Cloud PBX - Nomadische Nutzung an drittem Telekom-Anschluss nur nutzbar, wenn Verschlüsselung explizit aktiviert
5 years ago
Ein Kollege konfrontierte mich mit einem interessanten Problem, nachdem er aus aktuellem Anlass begonnen hat, von zu Hause aus zu arbeiten: Der auf seinem Rechner installierten Desktop-Client der Cloud PBX zeigte nach dem Anmelden die Fehlermeldung "Anrufe nicht verfügbar." an. Andere Kollegen hatten bei sich zu Hause dieses Problem bisher nicht. Ich prüfte die "üblichen Verdächtigen" wie seine Routereinstellungen, die Windows-Firewall, etc.. Nach einigem Suchen stellte sich jedoch heraus, dass der Client offenbar versuchte, eine unverschlüsselte Verbindung aufzubauen (auf Transportebene). Ich stellte daraufhin in den Standort-Einstellungen ein, dass die Verschlüsselung immer aktiviert sein soll (nach einer Neueinrichtung der CPBX war dieser Einstellung wieder auf den Standard-Wert "Aus" zurückgesetzt worden). Nach erneuter Anmeldung baute der Client dann eine TLS-verschlüsselte SIP-Verbindung auf und die Telefonie war wieder möglich. Nun stellen sich mir drei Fragen:
1. An Fremd-Anschlüssen (die nicht zu dem CPBX -Vertrag gehören) sollte die Verschlüsselung doch eigentlich immer aktiviert sein, auch wenn die entsprechende Option in den Standorteinstellungen deaktivert ist. So steht es zumindest in deren Beschreibung:
"Bei ausgeschalteter Funktion ist am Telekom Anschluss die Verschlüsselung deaktiviert, an allen anderen Internetanschlüssen jedoch weiterhin verschlüsselt."
Die obligatorische Verschlüsselung scheint allerdings nur für andere Anschlüsse zu gelten, die auch bei anderen Anbietern geschaltet sind. In diesem Fall war es zwar nicht der (zur CPBX gehörige) Firmen-Anschluss, aber dennoch ein Telekom-Anschluss. Offenbar wurde deshalb vom Client trotzdem eine unverschlüsselten SIP-Anmeldung versucht, die aber dennoch ausschließlich von dem zum CPBX -Vertrag gehörenden Anschluss möglich zu sein scheint (was ja auch gut ist) und deshalb scheiterte. Bei Anschlüssen anderer Anbieter ergab sich das Problem nicht; hier wurde von vorneherein immer eine verschlüsselte Verbindung aufgebaut. Steuert die Einstellung das Verhalten des Desktop-Client bei der SIP-Registrierung und unterscheidet dabei möglicherweise nur nach Telekom- und Nicht-Telekom-Anschluss, aber nicht nach "gehört zum selben Vertrag" oder "gehört nicht zum selben Vertrag"?
2. Obwohl nun die Verschlüsselung eigentlich auch am eigenen Anschluss immer erzwungen werden sollte, scheint es trotzdem noch immer möglich zu sein, sich weiterhin unverschlüsselt anzumelden. Dies ist für zwei nicht offiziell unterstützte Endgeräte notwendig, da diese sich nicht verschlüsselt anmelden können. Kann es also sein, dass die Aktivierung bzw. Deaktivierung der Verschlüsselung in den Standorteinstellungen grundsätzlich nur für den Desktop-Client greift?
3. Weshalb ist die Verschlüsselung überhaupt standardmäßig deaktiviert (außer bei nomadischen Nutzung)? Es würde doch reichen, wenn man sie zwar (etwa zu Testzwecken) deaktivieren könnte, sie aber im Auslieferungszustand aktiviert wäre.
930
5
This could help you too
906
0
16
1857
0
3
520
0
3
5 years ago
ich habe Ihre Fragen an unsere Cloud PBX Profis weitergeleitet.
Bitte haben Sie etwas Geduld. Ich leite die Antwort so schnell wie möglich an Sie weiter.
Viele Grüße
Kerstin Si.
0
5 years ago
ich habe die Antworten auf Ihre Fragen für Sie:
zu 1): Egal ob am eigenen Cloud- PBX Anschluss oder an anderen Telekom Anschlüssen (Es gibt ein paar Ausnahmen bei besonderen Geschäftskunden- oder T-Systems Anschlüssen) wird im Standard immer unverschlüsselt übertragen (SIP-Messages wie auch Gesprächsdaten). Da wir als Telekom innerhalb unseres Festnetzes Daten nicht über das allgemeine Internet transportieren, sind die Daten auch unverschlüsselt in unserem Netz sicher (Telekom Backbone).
Nur am Fremdaccess wird immer verschlüsselt übertragen, das kann auch nicht in der Cloud PBX deaktiviert werden.
zu 2): Die Verschlüsselung kann in der Konfiguration Cloud PBX dauerhaft aktiviert werden. Das hängt dann aber nicht mit Anschlusseinstellungen, sondern mit der Cloud PBX zusammen. Dann wird an jedem Anschluss, auch am gebuchtem Cloud PBX Anschluss und bei internen Anrufen verschlüsselt.
zu 3): Weil bei der Nutzung eines Telekom Access (mit Ausnahmen bei besonderen Geschäftskunden- oder T-Systems Anschlüssen) alle Übertragungen sicher sind. Am nicht Telekom Access (Fremdaccess) wird immer verschlüsselt. Dieses Verhalten ist standardmäßig gesetzt. Nomadische Nutzung bedeutet nur, das das Endgerät sich weltweit registrieren lässt.
Ich hoffe, dies hat Ihnen weiter geholfen.
Viele Grüße
Kerstin Si.
3
Answer
from
5 years ago
Hallo @Kerstin Si. ,
vielen Dank für die aufschlussreichen Erläuterungen!
Es bleibt nur die Frage, weshalb die beiden Endgeräte sich weiterhin unverschlüsselt anmelden und Sprachdaten übertragen können, obwohl die Verschlüsselung dauerhaft auch am eigenen Anschluss aktiviert wurde. Es handelt sich um ein SIP-fähiges schnurloses Telefon sowie einen VoIP-Adapter, an dem ein analoges Faxgerät angeschlossen ist. Zudem habe ich es gerade noch einmal mit der Software PhonerLite ausprobiert. Registrierung und Telefonie sind ohne Verschlüsselung möglich.
Answer
from
5 years ago
@SAMFS
Weil diese Geräte vermutlich nicht die MediaSec Erweiterungen unterstützen. Wenn mit dieser Einstellung die Verschlüsselung obligatorisch wäre, könntest Du diese Geräte gar nicht benutzen.
Answer
from
5 years ago
@Micknik Exakt, genau so ist es. Deshalb kann ich auch mein snom 710 nicht (mehr) von meinem heimischen o2-Anschluss benutzen.
Allerdings würde ich davon ausgehen, dass eine Verschlüsselung erzwungen wird, wenn diese Einstellung aktiviert ist. Mit offiziell unterstützten Endgeräten würde es dann ja auch funktionieren. Und dass die nicht unterstützten Geräte dann nicht mehr funktionieren würde ich eigentlich erwarten, um zu verhindern, dass noch irgendwelche unverschlüsselte Kommunikation stattfinden kann. Offensichtlich ist dem jedoch nicht so. Also eigentlich habe ich auch nur nachgefragt, um ggf. von offizieller Seite bestätigt zu bekommen, dass dies so ist oder ob es möglicherweise gar ein Bug ist
Unlogged in user
Answer
from
Unlogged in user
Ask
from