SIP Telefonie Problem mit SRTP
vor 2 Jahren
Hallo in die Runde,
ich habe mal wieder ein Problem mit meinen SIP-Telefonen (Yealink T41S).
Grundeinstellungen:
- Registierung direkt beim Provider
- Verbindungsaufbau über DSN-NAPTR
- Verschlüsselung SRTP erzwungen
Mit diesen Einstellungen konnte ich die ganze Zeit problemlos telefonieren (Eingehend und Ausgehend).
Gestern wollte ich einen Verbindungsaufbau starten --> Fehlanzeige:
Einstellung der Verschlüsselung SRTP von "erzwungen" geändert auf "optional" --> Verbindungen wieder möglich (Eingehend und Ausgehend).
Und hier steige ich mit meinem Wissen aus. Ich habe es so verstanden, dass die Telekom Anfang letzten Jahres die Sicherheitseinstellungen so angepasst hatte, dass entweder alles verschlüsselt wird (Verbindungsaufbau [TLS] und der Mediastream [SRTP]), oder gar nichts (Verbindungsaufbau [UDP] und Mediastream [RTP]).
Ich habe mal mit Phonerlite etwas rumprobiert (bin jedoch kein Telefonie-Experte) und habe aus den Tests folgende Erkenntnisse gewonnen (die daraus resultierenden Schlüsse müssen jedoch nicht richtig sein).
- Registrierung Nummer 1234 in Phonerlite; Registierung nummer 5678 Yealink.
- Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP "erzwungen".
--> Ergebnis: Kein Verbindungsaufbau möglich
Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP "obligatorisch"
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird aber RTP/SAVP verwendet, was nach Recherchen im Internet auf eine Verschlüsselung des Mediastreams hinweist.
Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP deaktiviert
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird aber RTP/SAVP verwendet, was nach Recherchen im Internet auf eine Verschlüsselung des Mediastreams hinweist.
Phonerlite UDP und SRTP deaktiviert, Yealink UDP und SRTP deaktiviert
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird RTP/AVP verwendet, was nach Recherchen im Internet auf keine Verschlüsselung des Mediastreams hinweist.
Für mich sieht es als Laie danach aus, als wenn die Telekom die Verschlüsselung des Mediastreams unabhänig von den Einstellungen des Endgerätes vornimmt.
Kann hier jemand Licht ins Dunkel bringen? 😣
Danke euch und viele Grüße
Frank
4734
64
Das könnte Ihnen auch weiterhelfen
vor 4 Jahren
1712
0
1
vor einem Jahr
177
0
2
vor 2 Jahren
710
0
2
311
0
1
vor 2 Jahren
@Frank-73
Ich nutze ein Yealink T46G, auch selbst registrierend. DNS-NAPTR, TLS preferred query, aber SRTP funktioniert hier auch nicht überall, besonders zu Telekom-Gegenstellen eher nicht. Momentan ist es deaktiviert bei mir. Könnte sein das die Telefone nicht mit dem Handling von MediaSec klar kommen.
2
Antwort
von
vor 2 Jahren
DNS-NAPTR, TLS preferred query, aber SRTP funktioniert hier auch nicht überall, besonders zu Telekom-Gegenstellen eher nicht.
...ging mir 2022 auch so... derzeit "bintec be.ip Plus" mit SRTP und Mediasec und SIP per DNS-SRV und TLS absolut stabil... Aber igendwie aktuell wie "Russisch Roulette".
Kleiner Trost: Die Katastrophen bei "O2" und "Vodafone" sind unerreicht...
Antwort
von
vor 2 Jahren
Ich komme damit klar, Festnetztelefon nutze ich äußerst selten, SIP over TLS ist stabil, SRTP halt deaktiviert.
Man kann SRTP in den Einstellungen auf Deaktiviert, Optional und Erzwungen einstellen, aber keinerlei Einstellmöglichkeiten zu den verwendeten Codecs.
Uneingeloggter Nutzer
Antwort
von
vor 2 Jahren
Eher ein Thema fürs Yealink-Forum > Yealink Forums - T4x Series, oder?
Viele Grüße
Tho,as
13
Antwort
von
vor 2 Jahren
Genau das verstehe ich nicht, da die Verbindung zwischen dem Server und dem Yealink schon verschlüsselt stattgefunden hat.
Hallo @Frank-73 ,
mir kommt das so vor, dass (auch) bei der Telekom manchmal "gewürfelt" wird:
Hier das aktuelle offizielle Dokumment: https://www.telekom.de/hilfe/downloads/1tr114.pdf
Hier meine Erfahrungen aus 03/2022: https://telekomhilft.telekom.de/t5/Alles-andere/VoSIP-MediaSec-obligatorisch/td-p/5636512
Mediasec: https://cpbx-hilfe.deutschland-lan.de/de/ratgeber-zur-konfiguration/spezialkonfigurationen/mediasec
SRTP/SAVP: https://manual.globaliptel.com/juggler/de/index.html?VerschlusselungSRTPTLS
MMn nur eine eine vollständige End-to-End-Verschlüsselung mit "RTP/SAVP".
Wenn du in einem Trace keine RTP-Audiodaten "hörst", ist der Sprachdatenstrom verschlüsselt.
Antwort
von
vor 2 Jahren
@OlliD.IRQ8
Vielen Dank für die Infos.
