【3CX V18】クラウドPBX Intermediate - 4. リモートIP電話のプロビジョニング(Provisioning Remote IP phones)
こんにちは、CCアーキテクトの辻です。3CX Advanced Certificationを取得するために、3CXサイトの記事を機械翻訳し日本語にしてから勉強しました。その時のメモなどをNoteにまとめていきます(こちらはメモページなのでオリジナルページ内コンテンツの視聴も強く推奨です)
※注:3CXサイトの記事が元ネタです。不明瞭な部分やおかしいな?と感じるところは原文を参照ください。
3CX導入のご相談は、CCアーキテクトまでお気軽にお問い合わせください。
# 3CX構築・Genesys構築のエキスパート CCアーキテクト (cc-arc.com)
オリジナルページ
Module 4. Provisioning Remote IP phones
⇒解説動画と解説スライドがあります。
■このモジュールでは、リモート内線電話の設定について説明。
前提条件
■このモジュールは、PBX サイトのローカルファイアウォールの設定が、BASIC「ファイアウォールの設定」に従って設定されていることを前提としている。これにより、リモートデバイスはPBXに接続することができる。
■リモート内線のプロビジョニングには、サポートされている電話を使用し、この電話は推奨ファームウェアバージョンを実行している必要があり、これには3CXのSSL証明書が信頼できるものとして含まれていなければならない。
■古いファームウェアは、電話をプロビジョニングできない原因になる。独自のSSL証明書を使用している場合は、使用している電話のファームウェアが、使用しているSSL証明書を信頼していることを確認する。
■リモート環境で使用するために3CXがサポートしているデバイスを以下に示す。
■サポートされている機種の詳細については、https://www.3cx.com/sip-phones を参照。
※上記以外の電話機でもCCアーキテクトで動作検証を行い、VOPTECH等のおすすめ電話機をご案内しています。お気軽にお問い合わせください。3CX構築・Genesys構築のエキスパート CCアーキテクト (cc-arc.com)
前提条件:STUN
■PBXに機能するSMTPサーバーを定義しておく必要がある。これは、エンドユーザーに歓迎の電子メールを送信するために必要。歓迎の電子メールには、電話のプロビジョニング中にユーザーが必要とする内線に関する関連情報が含まれている。
■リモートロケーションでポート転送を実行するには、リモートのファイアウォール、ルーター、またはゲートウェイデバイスにアクセスできる必要がある。
前提条件:SBC
■このモジュールでは、SBC内線電話のプロビジョニング方法は、ローカル電話と同じようにプラグアンドプレイで、PBXサイトのファイアウォールがすでに設定されているので、ローカルIP電話のプロビジョニング方法をすでに知っていると仮定している。
■SBCをインストールするには、サポートされているオペレーティングシステムのいずれかを実行しているマシンがリモートロケーションにインストールされている必要がある。
■SBCをインストールするマシンは、LANアダプタが1つだけで、固定IPアドレスが1つだけであることが条件となる。無線LANアダプタは使用してはいけない。
■内蔵のWiFiアダプタ、Bluetooth、VPNアダプタ、仮想NICなど、このマシンで使用しないアダプタはすべて無効にする。
リモート内線のメリット
■リモート内線は、リモートユーザーに内線通話機能を提供し、オフィスにいるのと同じように電話を使用できるようにする。
■また、管理者がIP電話を設定し、遠隔地のエンドユーザーに出荷する必要がなく、販売チャネルから直送することができる。
■遠隔地は、静的なパブリックIPアドレスを持つ必要はない。リモートSTUN内線またはSBCが常にPBXへの接続を開始するため、動的IPアドレスは許可される。
■これにより、リモートユーザーは世界のどこからでも接続できるようになる。
リモート内線の各タイプの長所と短所
■リモート内線には、それぞれ長所と短所がある。
■例えば、リモートSTUN内線は、リモートサイトにSBCなどのハードウェアを追加する必要がない。電話機はネットワークに直接接続され、インターネットを通じて、仲介者なしに直接PBXと通信する。
