Подключение телефонов Fanvil к 3CX через туннель L2TP на Mikrotik

Введение


В этой статье я опишу свой опыт подключения телефонов Fanvil X2, X3S, X4, X5S и X6 (новая линейка IP-телефонов Fanvil) к серверу 3CX через встроенный в прошивку телефонов VPN-туннель L2TP.

Прежде всего, объясню, для чего это нужно. Допустим, у вас есть удаленный сотрудник (или даже несколько) работающий из дома. Вы можете подключить его «домашний офис» по VPN, однако для этого необходимо поддержка VPN со стороны его домашнего роутера и настройка различных ограничений доступа к корпоративным ресурсам из домашней сети этого сотрудника. Вы также можете подключить телефон напрямую через RPS сервер, как описано в этом руководстве. Однако недостаток такого подхода в том, что вам придется открывать SIP-порт 5060 для всего мира. Хотя в 3CX весьма основательная система собственной безопасности, использовать такую конфигурацию следует с осторожностью. Вторая проблема — не все маршрутизаторы «позволяют» IP-телефонам корректно работать через NAT. Кроме того, вы не сможете оперативно подключаться к веб-интерфейсу IP-телефона (ведь он находится в домашней сети пользователя).

Хороший способ подключения удаленных пользователей реализует фирменная технология 3CX Tunnel в утилите 3CX SBC. Но в этом случае вам придется у пользователя устанавливать устройство типа Raspberry Pi или инсталлировать утилиту на ПК пользователя. Недостаток — связь будет только тогда, когда работает компьютер.

Подключение телефона по VPN туннелю L2TP устраняет почти все эти недостатки:

  • Телефон выглядит для 3CX локальным — не нужно открывать SIP порт и можно легко подключаться на веб-интерфейс устройства
  • Не нужно использовать 3CX SBC
  • Очень простая настройка

Обратите внимание! В соответствии с документацией Fanvil, туннель L2TP не шифрует трафик. Это умеет делать туннель OpenVPN, однако его настройка довольно трудоемка и выходит за рамки данной статьи. Также шифрование трафика реализована в технологии 3CX Tunnel.

Настройка подключения состоит из трех этапов:

  1. Модификация стокового шаблона Fanvil
  2. Автонастройка телефона модифицированным шаблоном
  3. Настройка L2TP туннеля на маршрутизаторе Mikrotik и создание пользователей
  4. Проверка подключения

Модификация стокового шаблона Fanvil


Модификация шаблона нужна для автоматизации настройки L2TP туннеля на телефонах (чтобы не настраивать адрес и учетные данные туннеля вручную на каждом телефоне). Самый простой способ — использовать для L2TP-пользователя те же учетные данные, что и для SIP-аккаунта. Эти параметры будут автоматически подставляться в шаблон через переменные автонастройки 3CX.

Для понимания, что же именно нужно менять сделаем две вещи.

Настройте L2TP вручную так, как вам нужно (Раздел Network — VPN).



Откройте конфигурацию телефона (System — Configurations) и поищите в ней по ключевому слову vpn.



Вот что нужно поменять в стоковом шаблоне 3CX.

 

Скопируем шаблон, назовем его fanvil_l2tp и укажем следующие переменные:

  • VPN Mode — 1 (L2TP)
  • L2TP_LNS_IP — внешний адрес / имя сервера 3CX
  • L2TP_User_Name — имя пользователя SIP
  • L2TP_Password — пароль пользователя SIP
  • Enable_VPN_Tunnel — 1 (Вкл.)  


   
Нажмите OK и шаблон будет готов.

Автонастройка телефона модифицированным шаблоном


Теперь шаблоном можно настраивать телефоны. Однако перед этим обязательно вручную прошейте их официально поддерживаемой прошивкой 3CX, чтобы к ним могли корректно применяться шаблоны автонастройки от 3CX.

После ручной прошивки, настройте телефон в локальной сети стоковым шаблоном от 3CX, как указано здесь. Затем можно повторно обновить прошивку, если они доступна. Но теперь уже это делается автоматически из раздела интерфейса управления 3CX Телефоны — кнопка Прошивка.

   

После того, как телефон успешно прошит, настроен и подключен, перейдите в раздел Пользователи — Пользователь — Автонастройка телефона, удалите привязанный телефон (стоковый шаблон) и замените его модифицированным шаблоном.

После этого перейдите в раздел Телефоны, выделите пользователя и нажмите кнопку Перенастроить.



Телефон обновит шаблон и включит туннель L2TP.

Обратите внимание! На модифицированные шаблоны официальная техподдержка 3CX не распространяется.
Обратите внимание! При выходе обновленного стокового шаблона 3CX, следует снова создать его модифицированную версию и перенастроить телефоны.

Настройка L2TP туннеля на маршрутизаторе Mikrotik


Существует множество схожих руководств по настройке L2TP туннеля в Mikrotik. Я опишу самый быстрый способ, который, однако, требует некоторых модификаций.

Если у вас новый роутер, настройте его через меню Quick Set и включите VPN доступ.



Обратите внимание! На роутере зайдите в раздел PPP — Profiles — default-encryption и обязательно укажите DNS сервер, который будет выдаваться телефонам. Без этой настройки телефоны Fanvil не подключаются.



На скриншоте выше локальный адрес L2TP-сервера 192.168.89.1, адреса телефонам выдаются из пула адресов vpn, а DNS сервер — IP-адрес локального сетевого интерфейса (или бриджа) Mikrotik.

Теперь в разделе PPP — Secrets добавьте учетные данные авторизации телефонов. Как было сказано, они совпадают с учетными данными SIP. Если хотите это автоматизировать — экспортируйте пользователей из 3CX, отредактируйте файл экспорта и создайте пользователей скриптом в Mikrotik. Этот процесс мы опустим.



Если вы хотите использовать подключения IP-телефонов (L2TP-интерфейсы) в различных правилах маршрутизатора, рекомендую создать L2TP Server Binding для каждого телефона (PPP — Interface — L2TP Server Binding). Это позволяет создать статические интерфейсы, которые не будут исчезать из правил при отключении VPN-клиента.



На этом настройка L2TP-сервера Mikrotik завершена.

Проверка подключения


Включите телефон в удаленной сети. Он должен получить IP-адрес от вашего L2TP сервера.



И успешно зарегистрироваться на 3CX.



Соответствующий динамический интерфейс L2TP должен появиться и на Mikrotik.



Наберите на телефоне *777 (эхотест 3CX). Поговорите в трубку — вы должны услышать себя. Это означает, что подключение работает корректно.

Заключение


Во время тестирования различных моделей Fanvil я заметил, что телефоны X2, X3S и X4 подключаются и работают корректно. В то же время модели X5 и X6 не подключаются по VPN. Возможно, дело в прошивке телефона. В данный момент мы работаем по этому вопросу с техподдержкой Fanvil.
3CX Ltd. 85,72
Windows VoIP АТС с видеоконференциями Webmeeting
Поделиться публикацией
Комментарии 2
    0
    Добрый! Самый простой способ — использовать утилиту 3CX SBC. Она умеет шифровать. Второй вариант — настраивать инфраструктуру OpenVPN. Третий вариант — использовать Secure RTP в телефоне. Последние два способа именно с Fanvil не пробовал. С Yealink пробовал, работает.
      0
      Здравствуйте.
      А поднять шифрованный канал между телефоном и микротиком у вас получилось?

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое