firewall-Konfiguration für VoIP kritisch?

Die Firewall-Konfiguration ist das Fundament einer zuverlässigen 3CX VoIP-Installation. Eine unzureichend konfigurierte Firewall führt zu Problemen, die sich unmittelbar auf die Sprachqualität, die Verfügbarkeit und die Sicherheit Ihres Telefonsystems auswirken. Als erfahrener BitBlade Partner haben wir bei hunderten von 3CX Installationen gesehen, dass die meisten Verbindungsprobleme ihre Ursache in fehlerhaften Firewall-Einstellungen haben.

                        Die häufigsten Firewall-Probleme:
                        Einseitige Anrufe: Remote-Mitarbeiter können den Gesprächspartner nicht hören
Anrufabbrüche: Verbindungen brechen nach kurzer Zeit ab
Verzögerte Registrierung: Telefone melden sich verzögert oder gar nicht an
Qualitätsverlust: Verzerrte oder unterbrochene Sprachübertragung
Sicherheitslücken: Ungeschützte VoIP-Verbindungen gefährden Ihr System

                    

Eine korrekte Firewall-Konfiguration ist somit nicht optional – sie ist die notwendige Voraussetzung für einen stabilen VoIP-Betrieb. Sie müssen zwischen den verschiedenen Protokollen unterscheiden, die 3CX nutzt, und verstehen, wie Ihre spezifische Netzwerkumgebung diese Protokolle handhaben muss.

Erforderliche Ports und Port-Bereiche

3CX benötigt mehrere spezialisierte Ports, um mit verschiedenen Komponenten Ihres VoIP-Systems zu kommunizieren. Eine genaue Freigabe dieser Ports in der Firewall ist unerlässlich. Hier ist eine detaillierte Übersicht aller erforderlichen Ports:

Port	Protokoll	Funktion	Direction
5060	TCP/UDP	SIP Signalisierung (unsicher)	Bidirektional
5061	TCP/TLS	SIP Signalisierung (sicher)	Bidirektional
443	TCP/HTTPS	Web-Interface & API	Inbound
16384-16434	UDP	RTP Audio-Stream (30 gleichzeitige Anrufe)	Bidirektional
5090	TCP/UDP	3CX Tunnel (Extension-Verbindungen)	Bidirektional
5015	TCP	Statistiken & Monitoring	Inbound

Wichtiger Hinweis zu RTP-Ports: Der Standard-RTP-Bereich (16384-16434) deckt etwa 30 gleichzeitige Anrufe ab. Bei höherer Anruflatenz müssen Sie diesen Bereich entsprechend erweitern. Berechnen Sie: Pro Anruf benötigen Sie 2 UDP-Ports (Upload + Download).

Schritt 1: Port-Freigaben in der Firewall

Öffnen Sie die Verwaltungsoberfläche Ihrer Firewall und geben Sie folgende Ports frei:

Navigieren Sie zu den Firewall-Regeln oder Port-Forwarding-Einstellungen
Erstellen Sie Inbound-Regeln für SIP (5060/5061) von allen externen Quellen
Geben Sie den RTP-Bereich (16384-16434) für beide Richtungen frei
Beschränken Sie Port 443 und 5090 auf die geplanten externen IP-Bereiche, falls möglich
Speichern und aktivieren Sie alle Regeln

NAT und STUN Konfiguration

Network Address Translation (NAT) ist in modernen Netzwerken unvermeidlich. NAT übersetzt private IP-Adressen in öffentliche Adressen. Für VoIP-Systeme wie 3CX ist dies jedoch problematisch, da die Sprachdaten von außen nicht automatisch zum richtigen internen Gerät geroutet werden können. Aus unserer Erfahrung als BitBlade Partner ist eine fehlerhafte NAT-Konfiguration die Hauptursache für einseitige Anrufe.

Session Traversal Utilities for NAT (STUN)

STUN-Server helfen Ihren Telefonen und Clients, ihre externe IP-Adresse zu entdecken und einen stabilen Signalisierungskanal durch NAT zu etablieren. 3CX enthält bereits vorkonfigurierte STUN-Server, aber Sie sollten überprüfen, dass diese korrekt eingestellt sind.

STUN in 3CX konfigurieren

Öffnen Sie die 3CX Management Console
Gehen Sie zu Einstellungen > SIP und externe Konfiguration
Suchen Sie den Abschnitt "NAT Traversal"
Aktivieren Sie "STUN aktiviert" wenn noch nicht geschehen
Standard-STUN-Server (stun.3cx.com) sollte ausreichend sein
Sie können einen Backup-STUN-Server hinzufügen: stun.l.google.com:19302
Testen Sie die STUN-Verbindung mit dem Test-Button

UPnP und Port Mapping Protocol (PMP)

Eine Alternative zu manuellen Port-Freigaben ist UPnP, das Geräten automatisch erlaubt, ihre benötigten Ports freizugeben. Dies ist jedoch weniger sicher und sollte nur in vertrauenswürdigen internen Netzwerken aktiviert werden. Für Unternehmen empfehlen wir eine explizite manuelle Port-Freigabe.

Schritt 2: NAT und STUN Validierung

Aktivieren Sie STUN in der 3CX Management Console
Verbinden Sie ein Testtelefon von außerhalb des Netzwerks
Prüfen Sie die Registrierungsstatus im System > SIP Channels
Der Status sollte "REGISTERED" sein, nicht "NAT"
Führen Sie einen Test-Anruf durch (siehe Abschnitt "3CX Firewall Checker")

Split DNS Setup für sichere Auflösung

Split DNS ermöglicht es, dass interne Clients von einem DNS-Server die interne IP-Adresse erhalten, während externe Clients von einem anderen DNS-Server die öffentliche IP-Adresse erhalten. Dies ist besonders wichtig bei Hybrid-Setups, bei denen einige Telefone intern und andere extern verbunden sind.

Warum Split DNS notwendig ist

Ohne Split DNS können interne Telefone nicht auf die öffentliche IP-Adresse Ihres Systems zugreifen. Sie erhalten stattdessen die öffentliche IP vom Internet-DNS, wodurch unnötige Internet-Hop erzeugt werden und die Latenz steigt. Mit Split DNS werden interne Anfragen lokal gelöst.

Split DNS in Windows Server konfigurieren

Öffnen Sie den DNS Manager auf Ihrem Domänen-Controller
Erstellen Sie eine Forward Lookup Zone für Ihre Domäne (z.B. "voip.example.com")
Fügen Sie einen A-Record mit Ihrer internen IP-Adresse ein
Vergeben Sie diese Zone nur an interne DNS-Resolver
Externe DNS-Einträge sollten weiterhin auf die öffentliche IP zeigen
Testen Sie mit nslookup von intern und extern

Split DNS in Linux mit BIND konfigurieren

Installieren Sie BIND und erstellen Sie zwei separate Zonen-Definitionen:

Eine interne Zone, die auf private IP zeigt
Eine externe Zone (oder Weiterleitung an öffentliche DNS), die auf öffentliche IP zeigt

Verwenden Sie ACLs um zu definieren, wer welche Zone abfragen darf.

Schritt 3: Split DNS Validierung

Von einem internen Client: nslookup voip.example.com
Sie sollten die interne IP sehen (z.B. 192.168.1.100)
Von einem externen Netzwerk (oder über einen öffentlichen DNS): gleicher Befehl
Sie sollten die öffentliche IP sehen
Beide Auflösungen sollten funktionieren, ohne Fehler

3CX Firewall Checker Tool – Ihre beste Diagnosehilfe

Das 3CX Firewall Checker Tool ist ein unverzichtbares Diagnosewerkzeug, das Sie bei der Validierung Ihrer Firewall-Konfiguration unterstützt. Dieses Tool prüft automatisch, ob alle erforderlichen Ports erreichbar sind und ob Ihre Netzwerk-Umgebung korrekt konfiguriert ist.

Wie funktioniert das Tool?

Das Firewall Checker Tool wird direkt von der 3CX Management Console aus aufgerufen. Es verbindet sich von externen Servern zu Ihrem 3CX System und prüft jeden Port. Das Ergebnis ist ein detaillierter Report, der zeigt, welche Ports offen sind und welche noch Probleme haben.

Firewall Checker ausführen

Öffnen Sie die 3CX Management Console
Navigieren Sie zu Einstellungen > System > Tools
Klicken Sie auf "Firewall Checker"
Das Tool benötigt Ihre externe öffentliche IP-Adresse und Ihren Hostnamen
Starten Sie den Check und warten Sie auf die Ergebnisse
Überprüfen Sie, welche Ports als "OPEN" markiert sind
Ports mit "CLOSED" oder "FILTERED" benötigen weitere Aufmerksamkeit

                        Häufige Firewall Checker Fehlermeldungen und Lösungen:
                        Port geschlossen: Prüfen Sie Ihre Firewall-Regeln und Port-Forwarding-Einträge
Timeout: Es könnte ein Problem mit Ihrer Internet-Verbindung oder den Firewall-Regeln sein
Verbindung abgelehnt: Die Firewall blockiert den Verbindungsversuch – geben Sie den Port frei
DNS-Fehler: Ihr öffentlicher Domänenname wird nicht richtig aufgelöst

                    

BitBlade Tipp: Führen Sie den Firewall Checker regelmäßig durch – mindestens monatlich. Dies hilft Ihnen, Konfigurationsprobleme früh zu erkennen, bevor sie zu Ausfallzeiten führen.

Router und Firewall-spezifische Tipps

Verschiedene Firewall- und Router-Hersteller haben unterschiedliche Bedienoberflächen und Konfigurationsoptionen. Wir haben bei BitBlade viel Erfahrung mit den gängigsten Modellen gemacht und möchten unsere besten Praktiken mit Ihnen teilen.

Fritz!Box Konfiguration (AVM)

Port-Freigaben in Fritz!Box

Öffnen Sie die Fritz!Box Benutzeroberfläche (fritz.box)
Gehen Sie zu Heimnetz > Heimnetzgeräte > Netzwerk
Wählen Sie Ihren 3CX Server aus der Geräteliste
Klicken Sie auf "Portfreigaben bearbeiten"
Geben Sie folgende Ports frei:
- TCP 443 (HTTPS)
- UDP 5060 (SIP)
- TCP 5061 (SIP TLS)
- UDP 16384-16434 (RTP)
- TCP/UDP 5090 (Tunnel)
Speichern und wenden Sie die Einstellungen an

UPnP in Fritz!Box: Falls Sie UPnP nutzen möchten, aktivieren Sie "UPnP-Geräte verwenden" in den erweiterten Einstellungen.

Sophos Firewall Konfiguration

Firewall-Regeln in Sophos

Melden Sie sich in der Sophos Management Console an
Gehen Sie zu Policies > Firewall
Erstellen Sie Inbound-Regeln für Ihr 3CX-Netzwerk
Definieren Sie Regel-Namen klar (z.B. "3CX-SIP-Inbound")
Quellobjekt: "Any" oder spezifische externe Netzwerk-Bereiche
Zielobjekt: IP-Adresse des 3CX Servers
Dienste: Erstellen Sie Custom Services für SIP (UDP 5060), SIP TLS (TCP 5061), RTP (UDP 16384-16434)
Aktivieren Sie Logging für bessere Troubleshooting
Speichern und pushen Sie die Policy

pfSense Konfiguration

Port-Forwarding in pfSense

Öffnen Sie pfSense Web-Interface
Gehen Sie zu Firewall > NAT > Port Forward
Erstellen Sie folgende Einträge:
- Protocol: UDP, Source: Any, Destination: WAN Address, Port: 5060, Forward to: 3CX-IP:5060
- Protocol: TCP, Source: Any, Destination: WAN Address, Port: 5061, Forward to: 3CX-IP:5061
- Protocol: UDP, Source: Any, Destination: WAN Address, Ports: 16384-16434, Forward to: 3CX-IP:16384-16434
Aktivieren Sie "Automatically add filter rules"
Speichern und wenden Sie an

NAT Reflexion: Aktivieren Sie "NAT Reflection" in System > Advanced > Firewall & NAT, damit interne Clients auch auf die öffentliche IP zugreifen können.

Allgemeine Tipps für alle Firewall-Hersteller: Testen Sie Ihre Konfiguration nach jeder Änderung mit dem 3CX Firewall Checker Tool. Dokumentieren Sie alle Port-Freigaben in einer Konfigurationstabelle für zukünftige Referenzen. Aktivieren Sie Firewall-Logging für alle VoIP-bezogenen Regeln.