■ただし、これらのリモート内線は、電話機のプロビジョニングタブで情報を手動で入力する必要がある。
■同じリモートネットワーク内のデバイスが効果的に音声通話を行うには、「PBXがオーディオを配信」を有効にする必要がある。これは、ファイアウォールの外部インターフェースを使用して通信する2つの内部ホスト間のオーディオトラフィックをファイアウォールがブロックする、ヘアピンリダイレクションの問題を回避するため。
■PBXとリモートホスト間の適切な通信を可能にする、リモートファイアウォールの設定が必要。
■電話機とPBX間の接続は、デフォルトでは暗号化されていない。セキュアな接続が必要な場合は、セキュアSIPを有効にするために、電話機を手動で設定する必要がある。
■電話機間の接続はデフォルトで5060のSIPポートで行われるため、SIP ALGはこのトラフィックを検査する傾向があり、ファイアウォールから無効にする必要がある。これは、デバイスによっては、常に可能とは限らず、簡単に実行できるものでもない。
■SBCの長所はSTUN デバイスよりも多く、プロビジョニングは PBX の電話ページを通じてプラグアンドプレイで非常に簡単に行われ、電話プロビジョニングタブに必要なすべての設定が自動的に入力される。
■同じSBCの背後に接続されているデバイスで、録音が有効になっていない、または PBX Delivers Audioが有効になっていない場合、音声トラフィックは LAN 内にローカルで行われ、リモートサイトでの帯域幅を大幅に節約することができる。
■リモートサイトと PBX 間のすべてのトラフィックは 3CX トンネルプロトコルを介して行われるため、 SIP ALG はファイアウォールを通過する音声トラフィックに気づかないため、リモートファイアウォール デバイスで SIP ALG を無効にできない場合でも、リモートネットワークのポート転送や SIP ALG のために、リモートファイアウォールの設定が必要ないため問題にはならない。必要なのは、インターネットに接続する環境だけ。
■SBC が PBX に接続するとき、これら 2 つのエンティティ間のトラフィックはすべてデフォルトで暗号化される。
■そして、もう一つの大きなメリットは、SBCにライセンス追加費用がかからないこと。
■しかし、SBCのメリットを享受するには、リモートサイトに追加のデバイスを設置する必要があり、メンテナンス作業が増える可能性がある。
STUN内線のプロビジョニング - 管理者
■リモートSTUN拡張のプロビジョニングは、2段階のプロセスで行われる。
■最初のステップでは、管理者はPBXで内線を作成する必要がある。
■これは、電話のメーカーとモデル、電話の 12 文字の MAC アドレスを入力し、内線の [プロビジョニング] タブで、リモートネットワークで電話が使用するポートを定義することで簡単に行える。
■これらのポートは、電話機のローカルSIPポートとRTPポートで、電話機が通信を行う。リモートロケーションに複数のデバイスがある場合、これらのポートは、各ロケーションの後続のデバイスごとに増やす必要がある。
■例えば、リモートの電話のデフォルトのSIPポートは5065だ。同じ場所にデバイスを追加するごとに、このポートを1つずつ増やす必要がある。つまり、2台目のデバイスのSIPポートは5066、3台目のデバイスは5067というようになる。
■リモート電話のデフォルトのRTPポートは、14000から14019だ。2番目のデバイスのRTPポートは14020から14039、3番目のデバイスのRTPポートは14040から 14059というように、同じ場所にある追加のデバイスごとに増やす必要がある。
■PBXは、各リモートデバイスがどの場所から接続されるかを認識できないので、これは管理者が手動で定義する。
■内線の "Options "タブで、"Disallow use of extension outside the LAN "の制限を解除する。これにより、電話はリモートネットワークから登録できるようになる。この制限はセキュリティ上の理由から設けられているもので、必要な場合のみ無効にする。
■リモートファイアウォール上で、このリモートサイトの各内線に定義したポートのポートフォワーディングを実行する。リモートサイトの電話は、IPアドレスの変更を防ぐために静的なDHCPリースを持つ必要があるため、ポート転送が無効となることに注意する。
■内線の設定後、内線のユーザーにウエルカムメールを送信する。
STUNとは何か?
