KX-HDV100 (bad) vs l2tp/ipsec vs Yealink t21 (good)

[Volosko]

Доброго дня! Подскажите странное:

Я выдал роутеры юзерам настроенные с l2tp/ipsec, NAT, все дела для удаленки.
Выдал телефоны yealink t19 & t21. всё работает просто отлично, без нареканий, работает просто и легко, и радовался бы я и дальше. (конечно пришлось активировать на эти номера nat=force_rport,comedia)
Почему не настроил впн через маршрутизацию? Имхо избыточно пилить под каждого пользователя маршрут когда на той стороне только комп+тлф, хотя до сих пор гложут сомнения

НО! Начал я настраивать еще один роутер, настроил как остальные, втыкаю аппарат Panasonic kx-hdv100 и он пишет "регистрация" и всё. На астериске попыток регистрации не видно!!!
Копал копал, думаю чего за ерунда, роутер заново перенастроил с нуля (с полным сбросом, ну мало ли где-то напортачил)
Запускаю - такая же ерунда, ничего не изменилось. Перепрошил телефон на новую прошивку (шрифты лучше, отзывчивость выросла) но не помогло.

Для разнообразия втыкаю yealink и всё заработало! Втыкаю panasonic опять регистрация и всё. При этом настройки в телефонах не менялись совсем.
На телефонах настраивается только сип аккаунт да адрес сервера.
Втыкаю два телефона один работает и все хорошо, другой регистрация. Оба используют один сервер и один порт

Кто-то может подсказать куда копать ? Очень странно что при одинаковых настройках yealink соединяется, а panasonic нет.
В локальной сети там же где и астериск панасоник работает без нареканий.
Можно конечно забить, но стало интересно почему так происходит?

[Zavr2008]

Если туннель l2tp - тогда нет там NAT, и "конечно пришлось активировать на эти номера nat=force_rport,comedia" - не нужно.
Добавляйте эту подсеть в localnet.

[ded]

Добавляйте эту подсеть в localnet.

Zavr2008, роутинг будет глючить, подсети должны быть разные.

1. Если таких абонентов много - замучаетесь, конечно, вручную туннельные сети прописывать. Но для этого сущесвуют автоматические протоколы роутинга, например - OSPF, тогда все микросети абонентов (филиалов) будут анонсировать себя, а центральный хаб будет знать где они находятся, на каких туннельных интерфейсах. В Астериске же указывается просто блок
localnet=192.168.0.0/255.255.0.0

2. Мы прошли этот же путь много лет назад, создав для себя готовый продукт - "Позитронная пара", куда входил преднастроенный VPN-роутер + ИП телефон (или два, или три, сколько нужно). Только мы использовали Cisco 8XX серии, а у вас похоже, судя по l2tp/ipsec - Микротики. Вот с ними у меня лично счастья не было и нет. Именно ввиду загадочного неожиданного поведения.

3. Но мы усовершенствовали продукт "Позитронная пара", выбрав класс ИП-телефонов, которые сами поддерживают VPN, таким образом пользовательская пара преднастроенных устройств сократилась просто до преднастроенного VPN-IP-телефона. Получилось несколько хлопотно в плане провизионинга, зато высланный телефон работает даже из-за двойного НАТа откуда угодно. Получает внутренний ИП адрес местной сети, и строит туннель на внешний ИП адрес хоста, на которм только приёмная часть для VPN, а SIP - на внутреннем ИП адресе.

http://asterisk.ru/news/183

4. Телефоны Yealink сами имеют в себе Open VPN клиента,

Yealink IP Phones Compatible with VPN
OpenVPN is a remote-access VPN and is designed to work with the TUN/TAP virtual networking interface that exists on most platforms (e.g., Linux, Windows)

поэтому построить такую же концептуальную VPN сеть можно, для этого нужен Open VPN хаб - сервер, инсталляция которого описана на
support.yealink.com - Installing the OpenVPN Server - Yealink Support

[Zavr2008]

Можно IP-телефон прямо сам в порт роутера подключить, в этом случае можно легко контролировать ситуацию с маршрутизацией.
Еще некоторые чудят с EoIP, загоняя всех в виртуальный L2 бридж. Я не рекомендую.
OpenVPN клиент в телефонах - да, это гут. Но сервер надо настроить нормально, и явно не микротик (не умеет udp)..