An unserem DeutsclandLAN IP Data/Voice Anschluß funktioniert jetzt auch SRTP.

Wichtig ist neben der 1TR114 Amendment 2, RFC3329 und insbeondere "Security Mechanism Names for Media, draft-dawes-dispatch-mediasec-parameter-07.txt" zu berücksichtigen, d.h.

im REGISTER muss der Header Field Parameter mediasec stehen:

Security-Client: sdes-srtp;mediasec
Require: mediasec
Proxy-Require: mediasec

Der Server antwortet dann mit:

Security-Server: msrp-tls;mediasec
Security-Server: sdes-srtp;mediasec
Security-Server: dtls-srtp;mediasec

Nach Authorisierung sendet dann das REGISTER

Security-Verify: msrp-tls;mediasec
Security-Verify: sdes-srtp;mediasec
Security-Verify: dtls-srtp;mediasec

In einem ankommenden INVITE steht dann u.a.:

m=audio 21570 RTP/SAVP 8 0 101
a=ptime:20
a=3ge2ae:applied
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:.......................
a=crypto:2 AES_CM_128_HMAC_SHA1_32 inline:.......................

was wir im OK mit

m=audio 18092 RTP/SAVP 8 101
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:......................
beantworten.

Ich klink mich hier mal ein, da ich als Betreiber einer/mehrerer Asterisk Telefonanlagen das selbe Problem habe.

1) SRTP hat noch nie funktioniert, egal. was ich probiert hab

2) seit ca. 2 Monaten werden Anfragen an tel.t-online.de auf Port 5061 (TCP/TLS) nicht mehr abgewiesen, dh. ein Teil passt(e) soweit

3) seit 27.07.2018, 02:11 bekomm ich ueber TLS nichts mehr zustande, d.h. nach einem Restart der Asterisk Anlage dauert es nicht wie sonst wenige Sekunden bis die Nummern registriert sind, sondern es werden erstmal alle Nummer abgewiesen. Innerhalb der naechsten 10 Minuten schaffen es dann alle sich zu registrieren, aber Telefonieren klappt weder mit "media_encryption = sdes" noch ohne. Erst wenn alles wieder ueber UDP laeuft, werden Nummern sofort registriert und Gespraeche sind moeglich.

Leider hat mir keinerlei telefon. Auskunft geholfen...weder ob nun SRTP moeglich ist oder nicht, warum die Verbindung ueber TLS zickt, obs Aenderungen auf den Telekomservern gab, etc. Vllt. finde ich ja hier die Informationen, die zum Betrieb benoetigt werden.

@uturn:

Bitte beachte den letzten Beitrag von @wdersch. Asterisk besitzt in der derzeit aktuellsten Version nicht die Funktionalitäten zum Setzen der benötigten Header-Parameter. Entsprechend wäre Entwicklungsaufwand notwendig um den Anforderungen der Telekom für SRTP gerecht zu werden. Nutzung von SIPoTLS ohne SRTP ist problemlos nötig – achte dabei auf die richtige Nutzung der SRV-Records.

1) danke. Das mit SRTP und Asterisk hatte ich ueberlesen

2) sowohl SIPoUDP, als auch SIPoTLS gingen/gehen seit Monaten problemlos und jetzt - ohne jegliche Aenderungen auf meiner Seite - nicht mehr. Was genau hat das mit korrekten SRV records zu tun und was muss ich einstellen?

Zu 2)

Das Problem kann ich nun nachvollziehen. Folgende drei Server werden für SIPoTLS aufgelöst, wobei s-eps-608.edns.t-ipnet.de nicht erreichbar ist und auf keine SIP-Requests reagiert. Alle anderen Server sind erreichbar und funktionieren wie gewohnt.

$ host -t SRV _sips._tcp.tel.t-online.de.
_sips._tcp.tel.t-online.de has SRV record 30 0 5061 h2-eps-608.edns.t-ipnet.de.
_sips._tcp.tel.t-online.de has SRV record 10 0 5061 s-eps-608.edns.t-ipnet.de.
_sips._tcp.tel.t-online.de has SRV record 20 0 5061 d-eps-608.edns.t-ipnet.de.

---

@DanielYK  schrieb:

Zu 2)

Das Problem kann ich nun nachvollziehen. Folgende drei Server werden für SIPoTLS aufgelöst, wobei s-eps-608.edns.t-ipnet.de nicht erreichbar ist und auf keine SIP-Requests reagiert. Alle anderen Server sind erreichbar und funktionieren wie gewohnt.

 

---

Was aber überhaupt kein Problem ist. Genau deswegen wird ja mit SRV records gearbeitet um solche Ausfälle problemlos kompensieren zu können. Die drei Server haben entsprechende Prioritäten und wenn einer nicht funktioniert wird der mit der nächst höchsten Priorität verwendet, ganz einfach.

Meine Digitalisierungsbox hat damit keine Probleme.

An Stelle von s-eps-608.edns.t-ipnet.de benutzt sie jetzt

d-eps-608.edns.t-ipnet.de.

---

@wdersch  schrieb:

An unserem DeutsclandLAN IP Data/Voice Anschluß funktioniert jetzt auch SRTP.

Wichtig ist neben der 1TR114 Amendment 2, RFC3329 und insbeondere "Security Mechanism Names for Media, draft-dawes-dispatch-mediasec-parameter-07.txt" zu berücksichtigen, d.h.

im REGISTER muss der Header Field Parameter mediasec stehen:

Security-Client: sdes-srtp;mediasec
Require: mediasec
Proxy-Require: mediasec

 

---

Ich habe mir das Dokument angesehen (draft-dawes-dispatch-mediasec-parameter-07). Zum einen ist es NUR ein Draft, zum anderen ist es seit 04.04.2014 expired.

Internet Engineering Task Force                                 P. Dawes
Internet-Draft                                            Vodafone Group
Intended status: Informational                          October 01, 2013
Expires: April 04, 2014

Es wäre also schick, wenn SRTP ganz einfach, wie überall auf dieser Welt, unter Berücksichtigung von RFC3329 möglich wäre.

Viele Grüße

Claus

Für die Digiboxen gibt es jetzt die Version 10.2.01.104 und damit funktioniert auch SRTP mit einem Magenta Tarif.

Beim SIP Provider muss man dafür die neue Option "MediaSec" aktivieren.