■STUNエクステンションのセットアップの2番目のステップを見る前に、STUNが実際に何であるかを見てみる。
■STUNは、Session Traversal Utilities for NATの略。
■STUNが何であるかを説明するために、私たちが毎日使っているものについて触れておく。DNSだ。私たちがウェブサイトに接続したいとき、URLを入力する。この場合、www.3cx.comとすると、あなたのコンピューターは、このURLのIPアドレスをDNSサーバーに要求しに行く。DNSサーバーが応答したIPは、コンピュータと、コンピュータと接続先の間にあるすべてのルーターが理解できる接続先となる。
■一方、自分自身のパブリックIPアドレスを知りたい場合もある。
■さて、STUNとその動作に戻る。STUNは基本的に逆で、宛先IPの代わりに、自分のパブリックソースIPを発見する必要がある。
■リモート電話機は、リモートネットワーク内にある場合、通常、プライベートIPアドレスを持っている。プライベートIPアドレスはPBXから直接コンタクトできないため、このIPアドレスはPBXで使用できない。電話機は、リモートネットワークのパブリックIPアドレスを見つけ、PBXに伝える方法が必要だ。パブリックIPアドレスが何であるかを知るために利用できる様々なウェブサイトを考えてみる。
■ここでSTUNの出番となる。STUNは基本的に同じものだが、ネットワークレベルだ。電話はSTUNサーバーに連絡し、IP情報を要求する。STUNサーバーは、電話が接続しているIPアドレスとポートを応答する。電話はこの情報を使ってPBXにリクエストを送ることができ、2つのサイト間の通信を成功させることができるようになる。
■電話のSTUNサーバーはPBXであり、電話からの接続要求を受け入れるのはPBXだ。ネットワークによっては、異なる宛先に対して異なる方法で変換されることがあるため、サードパーティのSTUNサーバーを使用している場合、異なるネットワークに接続する場合はIPアドレスが異なることがある。
リモート内線のプロビジョニング - エンドユーザー
■このプロセスの第二段階では、エンドユーザーは、これが新しいデバイスでない場合、電話をリセットする必要がる。新しいデバイスの場合、エンドユーザーが行う必要があるのは、電話とネットワークケーブルを正しく組み立て、リモートロケーションで電話の電源を入れることとなる。
■その後、電話は起動シーケンスを実行し、ユーザーにログイン画面を表示する。
■ユーザーは、ログインするために、内線番号のユーザー名とパスワードを入力する必要がある。
■ユーザー名は内線番号で、パスワードはボイスメールのPIN番号だ。
■ただ、ユーザー名とパスワードを入力する際、デフォルトで文字と数字の組み合わせになる電話機もあるので、正確に入力するように注意する。電話の入力モードのトグルボタンが表示される。
■PBXから届いているはずのウェルカムメールから、必要な情報を得ることができる。
■この情報を入力する必要があるのは、電話のプロビジョニング中に一度だけとなる。電話が再起動した場合、再度ログインする必要はない。
※セットアッププロセスは電話機/メーカーにより異なる場合があります。
RPSとは何か?
■STUNを使用してリモート内線をプロビジョニングするために、3CXは現在、IP電話メーカーのリモートプロビジョニングサービスを利用している。
■リモートプロビジョニングサービスは、内線のプロビジョニング方法が「Direct SIP (STUN - remote)」として選択されると、自動的にトリガーされる。PBXは、電話のMACアドレスとプロビジョニングURLをRPSサーバーに送信する。
■このプロビジョニング URL と MAC アドレスは、2 週間の間、互いにバインドされる。この2週間の間、特定の電話は他のPBXに割り当てることができなくなる。URL/MAC の組み合わせは、内線の設定から 2 週間経過すると、製造元の RPS サーバーから削除される。
■電話がリセットされ起動すると、製造業者のRPSサーバーにアクセスし、そのMACアドレスに割り当てられたURLを取得する。
■プロビジョニングURLで構成された電話は、PBXにコンタクトし、接続を試みる。
■ここでPBXは、ユーザーと電話の識別を確認するためにユーザー名とパスワードを要求し、電話機に設定ファイルを提供する。
検証(Validate)
■リモートSTUN内線のプロビジョニング時に、以下のような症状が発生することがある。
・サーバーに接続できない
・音声の問題が発生する
・または、転送、通話保留、保留中の通話の再開ができない。
■このような場合、リモートファイアウォールに次のようなものがないか確認する必要がある。
