Если телефон не имеет встроенного VPN клиента, значит подключение к VPN будет обеспечивать другая железка.  Вот и всё.

Управление переадресацией, сигнализации телефонии

Простой инструмент для офисных сотрудников
Тз описано

дайте ваше ТЗ, интересно посмотреть

Чем freepbx не устраивает?

В контексте удалённой работы сотрудников, которую следует рассматривать комплексно, а не телефония отдельно, электронная почта отдельно и всё прочее тоже по отдельности.

Нужен простой инструмент
Не такой громоздкий+ свой функционал

Где тут что то про удалённых сотрудников?
Это те которые отдельные? Как  должны были понять что они удалённые?
Ну это так. Откуда непонимание идет

На уровне офисной IP АТС есть решение гораздо более простое и хорошо себя зарекомендовавшее.   Настроить несколько взаимовложенных уровней доступа: 1. разрешены вызовы только внутри АТС,  2. предыдущий + город. 3. предыдущий + мобильные, 4, предыдущий + междугородные в пределах страны, 5. предыдущий + международные в заранее заданные страны.   Платные вызовы типа 809, 803 и т.п. запрещены для всех, при попытке туда позвонить соединяет с автоинформатором который объясняет почему туда звонить нельзя,  разрешены только бесплатные 800 и 804 .  Доступ к учтёным записям разрешён только с ip-адресов локальной сети, кроме отдельных учётных записей без доступа к межгороду.   Это защищает и от обмана с попытками дать платный номер в качестве контактного и от злоупотребления сотрудников и от попыток налить международный трафик через скомпрометированную учётную запись.   За 15 лет не было ни одного инцидента, хотя попытки атак идут постоянно.

Так в фряшке модули поотключать.

если не нужен лишний функционал + можно свои дописать, если уже речь идет о разработке

Про удалённых абонентов было потом, тут в основном про то что внутри офиса.

И да, у нас были учётки доступные и по VPN и по открытому SIP из интернета, без межгорода (он там не нужен)

А внутри то что и от кого защищать? Если сеть построена грамотно, то все решается на уровне файрволла. Все телефоны ессно в отдельном влане.

Файрвол не защитит от невнимательных людей, которым дали контактный номер телефона в коде 809 или что-нибудь в этом роде.

про настройку маршрутов в самом астере речи не было) Ну по крайней мере я не увидел. Зашел в момент обсуждения подключений)

Как раз рассказывалось, что у провайдера взломанный клиент - это проблема провайдера.

Есть такие клиенты, которым легче обанкротиться, чем выплатить провайдеру $$$

Потому в конечном итоге такого рода фрод- головняк прова на сторое иницииации вызова. Т.к. у него есть обязательства , а у абонента их нет.

Зачем?

Если и делать обёртку, то не для freepbx, а для голого астериска, это будет проще, надёжнее и гораздо меньше нагрузки на сервер(если будет вебморда), чем поверх одного интерфейса ещё один лепить. А так впринципе это возможно, только нужно смотреть get/post запросы которыми оперирует freepbx и набросать софт который будет отправлять эти запросы и обрабатывать ответы, все просто если знать, но другое дело сколько там подводных камней будет

Принцип белого списка можно было бы реализовать и у провайдера:  по умолчанию абоненту предоставляются местные исходящие вызовы, если потребовались другие направления — абонент их должен отдельно включить в личном кабинете пароль от которого не совпадает с паролем на SIP.  Таким образом, абоненту доступен закрытый список только тех направлений которые реально используются.

Это избавляет от неумышленных случаев, типа взлом учётки у провайдера, взлом астериск у абонента, либо злоупотреблений третьих лиц имеющих доступ к телефонному аппарату.

Это не должно создавать неудобств абоненту, т.к. те направления которые реально используются, очень редко совпадают с теми направлениями по которым наливают платный трафик через взломанные учётки.  Поэтому их можно изначально не включать.