---

@Boilermaker schrieb:

seit ca. 1 Woche funktioniert die Registrierung meines snom370 (mit Speedport W724V) nicht mehr.

Um welchen Speedport handelt es sich denn, klicke dazu auf den Link in Meiner Signatur und schaue oben unter Name des Gerätes.

Gruß Ulrich

Habe seit dem 05.05.2017 ähnliches Problem mit meinem Snom 370. Keine Anmeldung mehr.

Router ist eine ASUS DSL-AC68U. Telekom weis natürlich von nichts. Folgende Fehlermeldung:

May 13 21:17:21.625 [NOTICE] SIP: transaction timeout tcp/tls: 1001437

May 13 21:17:21.626 [NOTICE] SIP: Add dirty host: tls:217.0.20.212:5061 (0 sec)

May 13 21:17:21.698 [NOTICE] SIP: transaction timeout tcp/tls: 1001437

May 13 21:17:21.699 [NOTICE] SIP: Add dirty host: tls:217.0.3.228:5061 (0 sec)

May 13 21:17:21.773 [NOTICE] SIP: transaction timeout tcp/tls: 1001437

May 13 21:17:21.774 [ERROR ] SIP: final transaction timeout 1001437 (tls:217.0.3.244:5061 313532363032373035333530383131-6dmtvqg4kg2a)

May 13 21:17:21.775 [NOTICE] SIP: Add dirty host: tls:217.0.3.244:5061 (0 sec)

May 13 21:17:21.776 [NOTICE] SIP: final transport error: 1001437 -> tls:217.0.3.244:5061

May 13 21:17:21.777 [ERROR ] SIP: transport error 1001437: generating fake 597

Wer kann helfen??

---

Boilermaker schrieb: Wäre super, wenn jemand einen Tipp hat.

---

Danke für den Hinweis, dass der Speedport auch einen trace ziehen kann. Das Feature war mir neu.

Positiv ist, dass auf VDLS deutlich weniger Pakete verschickt werden als im LAN.

In wireshark habe ich gesehen, dass der SIP Server eine 'fatal' Fehlermeldung 'protocol version' zurück liefert.

D.h. im Mai 2018 ist es hier wohl zu einer Änderung der Protokollversion gekommen.

Nach meiner Beobachtung scheinen solche Änderungen alle paar Jahre aufzutreten...

Da mein VoIP Endgerät inzwischen nicht mehr weiter entwickelt wird, bleiben die Optionen

a) ein neues VoIP Endgerät anzuschaffen (regelmässig)

b) Nutzung eines VoIP PBX Service (monatliche Zusatzkosten) 
c) ein analoges Endgerät anzuschaffen (einmalig, geringer Funktionsumfang)
d) ein DECT Endgerät anzuschaffen (einmalig)

Hoffentlich bin ich nicht total zu spät:

Um ein Snom der 3er-Serie zu retten, könntest Du

Web-Interface → Setup → Identity → Login → Registrar: tel.t-online.de:5060

einstellen. Dadurch deaktivierst Du DNS-NAPTR und damit dann auch SIP-over-TLS. Weitere Alternativen findest Du in diesem Thread… Aber die hattest Du weitgehend schon selbst aufgezählt.

Ich habe daher mit openssl die Verbindung zu den SIP Servern mit explizit TLS v1 getestet:

  openssl s_client -starttls imap -tls1 -connect 217.0.3.228:5061 

erzeug[t] einen Verbindungsaufbau

Puh. Du hast da STARTTLS gemacht. Das geht bei E-Mail aber nicht bei SIP-over-TLS. Der korrekte Test-Befehl wäre:

$ openssl s_client -connect 217.0.20.212:5061 -tls1

Die Telekom hat nicht die Protokoll-Version geändert, sondern bietet seit Mai überhaupt erst die Variante „SIP-over-TLS“ an. Zusätzlich hat die Telekom einen DNS-NAPTR-Eintrag erstellt. Dadurch erkennt ein Snom-Telefon automatisch, dass es nun TLS statt UDP nutzen soll. Allerdings erlaubt die Telekom dieses TLS ausschließtlich in Version 1.2. Dein Telefon-Modell kann maximal TLS 1.0. Selbst wenn es könnte, das nächste Problem wären die SHA-2 basierten Zertifikate. Das kann ein Snom der 3er-Serie ebenfalls nicht. Selbst wenn Du ein neueres Snom hättest, das nächste Problem ist der Trust-Anchor…

TLS abschalten will ich nicht

Formulieren wir es anders herum: Du kannst die neu eingeführte Funktion „SIP-over-TLS“ mit Deinem Endgerät nicht nutzen. Warum die Telekom unbedingt TLS 1.2 plus DNS-SRV erfordert (und dann doch nur 1024 bit DH-Parameter nutzt), weiß auch nur die Telekom. Viele selbst aktuelle VoIP-Endgeräte können immer noch kein TLS 1.2, beispielsweise Gigaset PRO.