Keenetic-9105 DSL(KN-2010) не подключается IP телефон через PPTP

[Александр Ц]

Помогите, получилась следующая схема:

Установлен VPN канал со строны другого роутера коим выступает Tplink TL-ER604W, получился лишь вариант подключить его клиентом к PPTP серверу Keenetic.

Соединение устойчиво , из сети Keenetic удаленная сеть пингуется, и, даже сайты открываются, в частности Web морда FreePBX - без проблем. С другой стороны тоже , роутер по внутреннему адресу 192.168.1.1 из сети 10.11.0.0/24 тоже открывается :)

Но пограммный телефон 3CX (192.168.1.54)  напрочь отказывается регистрироваться на Астериксе он внутри сети Tplink (10.11.0.0/24 с десяток телефонов там работает) , в остальном все работает, маршруты из сети Keenetic, корректны,  значит порты?

Что пишем в правилах переадресации, в списке интерфейсов VPN нет, домашнюю сеть? Там есть какой то Brige0 - это , что? 

То есть, есть внутренний компьютер , есть VPN канал , какова его идентификация в Keenetic ? На каком интерфейсе и что должно быть открыто, какие и где правила созданы ?

Помогите разобраться, плизз :(

[ndm]

19 hours ago, Александр Ц said:

То есть, есть внутренний компьютер , есть VPN канал , какова его идентификация в Keenetic ? На каком интерфейсе и что должно быть открыто, какие и где правила созданы ?

Настройки VPN-сервера на кинетике ограничены, там нельзя сделать правила для каждого клиента, и идентификация подключений в оболочке отсутствует. (Она есть в linux, но на уровень CLI кинетика не выведена.) Возможностей VPN-сервера по умолчанию достаточно для простых задач. Пока всё, что можно менять — это настраивать доступ через VPN к выбранному сегменту или к интернету в целом. Если нужны гибкие настройки, пользуйтесь GRE, IPIP и другими, но это совсем другая тема.

Никаких специальных ограничений на SIP/UDP в VPN-сервере нет, т.е. если "удаленная сеть пингуется", то и всё остальное должно работать. Вы пишете, что телефон находится за tp-линком, но не очень понятно, где и по какому адресу у вас FreePBX.

[Александр Ц]

1 hour ago, ndm said:

Настройки VPN-сервера на кинетике ограничены, там нельзя сделать правила для каждого клиента, и идентификация подключений в оболочке отсутствует. (Она есть в linux, но на уровень CLI кинетика не выведена.) Возможностей VPN-сервера по умолчанию достаточно для простых задач. Пока всё, что можно менять — это настраивать доступ через VPN к выбранному сегменту или к интернету в целом. Если нужны гибкие настройки, пользуйтесь GRE, IPIP и другими, но это совсем другая тема.

Никаких специальных ограничений на SIP/UDP в VPN-сервере нет, т.е. если "удаленная сеть пингуется", то и всё остальное должно работать. Вы пишете, что телефон находится за tp-линком, но не очень понятно, где и по какому адресу у вас FreePBX.

Спасибо за ответ, в принципе и базовых вункций хватит, если в сети Кинетика любой телефон будет иметь доступ по каналу PPTP

FPBX  находится в сети Тп-линка, имеет адрес 10.11......

Сеть Кинетика 192.168.1.0/24

vpn 172.16.1.2

Я правильно понимаю, что vpn ходит из "Домашней сети" , мимо Фареволла , ни нем ничего открывать не нужно ?

А на "Домашней" ?

Не понятно, почему подсоединившись из WIN по pptp  к серверу PPTP кинннетика, у меня не пингуестя  ни шлюз vpn, ни удаленная сеть, а с компа в сети Киннетика маршруты работают?

T.e. Win10 клиент получает адрес 172.16.1.3 , и адреса  172.16.1.2 ( шлюза в тоннель ) не видит, почему так и как это победить?

[ndm]

6 hours ago, Александр Ц said:

Я правильно понимаю, что vpn ходит из "Домашней сети" , мимо Фареволла , ни нем ничего открывать не нужно ?

Не нужно, достаточно указать сегмент "Network access", и к нему будет доступ.

6 hours ago, Александр Ц said:

Win10 клиент получает адрес 172.16.1.3 , и адреса  172.16.1.2 ( шлюза в тоннель ) не видит, почему так и как это победить?

Попробуйте пул адресов PPTP-сервера настроить 192.168.1.X - 192.168.1.Y, но так, чтобы они не пересекались с пулом DHCP. Если на тп-линке доступ со стороны PPTP-клиента в сторону PBX открыт, всё заработает.

Есть ощущение, что дело в тп-линке, который не знает, куда посылать пакеты до 192.168.1.0/24. Если адреса PPTP-клиентов будут совпадать с домашней сетью, ему будет проще. И для кинетика это корректная конфигурация.

[Александр Ц]

21 hours ago, ndm said:

Не нужно, достаточно указать сегмент "Network access", и к нему будет доступ.

Попробуйте пул адресов PPTP-сервера настроить 192.168.1.X - 192.168.1.Y, но так, чтобы они не пересекались с пулом DHCP. Если на тп-линке доступ со стороны PPTP-клиента в сторону PBX открыт, всё заработает.

Есть ощущение, что дело в тп-линке, который не знает, куда посылать пакеты до 192.168.1.0/24. Если адреса PPTP-клиентов будут совпадать с домашней сетью, ему будет проще. И для кинетика это корректная конфигурация.

Кое что получилось , настроил начальный 192.168.1.100 - его и получил клиент с Тплинка

Клиент с WIN10 получил следующий 192.168.1.101, но адрес 192.168.1.100 не пингуется , подсеть Тплинка с win10 не пингуется, а с Киннетика  видна  и из сети Тплинка доступна сеть КИННЕТИКА.

Попробовал  через ж...

В маршрутах Киннетика прописал 10.11.0,0/24 шлюз 192.168.1.101( бред - это шлюз WIN10 !!! ) и ведь заработало, шлюз поменял на 192.168.1.100, и теперь пингуются все сети и с одной и с другой стороны , и с третьей по vpn.

Но IP Phone  подлключаться не хочет, 5060 порт не доступен