Cloud vs. On-Premise Firewall-Unterschiede

Die Firewall-Konfiguration unterscheidet sich erheblich zwischen einer Cloud-basierten 3CX Installation (3CX Cloud) und einer On-Premise Installation (3CX Standard). Beide Ansätze haben unterschiedliche Anforderungen und Sicherheitsimplizierungen.

3CX Cloud – Vereinfachte Firewall-Anforderungen

Bei 3CX Cloud hostet BitBlade (oder ein anderer Provider) das System. Hier sind die Firewall-Anforderungen minimal:

Nur ausgehende HTTPS (Port 443) zum Cloud-Provider muss offen sein
Kein Port-Forwarding für SIP nötig – die Cloud-Plattform behandelt dies
RTP-Ports werden vom Provider verwaltet
Telephones und Clients verbinden sich direkt zur Cloud (SIP über TLS)
Deutlich weniger lokale Konfiguration erforderlich

3CX On-Premise – Vollständige Firewall-Verwaltung

Bei einer On-Premise Installation müssen Sie alle Firewall-Aspekte selbst verwalten:

Alle oben erwähnten Port-Freigaben sind notwendig
Sie müssen NAT und STUN konfigurieren
RTP-Ports müssen Ihrem Bandbreitenprofil entsprechend dimensioniert werden
Sie haben vollständige Kontrolle über Sicherheit und Konfiguration
Sie benötigen kontinuierliche Überwachung und Wartung

                        Vergleich: Kosten und Komplexität
                        
                                    Aspekt
                                    3CX Cloud
                                    On-Premise
                                
                                    Firewall-Komplexität
                                    Niedrig (minimal)
                                    Hoch (vollständig)
                                
                                    Interne Hardware-Investition
                                    Keine
                                    Server + Firewall
                                
                                    Wartungsaufwand
                                    Sehr gering
                                    Erheblich
                                
                                    Skalierbarkeit
                                    Unbegrenzt (Cloud)
                                    Begrenzt (Server-Kapazität)
                                
                                    Sicherheitskontrolle
                                    Provider-abhängig
                                    Vollständig lokal

BitBlade Empfehlung: Für kleine Unternehmen (bis 50 Nutzer) ist 3CX Cloud eine ausgezeichnete Wahl – minimal Firewall-Aufwand, sofort einsatzbereit. Für größere oder spezialisierte Umgebungen bietet On-Premise mehr Kontrolle und kann kostengünstiger sein.

Security Hardening und Best Practices

Eine korrekt konfigurierte Firewall ist nur die Grundlage. Ein robust gehärtetes VoIP-System erfordert zusätzliche Sicherheitsmaßnahmen. Aus unserer Arbeit als BitBlade Partner wissen wir, dass viele Sicherheitsprobleme nicht durch Firewall-Missconfiguration, sondern durch fehlende zusätzliche Schutzmaßnahmen entstehen.

Sicherheitsmaßnahmen der Enterprise-Klasse

1. Sichere SIP-Verbindungen (TLS)

Verwenden Sie immer SIP über TLS (Port 5061) statt unsicheres SIP (Port 5060):

Erzwingen Sie TLS in den 3CX Einstellungen
Generieren oder importieren Sie ein gültiges SSL-Zertifikat
Clients und Telefone müssen TLS unterstützen
Dies verhindert Abhören von Sprachdaten während der Signalisierung

2. Firewall-Regeln granular definieren

Statt "alle externen IPs erlauben", definieren Sie präzise Regeln:

Beschränken Sie SIP-Zugang auf bekannte IP-Bereiche (z.B. VoIP-Provider)
Nutzen Sie Geo-Blocking, wenn alle Nutzer in einer Region sind
Implementieren Sie Rate-Limiting für SIP-Anfragen
Aktivieren Sie Intrusion Detection/Prevention (IDS/IPS)

3. Sichere Admin-Access Kontrolle

Schützen Sie den Zugriff auf die 3CX Management Console:

Beschränken Sie Web-Access (Port 443) nur auf Administratoren-IPs
Verwenden Sie starke, komplexe Passwörter
Aktivieren Sie 2-Faktor-Authentifizierung (2FA), falls verfügbar
Ändern Sie Standard-Ports, um Brute-Force-Angriffe zu erschweren
Überwachen Sie Admin-Login-Versuche in den Logs

