Введение
В этой статье я опишу свой опыт подключения телефонов Fanvil X2, X3S, X4, X5S и X6 (новая линейка IP-телефонов Fanvil) к серверу 3CX через встроенный в прошивку телефонов VPN-туннель L2TP.
Прежде всего, объясню, для чего это нужно. Допустим, у вас есть удаленный сотрудник (или даже несколько) работающий из дома. Вы можете подключить его «домашний офис» по VPN, однако для этого необходимо поддержка VPN со стороны его домашнего роутера и настройка различных ограничений доступа к корпоративным ресурсам из домашней сети этого сотрудника. Вы также можете подключить телефон напрямую через RPS сервер, как описано в этом руководстве. Однако недостаток такого подхода в том, что вам придется открывать SIP-порт 5060 для всего мира. Хотя в 3CX весьма основательная система собственной безопасности, использовать такую конфигурацию следует с осторожностью. Вторая проблема — не все маршрутизаторы «позволяют» IP-телефонам корректно работать через NAT. Кроме того, вы не сможете оперативно подключаться к веб-интерфейсу IP-телефона (ведь он находится в домашней сети пользователя).
Хороший способ подключения удаленных пользователей реализует фирменная технология 3CX Tunnel в утилите 3CX SBC. Но в этом случае вам придется у пользователя устанавливать устройство типа Raspberry Pi или инсталлировать утилиту на ПК пользователя. Недостаток — связь будет только тогда, когда работает компьютер.
Подключение телефона по VPN туннелю L2TP устраняет почти все эти недостатки:
- Телефон выглядит для 3CX локальным — не нужно открывать SIP порт и можно легко подключаться на веб-интерфейс устройства
- Не нужно использовать 3CX SBC
- Очень простая настройка
Обратите внимание! В соответствии с документацией Fanvil, туннель L2TP не шифрует трафик. Это умеет делать туннель OpenVPN, однако его настройка довольно трудоемка и выходит за рамки данной статьи. Также шифрование трафика реализована в технологии 3CX Tunnel.
Настройка подключения состоит из трех этапов:
- Модификация стокового шаблона Fanvil
- Автонастройка телефона модифицированным шаблоном
- Настройка L2TP туннеля на маршрутизаторе Mikrotik и создание пользователей
- Проверка подключения
Модификация стокового шаблона Fanvil
Модификация шаблона нужна для автоматизации настройки L2TP туннеля на телефонах (чтобы не настраивать адрес и учетные данные туннеля вручную на каждом телефоне). Самый простой способ — использовать для L2TP-пользователя те же учетные данные, что и для SIP-аккаунта. Эти параметры будут автоматически подставляться в шаблон через переменные автонастройки 3CX.
Для понимания, что же именно нужно менять сделаем две вещи.
Настройте L2TP вручную так, как вам нужно (Раздел Network — VPN).
Откройте конфигурацию телефона (System — Configurations) и поищите в ней по ключевому слову vpn.
Вот что нужно поменять в стоковом шаблоне 3CX.
Скопируем шаблон, назовем его fanvil_l2tp и укажем следующие переменные:
- VPN Mode — 1 (L2TP)
- L2TP_LNS_IP — внешний адрес / имя сервера 3CX
- L2TP_User_Name — имя пользователя SIP
- L2TP_Password — пароль пользователя SIP
- Enable_VPN_Tunnel — 1 (Вкл.)
Нажмите OK и шаблон будет готов.
Автонастройка телефона модифицированным шаблоном
Теперь шаблоном можно настраивать телефоны. Однако перед этим обязательно вручную прошейте их официально поддерживаемой прошивкой 3CX, чтобы к ним могли корректно применяться шаблоны автонастройки от 3CX.
После ручной прошивки, настройте телефон в локальной сети стоковым шаблоном от 3CX, как указано здесь. Затем можно повторно обновить прошивку, если они доступна. Но теперь уже это делается автоматически из раздела интерфейса управления 3CX Телефоны — кнопка Прошивка.
После того, как телефон успешно прошит, настроен и подключен, перейдите в раздел Пользователи — Пользователь — Автонастройка телефона, удалите привязанный телефон (стоковый шаблон) и замените его модифицированным шаблоном.
После этого перейдите в раздел Телефоны, выделите пользователя и нажмите кнопку Перенастроить.
Телефон обновит шаблон и включит туннель L2TP.
Обратите внимание! На модифицированные шаблоны официальная техподдержка 3CX не распространяется.
Обратите внимание! При выходе обновленного стокового шаблона 3CX, следует снова создать его модифицированную версию и перенастроить телефоны.
Настройка L2TP туннеля на маршрутизаторе Mikrotik
Существует множество схожих руководств по настройке L2TP туннеля в Mikrotik. Я опишу самый быстрый способ, который, однако, требует некоторых модификаций.
Если у вас новый роутер, настройте его через меню Quick Set и включите VPN доступ.
Обратите внимание! На роутере зайдите в раздел PPP — Profiles — default-encryption и обязательно укажите DNS сервер, который будет выдаваться телефонам. Без этой настройки телефоны Fanvil не подключаются.
На скриншоте выше локальный адрес L2TP-сервера 192.168.89.1, адреса телефонам выдаются из пула адресов vpn, а DNS сервер — IP-адрес локального сетевого интерфейса (или бриджа) Mikrotik.
Теперь в разделе PPP — Secrets добавьте учетные данные авторизации телефонов. Как было сказано, они совпадают с учетными данными SIP. Если хотите это автоматизировать — экспортируйте пользователей из 3CX, отредактируйте файл экспорта и создайте пользователей скриптом в Mikrotik. Этот процесс мы опустим.
Если вы хотите использовать подключения IP-телефонов (L2TP-интерфейсы) в различных правилах маршрутизатора, рекомендую создать L2TP Server Binding для каждого телефона (PPP — Interface — L2TP Server Binding). Это позволяет создать статические интерфейсы, которые не будут исчезать из правил при отключении VPN-клиента.
На этом настройка L2TP-сервера Mikrotik завершена.
Проверка подключения
Включите телефон в удаленной сети. Он должен получить IP-адрес от вашего L2TP сервера.
И успешно зарегистрироваться на 3CX.
Соответствующий динамический интерфейс L2TP должен появиться и на Mikrotik.
Наберите на телефоне *777 (эхотест 3CX). Поговорите в трубку — вы должны услышать себя. Это означает, что подключение работает корректно.
Заключение
Во время тестирования различных моделей Fanvil я заметил, что телефоны X2, X3S и X4 подключаются и работают корректно. В то же время модели X5 и X6 не подключаются по VPN. Возможно, дело в прошивке телефона. В данный момент мы работаем по этому вопросу с техподдержкой Fanvil.
Комментарии (2)
ba00
19.01.2018 08:53Здравствуйте.
А поднять шифрованный канал между телефоном и микротиком у вас получилось?
snezhko Автор
Добрый! Самый простой способ — использовать утилиту 3CX SBC. Она умеет шифровать. Второй вариант — настраивать инфраструктуру OpenVPN. Третий вариант — использовать Secure RTP в телефоне. Последние два способа именно с Fanvil не пробовал. С Yealink пробовал, работает.