SIP TLS instellen in 3CX — versleutelde SIP-trunk configuratie
Stap-voor-stap handleiding voor het configureren van een TLS-versleutelde SIP-trunk in 3CX versie 18 en 20. Inclusief SRTP-instelling, certificaat en firewallvereisten.
Wilt u hulp bij het instellen van SIP TLS in uw 3CX? Vraag een gratis check aan.
Gratis Secure SIP-check aanvragenVereisten
- OpVoIP Secure SIP add-on actief op uw account
- 3CX versie 18 of 20 (on-premise of hosted)
- Uitgaande TCP-verbinding toegestaan op poort 5061
- Bestaande SIP-trunk bij OpVoIP, of nieuwe aanvragen via de check
fs1.opvoip.nl en fs2.opvoip.nl)
en een andere poort (5061/TLS). U maakt een nieuwe trunk aan naast uw bestaande trunk,
of vervangt hem volledig.
Stap 1 — Nieuwe SIP Trunk aanmaken
- Open de 3CX Beheerconsole
- Ga naar SIP Trunks → Provider toevoegen
- Selecteer Generic SIP
Stap 2 — Trunk configuratie
| Veld | Waarde |
|---|---|
| Naam | OpVoIP Secure SIP |
| Trunk authenticatie | Digest auth |
| Trunk gebruikersnaam | 085xxxxxxx (uw SIP-nummer) |
| Wachtwoord | SIP-wachtwoord uit OpVoIP portal |
| Hoofd Gateway / SIP-server | fs1.opvoip.nl |
| Poort | 5061 |
| Transport | TLS |
Stel ook een failover-server in:
| Veld | Waarde |
|---|---|
| Failover Gateway | fs2.opvoip.nl |
| Failover Poort | 5061 |
| Failover Transport | TLS |
Stap 3 — SRTP activeren
- Ga in de trunk-configuratie naar het tabblad Geavanceerd
- Schakel SRTP in (of "Media Encryption")
- Selecteer SRTP verplicht (niet optioneel) — de OpVoIP Secure SIP server accepteert alleen SRTP
In 3CX v20: Ga naar Admin → VoIP-providers → trunk → tabblad Media → Media-encryptie: SDES-SRTP
Stap 4 — TLS-certificaat
3CX hosted (cloud): geen actie nodig — 3CX vertrouwt Let's Encrypt certificaten automatisch.
3CX on-premise: voeg het Let's Encrypt root CA-certificaat toe aan uw 3CX truststore als dat nog niet aanwezig is. In de meeste moderne installaties staat dit er al in.
OpVoIP Secure SIP servers gebruiken Let's Encrypt certificaten voor
fs1.opvoip.nl en fs2.opvoip.nl.
Stap 5 — Firewall aanpassen
Zorg dat de volgende verbindingen mogelijk zijn vanuit uw 3CX-server:
| Richting | Protocol | Poort | Doel |
|---|---|---|---|
| Uitgaand | TCP | 5061 | fs1.opvoip.nl, fs2.opvoip.nl |
| Inkomend + Uitgaand | UDP | 40000–49000 | RTP/SRTP audio |
De RTP-poortenrange is configureerbaar in 3CX Admin → Geavanceerd → Netwerk. Gebruik de range die u ook voor regulier RTP gebruikt.
Stap 6 — IP-adres doorgeven aan OpVoIP
OpVoIP Secure SIP vereist een vast publiek IP-adres voor uw PBX. Stuur uw publieke IP op via de check-aanvraag zodat wij het kunnen opnemen in de IP-whitelist.
Uw publiek IP-adres kunt u controleren via curl ifconfig.me op de server
of via een IP-check website.
Stap 7 — Verbinding controleren
- Sla de trunk-configuratie op
- Wacht 30–60 seconden
- Controleer in het overzicht of de trunk de status Geregistreerd toont
- Maak een testgesprek: kies de Secure SIP trunk expliciet in de uitgaande routing
Problemen oplossen
| Symptoom | Oorzaak | Oplossing |
|---|---|---|
| Trunk niet geregistreerd | TCP 5061 geblokkeerd door firewall | Controleer uitgaande firewallregel voor TCP 5061 naar fs1.opvoip.nl |
| 403 Forbidden | IP niet in whitelist of verkeerde credentials | Controleer of uw publiek IP bij OpVoIP bekend is. Verifieer SIP-credentials. |
| Certificaatfout | TLS-certificaat niet vertrouwd | Controleer of Let's Encrypt root CA aanwezig is in 3CX truststore |
| Geen audio | SRTP mismatch of firewall blokkeert RTP-range | Zorg dat SRTP verplicht is (niet optioneel) en RTP-poortenrange open staat |
Wilt u hulp bij het instellen van SIP TLS in uw 3CX? Vraag een gratis check aan.
Gratis Secure SIP-check aanvragen