4. Regelmäßige Audits und Logs

Kontinuierliche Sicherheitsüberwachung ist essentiell:

Aktivieren Sie ausführliches Firewall-Logging für alle VoIP-Ports
Überprüfen Sie regelmäßig (mindestens wöchentlich) die Firewall-Logs
Suchen Sie nach ungewöhnlichen Verbindungsversuchen
Führen Sie monatlich ein Sicherheits-Audit durch
Dokumentieren Sie alle Änderungen in einem Change-Log

BitBlade Enterprise-Tipp: Implementieren Sie eine Firewall-Monitoring-Lösung (z.B. mit SIEM oder Nagios), die Sie benachrichtigt, wenn verdächtige Aktivitäten erkannt werden. Dies ist der Unterschied zwischen reaktiven und proaktiven Sicherheitsteams.

Häufig gestellte Fragen (FAQ)

Welcher Port ist für SIP am wichtigsten?

Port 5060 (UDP) ist der Standard SIP-Port. Allerdings empfehlen wir dringend, auch Port 5061 (TCP/TLS) zu konfigurieren, da dieser sicherer ist und durch Firewalls zuverlässiger durchdringt. In modernen Installationen sollte 5061 der Hauptport sein.

Muss ich alle RTP-Ports (16384-16434) freigeben?

Der Standard-Bereich deckt etwa 30 gleichzeitige Anrufe ab. Wenn Sie mehr gleichzeitige Anrufe haben, müssen Sie den Bereich erweitern. Sie können den Bereich in den 3CX Einstellungen anpassen. Berechnung: 2 Ports pro Anruf (Upload + Download). Für 50 Anrufe benötigen Sie 100 Ports (z.B. 16384-16484).

Was ist der Unterschied zwischen NAT und STUN?

NAT ist ein Prozess, der private IPs in öffentliche IPs übersetzt. STUN ist ein Hilfsmittel, das Ihren Telefonen hilft, ihre externe IP-Adresse zu entdecken und NAT zu durchdringen. STUN ist nicht ein Ersatz für NAT, sondern ein Werkzeug, um NAT zuverlässiger zu machen.

Kann ich 3CX ohne Firewall-Konfiguration betreiben?

Technisch: Ja, wenn Sie alle Ports für alle Quellen öffnen. Praktisch und Sicherheit-weise: Absolut nicht. Eine offene Firewall ist ein Sicherheitsrisiko und führt zu Spam-Anrufen, Brute-Force-Angriffen und potenziellen Datenverletzungen. Eine ordnungsgemäße Konfiguration ist unverzichtbar.

Wie oft sollte ich meine Firewall-Konfiguration überprüfen?

BitBlade empfiert monatliche Überprüfungen mit dem Firewall Checker Tool. Nach jeder Netzwerk-Änderung sollte eine sofortige Validierung erfolgen. Größere Unternehmen sollten wöchentliche Checks durchführen. Zusätzlich sollten Firewall-Logs regelmäßig auf verdächtige Aktivitäten analysiert werden.

Ist 3CX Cloud besser als On-Premise aus Sicherheitssicht?

Das hängt vom Sicherheitsniveau des Cloud-Providers ab. 3CX Cloud mit einem professionellen Provider (wie BitBlade) hat professionelle Sicherheitsexperten und ist in der Regel sicherer als eine selbst verwaltete On-Premise Installation. Allerdings müssen Sie dem Provider vertrauen. On-Premise gibt Ihnen vollständige Kontrolle, erfordert aber auch Expertise.

Benötigen Sie professionelle Unterstützung?

Die Firewall-Konfiguration ist komplex und kritisch für Ihren VoIP-Betrieb. Unser Team von BitBlade Experten steht gerne zur Verfügung, um Ihre Installation zu unterstützen.

Kostenlose Demo buchen Beratung mit Experten

Aspekt	3CX Cloud	On-Premise
Firewall-Komplexität	Niedrig (minimal)	Hoch (vollständig)
Interne Hardware-Investition	Keine	Server + Firewall
Wartungsaufwand	Sehr gering	Erheblich
Skalierbarkeit	Unbegrenzt (Cloud)	Begrenzt (Server-Kapazität)
Sicherheitskontrolle	Provider-abhängig	Vollständig lokal