Привет! Те, кто использует 3CX у себя на работе заметили, что начиная с 15 версии полностью переработан портал управления этой АТС. Сейчас она полностью настраивается через web и по-умолчанию адрес страницы, с которой происходит настройка, выглядит как https://<адрес-сервера-3cx>:5001. Самое смешное, что по-умолчанию, для работы фирменных программных телефонов (софтфонов) необходимо, чтобы порт 5001 был открыт на сервере. Таким образом получается, что если софтфон находится вне корпоративной сети (а это бывает очень часто), то приходится 5001 порт публиковать наружу. В результате, страница управления АТС публикуется наружу и есть вероятность, что когда-нибудь она будет взломана. Поэтому, пришлось обратиться в тех.поддержку 3CX с вопросом “что делать, чтобы 3cx не публиковал доступ по порту 5001 и при этом телефоны корректно работали снаружи корпоративной сети”. Вот что они придумали, чтобы обезопасить подключение к АТС:
1. Найти файл кофигурации nginx.conf web-сервера nginx. Он лежит в директории C:\Program Files\3CX Phone System\Bin\nginx\conf. Сделать его резервную копию.
2. Отредактируем его. Открываем его простым текстовым редактором и находим строчки
location /management/Reports { access_log logs/reports.log; alias "C:/ProgramData/3CX/instance1/Data/Http/Reports";
# limit_req zone=perip burst=10 nodelay;
}
3. После этих строк мы должны вставить следующие данные:
location /public { access_log logs/mng.log; allow 192.168.0.0/16; allow 172.16.0.0/12; allow 10.0.0.0/8; allow 127.0.0.1; deny all; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # limit_req zone=perip burst=10 nodelay; # Workaround for rc1 bug, remove in rc2 proxy_set_header Connection keep-alive; proxy_pass http://127.0.0.1:5004; proxy_buffering off; client_max_body_size 300m; }
4. Сохраняем файл nginx.conf в той же директории и перезапускаем службу 3CX PhoneSystem Nginx Server. После этого проверяем адрес https://<адрес-сервера-3cx>:5001. Из сети интернет он не должен открываться, из рабочей сети открываться как и раньше и при этом телефоны, подключенные через интернет, должны не иметь проблем с отображением контакт-листа, BLF-кнопок, истории звонков и т.д.
Как мы видим, в новой информации конфигурационного файла nginx содержатся адреса (подсети), с которых разрешен доступ к панели администрирования 3CX. Если все же вам необходимо иметь удаленный доступ к 3CX с определенного IP, то тогда к строчкам
allow 192.168.0.0/16; allow 172.16.0.0/12; allow 10.0.0.0/8; allow 127.0.0.1;
добавьте еще одну с вашим внешним белым IP, с которого вы пытаетесь подключиться.