Если после установки коробочного Битрикс24 маркетплейс молчит, уведомления не приходят, а видеозвонки обрываются — дело почти наверняка в сетевых настройках. Коробочная версия связана с десятками внешних сервисов, и каждый требует отдельного разрешения. Разберём, какие порты открывать, как настроить правила брандмауэра и что останется работать при полном отключении от интернета.
Порты на сервере Битрикс24
Начнём с того, что открыть на самом сервере. Это базовый минимум, без которого портал вообще не заработает.
Обязательные порты:
- 22 — SSH, удалённое администрирование
- 25 — SMTP, отправка почты
- 80 — HTTP и соединения Push по протоколу WebSocket
- 443 — HTTPS и Push по защищённому WebSocket (WSS)
- 389 / 636 — LDAP / LDAPS, при интеграции с Active Directory
- 8890 / 8891 — NTLM-аутентификация, при интеграции с Active Directory
- 8895 — публикация сообщений Push-сервером (только локальный интерфейс, localhost)
Порты 8893/8894 и 5222/5223 встречаются в старых инструкциях — они устаревшие. Открывать не нужно.
Внешние сервисы и их требования
Каждый модуль Битрикс24 звонит своему набору внешних адресов. Вот что нужно пропустить через брандмауэр.
Push-уведомления
Сервис: rtc-cloud.bitrix.info. Соединение по HTTPS (порт 443). Без этого уведомления в браузере и мобильном приложении работать не будут.
Телефония
- Домен: telephony.bitrix.info
- Сигнальный протокол SIP: порт 5060 (UDP)
- STUN-сервер для определения внешнего IP: порт 3478 (UDP)
- Медиапоток RTP: диапазон 8000–48000 (UDP)
Видеозвонки
- Серверы WebRTC: *.webrtc.bitrix.info
- HTTPS: порт 443
- Медиаретрансляция: порт 7881 (TCP/UDP)
- Расширенный UDP-диапазон: 1024–65000
- TURN-сервер для обхода NAT: turn.calls.bitrix24.com
Почта
Для работы почтового клиента внутри портала:
- IMAP: порты 143 (без шифрования) и 993 (с шифрованием)
- SMTP: порты 25, 465 и 587
Маркетплейс и обновления
- oauth.bitrix.info — авторизация приложений
- marketplace.1c-bitrix.ru — каталог маркетплейса
- www.1c-bitrix.ru — загрузка обновлений системы
Оба ресурса требуют исходящий порт 443.
Остальные сервисы
- Конвертер документов и ONLYOFFICE — исходящий 443
- Открытые линии (мессенджеры, соцсети): im.bitrix.info
- CoPilot (встроенный ИИ-ассистент): ai-proxy-ru.bitrix.info
Что работает без интернета
Закрытый контур — частый запрос от производственных предприятий и госструктур. Вот что можно развернуть полностью изолированно.
Работает офлайн полностью:
- Корпоративный портал (новости, структура)
- CRM
- Задачи и проекты
- Чат между сотрудниками
- Корпоративная почта
- Интеграция с 1С
Работает частично:
- Телефония — при собственной АТС на базе Asterisk
Требует интернет:
- Видеозвонки — режим изолированного контура доступен только в пакете Enterprise
- Маркетплейс и обновления
- Открытые линии
- CoPilot
Whitelist доменов для прокси и брандмауэра
Если трафик проходит через прокси или используется политика запрета всего исходящего, добавьте в белый список 14 доменов:
- rtc-cloud.bitrix.info
- telephony.bitrix.info
- *.webrtc.bitrix.info
- turn.calls.bitrix24.com
- oauth.bitrix.info
- marketplace.1c-bitrix.ru
- www.1c-bitrix.ru
- im.bitrix.info
- ai-proxy-ru.bitrix.info
- helpdesk.bitrix24.ru
- update.bitrix.info
- dev.1c-bitrix.ru
- api.bitrix24.com
- cdn.bitrix.info
Примеры правил брандмауэра
Базовая конфигурация iptables с политикой запрета по умолчанию:
- Политика по умолчанию: DROP
- Разрешить: loopback (lo)
- Входящие: 22 (SSH), 80 (HTTP), 443 (HTTPS), 53 (DNS)
- Исходящие: 443, 25, 587, 80, 3478 (UDP), 8000–48000 (UDP)
Для firewalld достаточно добавить зоны: ssh, http, https.
5 частых ошибок в сетевых настройках
1. Нет уведомлений — не открыт WSS на 443
Push-сервер подключается по WebSocket Secure (WSS) через порт 443. Если HTTPS разрешён, но WSS блокируется на уровне DPI или прокси — уведомления не придут. Проверьте, что соединение до rtc-cloud.bitrix.info:443 не проходит через SSL Inspection.
2. Маркетплейс не работает — закрыт исходящий 443
Типичная ситуация при жёстком периметре: входящий 443 открыт, а исходящие соединения по умолчанию блокируются. Сервер не может обратиться к marketplace.1c-bitrix.ru.
3. Видеозвонки обрываются — не открыт порт 7881 и UDP-диапазон
WebRTC требует не только TCP 443, но и порт 7881 плюс диапазон UDP 1024–65000 для медиатрафика. Если UDP заблокирован — звонок установится, но видео и аудио работать не будут.
4. Открыты все порты подряд
Безопаснее и надёжнее — точный список с указанием направления (входящий/исходящий) и протокола (TCP/UDP). Правило открыть всё маскирует реальные проблемы и создаёт уязвимости.
5. Устаревший Push-модуль
Если портал обновлялся по частям, Push-модуль мог остаться старой версии. В этом случае он пытается использовать порты 8893/8894 и 5222/5223 — они давно не актуальны. Решение: обновить модуль через административную панель.
Диагностика видеозвонков
Для проверки доступности всех компонентов видеосвязи есть официальный инструмент Битрикс24 — calltest.bitrix24.ru. Он проверяет доступность STUN/TURN-серверов, поддержку WebRTC в браузере и качество соединения.
Запустите тест с сервера или рабочей станции, с которой поступают жалобы — результат покажет, какой именно компонент недоступен.
Коробочный Битрикс24 требует точечной настройки сети. Неправильно открытые порты — это либо нерабочий функционал, либо дыры в безопасности. Используйте минимально необходимый набор правил и регулярно проверяйте актуальность списка сервисов.
Полная версия статьи с таблицами и примерами команд: Сетевые требования коробочного Битрикс24