Contact
Line : comsiam
คู่มือเปิดพอร์ตและตั้งค่า Firewall ให้ระบบโทรศัพท์สำนักงานทำงานครบ เสียงไม่หาย ไม่หลุด
① 🔍 บทนำ: Firewall คือด่านที่ทำให้ IP PBX พังได้เงียบ ๆ
หลายองค์กรมี Firewall แข็งแรง แต่ ตั้งค่าไม่เหมาะกับ VoIP
ผลคือ โทรติดบ้างไม่ติดบ้าง เสียงหาย รับได้แต่โทรออกไม่ได้ หรือหลุดทั้งชุดช่วงพีค
บทความนี้สรุป พอร์ตที่ต้องใช้จริง, แนวคิดการเปิดอย่างปลอดภัย และจุดที่ช่างพลาดบ่อย
② 🔍 ทำไม IP PBX ถึงมีปัญหากับ Firewall
VoIP ใช้:
- SIP (Signaling)
- RTP (Media)
ซึ่งมีลักษณะ:
- พอร์ตไดนามิก
- Stateful
- อ่อนไหวต่อ NAT/Inspection
Firewall ที่ “เข้มเกินไป” โดยไม่เข้าใจ VoIP = ปัญหาแน่นอน
③ 🌐 ภาพรวมทราฟฟิกที่ Firewall ต้องรองรับ
ทราฟฟิกหลัก:
- SIP (ควบคุมการโทร)
- RTP (เสียง)
- Management (Web/SSH)
- Provisioning (HTTP/HTTPS/TFTP)
ต้องเปิด ครบและถูกทิศทาง
④ 🌐 พอร์ต SIP ที่พบบ่อย
พอร์ตมาตรฐาน:
- UDP/TCP 5060 → SIP (ไม่เข้ารหัส)
- TCP 5061 → SIP over TLS
ข้อแนะนำ:
- ใช้ TLS เมื่อทำได้
- เปลี่ยนพอร์ตจากค่าเริ่มต้นเพื่อลด Scan
⑤ 🌐 พอร์ต RTP (เสียง): จุดที่พลาดบ่อยที่สุด
RTP ใช้ ช่วงพอร์ต ไม่ใช่พอร์ตเดียว
ตัวอย่างที่พบบ่อย:
- UDP 10000–20000 (แล้วแต่ระบบ)
ต้อง:
- เปิดครบช่วง
- เปิดทั้ง Inbound/Outbound
- Map NAT ถูกต้อง
⑥ 🌐 พอร์ตสำหรับ IP Phone / Provisioning
มักใช้:
- HTTP 80 / HTTPS 443
- TFTP 69 (บางรุ่น)
ถ้า Block:
- เครื่องไม่ดึง Config
- Register ไม่ครบ
- ฟีเจอร์หาย
⑦ 🌐 พอร์ต Management (ควรจำกัด)
เช่น:
- HTTPS (Web Admin)
- SSH
แนวทาง:
- เปิดเฉพาะ IP ผู้ดูแล
- อย่าเปิดสาธารณะ
⑧ 🌐 ทิศทางการเปิดพอร์ตที่ถูกต้อง
หลักการ:
- Inbound: เท่าที่จำเป็น
- Outbound: ต้องเปิดให้ SIP/RTP ออกได้
- ระวัง “เปิดเข้าได้ แต่ออกไม่ได้”
Firewall ขาออกสำคัญไม่แพ้ขาเข้า
⑨ 🌐 NAT และ Port Forwarding
ต้องตั้ง:
- Static NAT / Port Forward
- External IP ให้ IP PBX รู้จัก
ถ้า NAT ผิด:
- รับสายได้แต่ไม่มีเสียง
- โทรติดแล้วหลุด
⑩ 🌐 SIP ALG: ปิดเถอะ
SIP ALG:
- แก้ Header ผิด
- ทำให้ SIP เพี้ยน
แนวปฏิบัติมาตรฐาน:
ปิด SIP ALG ทุกกรณี
⑪ 🌐 Stateful Inspection กับ VoIP
Firewall บางรุ่น:
- Timeout สั้นเกิน