■リモートネットワークファイアウォール、ルーター、またはゲートウェイデバイスで、SIP ALGが無効になっていることを確認する。
■以前のスライドで述べたように、ポートフォワーディングがリモートファイアウォールデバイス上で正しく実装されていることを確認する。
■また、特定の場所に複数の電話を設定した場合、音声がPBXから来るようにするために、内線電話で "PBX Delivers Audio" オプションを有効にする必要がある。
■2台のローカル電話機が通話中の場合、デフォルトではPBXの介入なしに、音声は一方の内線からもう一方の内線に直接送られる。しかし、リモートSTUN環境では、すべてのネゴシエーションはリモートロケーションのパブリックIPアドレスで実行される。
■ファイアウォールデバイスの中には、ローカルデバイスがファイアウォールのパブリック外部IPアドレスで互いに通信することを許可しないものがある。これはヘアピンリダイレクトと呼ばれ、通常ほとんどのファイアウォールデバイスによってブロックされる。
■PBXの音声配信を有効にすると、内線にアクセスできるPBXが音声をプロキシすることができる。
PBXにSBCを作成する
■3CX Session Border Controllerの設定に移る。
■3CXでは、3CX SBCの作成と構成は非常に簡単だ。
■3CXのSIPトランクのページで、「SBCの追加」をクリックするだけの簡単な作業で、名前を付けて、「OK」をクリックするだけ。
■2つのフィールドが表示されるので、コピーしてSBCのコンフィギュレーションに貼り付ける。たった2つのフィールドだけだ(Web URLとAuthentication ID)
■各SBCはそれぞれ独自の認証IDを持つ。
■パブリックIPとローカルIPのフィールドは、SBCが接続するときに自動的に入力される。
SBCインストール
■SBCのインストールは非常に簡単。3CXのカスタマーポータルまたはパートナーポータルから最新版をダウンロードし、そこからFQDNを解放する。
■前のスライドでコピーした、必要な情報を貼り付ける。
SBCのモニタリング
■これだけでOKだ。SBCがインストールされ、接続される。
■また、SBCのローカルIPとパブリックIPが表示されるはず。
■SBCはSIPトランクのページから簡単に監視できるので、オンラインかどうか、ビルドバージョンを監視して、アップデートが利用可能かどうかを簡単に確認することができる。
■これらのアップデートは、実際のデバイスに接続することなく、PBXからプッシュすることができる。セキュリティ設定、ログレベル、フェールオーバー時に接続するセカンダリPBXの設定など、SBCの設定を変更する必要がある場合は、3CX管理コンソールから簡単に行うことが可能。
■さらに、ドロップされたパケット、各SBCを介して接続するように構成されたデバイスの数、各デバイスが処理しているアクティブコールの数など、さまざまなネットワーク統計情報を確認することができる。
SBC IP電話 プロビジョニング(PnP)
■あとは、新しい電話であれば遠隔地の電話を起動し、以前から使用していた電話であればリセットするだけだ。
■「電話機」ページで、ローカルの電話と同じように、マルチキャストを通じてプラグアンドプレイ要求が来るのがわかる。ローカルのIP電話と同じように、既存の内線に割り当てるか、新しい内線を作成する。
■数秒待つと、電話がプロビジョニングされる。
■電話のプロビジョニングは、SBCを経由せず、インターネット経由でHTTPSで行われる。SIPとオーディオのトラフィックのみがSBCを経由してトンネルされる。
STUNとSBCの両方を使用して、リモート環境でIP電話をプロビジョニングし接続する方法を紹介。⇒オリジナルサイトで動画が視聴できます。
3CXのことを詳しく聞きたい。興味があるという方はぜひ、こちらまでお気軽にお問い合わせください。
# 3CX構築・Genesys構築のエキスパート CCアーキテクト (cc-arc.com)
●VoIP情報満載のBlogはこちら
⇒ https://blog.cc-arc.com/
●FAQ満載のサポートサイトはこちら
⇒ https://portal.cc-arc.com/
●マニュアル掲載満載のリソースサイトはこちら
⇒ https://resource.cc-arc.com/resource/
●動画によるご紹介はこちら
⇒ Youtube
●SNSでも情報発信中!ぜひご登録を!
⇒ Twitter Linkdin Facebook
目次記事はこちらです
#3CX , #SIP , #PBX , #IP -PBX , #VoIP , #IPフォン , #IP電話 , #SIPフォン ,#SIP電話 , #SBC , #ひかり電話 , #OG , #ATA , #コールセンター , #ISDN_GW
#クラウドPBX