Ich habe jetzt nochmals mit PhonerLite getestet und bei einem ausgehenden Anruf auf Yealink erschienen in PhonerLite diese Symbole:
Schloss: "SRTP"
TLS: "TLS"
Ich veliere so langsam den Glauben, da im Yealink "SRTP" deaktiviert ist
Ich habe mir noch Wireshark heruntergeladen. Wie kann ich sehen, ob ich RTP-Audiodaten "höre"?
Antwort
von
vor 2 Jahren
Ich habe jetzt nochmals mit PhonerLite getestet und bei einem ausgehenden Anruf auf Yealink erschienen in PhonerLite diese Symbole:
Hallo @Frank-73 ,
leere mal vor dem initialen Verbindungsaufbau das Debug-Fenster von PhonerLite. Ist "SAVP" aktiviert? Die Option "Mediasec" erreichst du im Kontextmenü von "SRTP". Die Logeinträge im PhonerLite-Debugfenster markieren und in eine Textdatei kopieren und dann unpersonalisiert (relevante persönliche Daten entfernen oder durch Dummyeinträge ersetzen) hier oder in eine Cloud als Link mit PN an mich einstellen.
PhonerLite wird die Verschlüsselung "anbieten"; inwieweit das bis zum Ziel erfolgt, zeigt dann das Logfile.
Uneingeloggter Nutzer
Antwort
von
vor 2 Jahren
Hi @Frank-73 ,
kannst du mir die Firmware Version von deinem Yealink Telefon nennen? Nur ein T41S oder hast du noch andere Telefone, die nicht funktionieren?
Ist es ein Magenta zuHause Anschluss?
Viele Grüße
Andy
43
Antwort
von
vor 2 Jahren
Dann wäre der "stg010-l01-mav-pc-rt-001.edns.t-ipnet.de", welcher "MediaSec" obligatorisch verlangt.
Ich würde mal behaupten, der ist nur für udp zuständig.
Da ist MediaSec und SRTP sinnlos.
Antwort
von
vor 2 Jahren
Ich würde mal behaupten, der ist nur für udp zuständig.
Nach der IP-Auflösung und Port 5060: ja...
Da ist MediaSec und SRTP sinnlos.
...dann auch: ja.
Antwort
von
vor 2 Jahren
@Micknik
Weil es mich interessiert hat habe ich es gerade mal mit einem anderen, als meinem normalerweise zugewiesenem Cloud Server probiert, nämlich dem kln000-l01-mav-pc-rt-001.edns.t-ipnet.de
Habe dies mal nachgestellt --> Funktioniert bei mir dann auch.
Uneingeloggter Nutzer
Antwort
von
vor 2 Jahren
Hi,
ich habe dasselbe Problem mit Softphones auf dem Mac, und ja, es liegt wie besprochen an der Kombination TLS mit SRTP (oder besser "nicht-SRTP" bei Telekom).
15:58:14.401 pjsua_core.c ....TX 620 bytes Response msg 488/INVITE/cseq=1 (tdta0x10e0164a8) to TLS 185.190.125.3:5061:
SIP/2.0 488 Not Acceptable Here
Ich hatte das Problem bislang nie, weil ich immer hinter einer PBX hing (wenn man den LANCOM oder die Fritte als solchen beszeichen möchte) und die offensichtlich das Protokoll anpassen, wohlwissentllich, dass das bei Telekom nicht funktioniert.
Aktuell habe ich einen SIP trunk bei peoplefone und die leiten alles ungefiltert und unverändert durch.
Das SIP-Protokoll selbst wird anhand des TLS verschlüsselt. Die Verschlüsselung der Tonübertragung mach das SRTP-Protokoll (unverschlüsselt heißt das RTP). Bei dieser Trennung der Verschlüsselungen ist es technisch möglich, dass der Nutzer TLS einschaltet (die Verschlüsselung von SIP) und denkt, dass alle Anrufe sicher sind. Aber der Server versucht dann eine unverschlüsselte Tonübertragung aufzubauen, was für den Nutzer total unsichtbar ist.
Meine Software erlaubt TLS / RPT nicht.
In diesem Fall gibt es zwei Lösungen. Entweder der Server muss auch den Ton verschlüsseln (SRTP nutzen). Oder der Account muss entweder mit TCP oder UDP für Transport (SIP) konfiguriert werden = unsicher.
Wo kann man erkennen, dass der Server einen unverschlüsselten Anruf aufbauen will?
m=audio 47634 RTP/AVP 109 104 110 9 102 108 8 0 105 100
Hier „RTP/AVP“ bedeutet „ohne“ und „RTP/SAVP“ würde „mit“ bedeuten.
SIP ist eine Wissenschaft für sich, es wäre aber total nett von Magenta, wenn sie sich irgendwo mal irgendwie äußern würden...
Bei Vodafone geht TLS/SRTP nämlich - andere (INEXIO, 1&1, DG konnte ich bislang aus Zeitgründen nicht testen )
2
Antwort
von
vor 2 Jahren
Bei Vodafone geht TLS/SRTP nämlich
@ssc
Geht bei Magenta auch, also keine Ahnung, was Du uns mit Deinem Beitrag hier mitteilen willst.
Antwort
von
vor 2 Jahren
Hallo @ssc,
hier habe ich weitere technische Informationen zum DeutschlandLAN SIP-Trunk.
Dort sind weitere Infos zu TLS/SRTP beschrieben.
Lieben Gruß, Melanie B.
Uneingeloggter Nutzer
Antwort
von
Uneingeloggter Nutzer
Frage
von