- ตัด RTP ระหว่างคุย
ต้อง:
- ปรับ Timeout
- Whitelist Voice Traffic
⑫ 🌐 Firewall หลายชั้น (Double Firewall)
กรณีมี:
- Router + Firewall
- Cloud Firewall + On-prem
ต้องเปิดพอร์ต ทุกชั้น
เปิดชั้นเดียว = ยังไม่พอ
⑬ 🌐 VPN กับ IP PBX
ถ้าใช้ VPN:
- ต้อง Preserve DSCP
- ต้องเปิด RTP ใน Tunnel
- เช็ก MTU/MSS
VPN ที่ตั้งผิด = เสียงพัง
⑭ 🛠️ ตัวอย่างรายการพอร์ต (สรุป)
ตัวอย่างทั่วไป:
- SIP: UDP/TCP 5060, TCP 5061
- RTP: UDP 10000–20000
- HTTP/HTTPS: 80, 443
- TFTP: 69 (ถ้ามี)
หมายเหตุ: ตรวจคู่มือระบบที่ใช้งานจริงเสมอ
⑮ 🛠️ วิธีทดสอบหลังเปิดพอร์ต
ทดสอบ:
- โทรเข้า/ออก
- โทรพร้อมกันหลายสาย
- โทรค้างนาน
- Test จากเครือข่ายภายนอก
อย่าทดสอบแค่ “โทร 1 ครั้ง”
⑯ 🛠️ ใช้ Log Firewall หาสาเหตุ
ดู:
- Dropped Packet
- Blocked Port
- Timeout Event
Log จะบอกชัดว่า “Firewall บล็อกอะไร”
⑰ 🛠️ เปิดพอร์ตอย่างปลอดภัย (Best Practice)
- จำกัด IP ต้นทาง
- ใช้ TLS/SRTP
- เปลี่ยนพอร์ตเริ่มต้น
- ใช้ Fail2Ban / ACL
เปิดได้ แต่ต้องไม่โล่ง
⑱ 🛠️ เมื่อไหร่ควรใช้ SBC (Session Border Controller)
เหมาะเมื่อ:
- ระบบใหญ่
- Trunk หลายเจ้า
- Security สูง
SBC ช่วยคุม VoIP แทน Firewall ทั่วไป
⑲ 📋 Checklist เปิดพอร์ตสำหรับ IP PBX
- SIP เปิดครบ
- RTP เปิดครบช่วง
- NAT ถูก
- SIP ALG ปิด
- Outbound ไม่บล็อก
⑳ 📋 Checklist สำหรับผู้ดูแลระบบ
- มีรายการพอร์ตชัดเจน
- มี Diagram Network
- ทดสอบหลังเปลี่ยนทุกครั้ง
- เก็บ Log ย้อนหลัง
㉑ ⚠️ ข้อผิดพลาดที่พบบ่อย
- เปิด SIP แต่ลืม RTP
- เปิดขาเข้า ลืมขาออก
- เปิดทุกอย่างโดยไม่จำกัด IP
㉒ 🧠 บทเรียนจากหน้างานจริง
หลายเคส:
โทรติดแต่ไม่มีเสียง
แก้จบด้วย “เปิด RTP ให้ครบช่วง”
㉓ 🛠️ เมื่อไหร่ควรให้ผู้เชี่ยวชาญจัดการ Firewall
- ระบบซับซ้อน
- Security Policy เข้ม
- มีหลายสาขา/Trunk
เปิดพอร์ตผิด = เสี่ยงทั้งระบบ
㉔ 📌 สรุปสำหรับผู้บริหาร
Firewall ที่ดี
- ต้อง ปกป้อง
- และต้อง ไม่ขัดการสื่อสาร
VoIP ต้องการการตั้งค่าเฉพาะทาง
㉕ ✅ บทสรุป
ถ้า IP PBX มีปัญหากับ Firewall
ให้ตรวจ:
พอร์ต → NAT → SIP ALG → Timeout
แล้วปัญหาจะจบอย่างเป็นระบบ
㉖ 💬 คำถามชวนคิดและชวนคอมเมนต์
Firewall ของคุณ
เปิดพอร์ตครบ แต่ปลอดภัยจริงหรือยัง?
