SIP Telefonie Problem mit SRTP
2 years ago
Hallo in die Runde,
ich habe mal wieder ein Problem mit meinen SIP-Telefonen (Yealink T41S).
Grundeinstellungen:
- Registierung direkt beim Provider
- Verbindungsaufbau über DSN-NAPTR
- Verschlüsselung SRTP erzwungen
Mit diesen Einstellungen konnte ich die ganze Zeit problemlos telefonieren (Eingehend und Ausgehend).
Gestern wollte ich einen Verbindungsaufbau starten --> Fehlanzeige:
Einstellung der Verschlüsselung SRTP von "erzwungen" geändert auf "optional" --> Verbindungen wieder möglich (Eingehend und Ausgehend).
Und hier steige ich mit meinem Wissen aus. Ich habe es so verstanden, dass die Telekom Anfang letzten Jahres die Sicherheitseinstellungen so angepasst hatte, dass entweder alles verschlüsselt wird (Verbindungsaufbau [TLS] und der Mediastream [SRTP]), oder gar nichts (Verbindungsaufbau [UDP] und Mediastream [RTP]).
Ich habe mal mit Phonerlite etwas rumprobiert (bin jedoch kein Telefonie-Experte) und habe aus den Tests folgende Erkenntnisse gewonnen (die daraus resultierenden Schlüsse müssen jedoch nicht richtig sein).
- Registrierung Nummer 1234 in Phonerlite; Registierung nummer 5678 Yealink.
- Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP "erzwungen".
--> Ergebnis: Kein Verbindungsaufbau möglich
Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP "obligatorisch"
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird aber RTP/SAVP verwendet, was nach Recherchen im Internet auf eine Verschlüsselung des Mediastreams hinweist.
Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP deaktiviert
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird aber RTP/SAVP verwendet, was nach Recherchen im Internet auf eine Verschlüsselung des Mediastreams hinweist.
Phonerlite UDP und SRTP deaktiviert, Yealink UDP und SRTP deaktiviert
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird RTP/AVP verwendet, was nach Recherchen im Internet auf keine Verschlüsselung des Mediastreams hinweist.
Für mich sieht es als Laie danach aus, als wenn die Telekom die Verschlüsselung des Mediastreams unabhänig von den Einstellungen des Endgerätes vornimmt.
Kann hier jemand Licht ins Dunkel bringen? 😣
Danke euch und viele Grüße
Frank
4715
64
This could help you too
4 years ago
1706
0
1
1 year ago
170
0
2
693
0
2
310
0
1
2 years ago
@Frank-73
Ich nutze ein Yealink T46G, auch selbst registrierend. DNS-NAPTR, TLS preferred query, aber SRTP funktioniert hier auch nicht überall, besonders zu Telekom-Gegenstellen eher nicht. Momentan ist es deaktiviert bei mir. Könnte sein das die Telefone nicht mit dem Handling von MediaSec klar kommen.
2
Answer
from
2 years ago
DNS-NAPTR, TLS preferred query, aber SRTP funktioniert hier auch nicht überall, besonders zu Telekom-Gegenstellen eher nicht.
...ging mir 2022 auch so... derzeit "bintec be.ip Plus" mit SRTP und Mediasec und SIP per DNS-SRV und TLS absolut stabil... Aber igendwie aktuell wie "Russisch Roulette".
Kleiner Trost: Die Katastrophen bei "O2" und "Vodafone" sind unerreicht...
Answer
from
2 years ago
Ich komme damit klar, Festnetztelefon nutze ich äußerst selten, SIP over TLS ist stabil, SRTP halt deaktiviert.
Man kann SRTP in den Einstellungen auf Deaktiviert, Optional und Erzwungen einstellen, aber keinerlei Einstellmöglichkeiten zu den verwendeten Codecs.
Unlogged in user
Answer
from
2 years ago
Eher ein Thema fürs Yealink-Forum > Yealink Forums - T4x Series, oder?
Viele Grüße
Tho,as
13
Answer
from
2 years ago
Genau das verstehe ich nicht, da die Verbindung zwischen dem Server und dem Yealink schon verschlüsselt stattgefunden hat.
Hallo @Frank-73 ,
mir kommt das so vor, dass (auch) bei der Telekom manchmal "gewürfelt" wird:
Hier das aktuelle offizielle Dokumment: https://www.telekom.de/hilfe/downloads/1tr114.pdf
Hier meine Erfahrungen aus 03/2022: https://telekomhilft.telekom.de/t5/Alles-andere/VoSIP-MediaSec-obligatorisch/td-p/5636512
Mediasec: https://cpbx-hilfe.deutschland-lan.de/de/ratgeber-zur-konfiguration/spezialkonfigurationen/mediasec
SRTP/SAVP: https://manual.globaliptel.com/juggler/de/index.html?VerschlusselungSRTPTLS
MMn nur eine eine vollständige End-to-End-Verschlüsselung mit "RTP/SAVP".
Wenn du in einem Trace keine RTP-Audiodaten "hörst", ist der Sprachdatenstrom verschlüsselt.
Answer
from
2 years ago
@OlliD.IRQ8
Vielen Dank für die Infos.
Ich habe jetzt nochmals mit PhonerLite getestet und bei einem ausgehenden Anruf auf Yealink erschienen in PhonerLite diese Symbole:
Schloss: "SRTP"
TLS: "TLS"
Ich veliere so langsam den Glauben, da im Yealink "SRTP" deaktiviert ist
Ich habe mir noch Wireshark heruntergeladen. Wie kann ich sehen, ob ich RTP-Audiodaten "höre"?
Answer
from
2 years ago
Ich habe jetzt nochmals mit PhonerLite getestet und bei einem ausgehenden Anruf auf Yealink erschienen in PhonerLite diese Symbole:
Hallo @Frank-73 ,
leere mal vor dem initialen Verbindungsaufbau das Debug-Fenster von PhonerLite. Ist "SAVP" aktiviert? Die Option "Mediasec" erreichst du im Kontextmenü von "SRTP". Die Logeinträge im PhonerLite-Debugfenster markieren und in eine Textdatei kopieren und dann unpersonalisiert (relevante persönliche Daten entfernen oder durch Dummyeinträge ersetzen) hier oder in eine Cloud als Link mit PN an mich einstellen.
PhonerLite wird die Verschlüsselung "anbieten"; inwieweit das bis zum Ziel erfolgt, zeigt dann das Logfile.
Unlogged in user
Answer
from
2 years ago
Hi @Frank-73 ,
kannst du mir die Firmware Version von deinem Yealink Telefon nennen? Nur ein T41S oder hast du noch andere Telefone, die nicht funktionieren?
Ist es ein Magenta zuHause Anschluss?
Viele Grüße
Andy
43
Answer
from
2 years ago
Hallo @Frank-73 ,
für einen Versuch auch wenn du
Hallo @Frank-73 , Bitte stelle mal diese Screenshots der Yealink-Konfiguration ein: Security -- Trusted Certificates Security -- Server Certificates
Hallo @Frank-73 ,
Bitte stelle mal diese Screenshots der Yealink-Konfiguration ein:
Security -- Trusted Certificates
Security -- Server Certificates
noch nicht beantwortet hast...
Download Telekom-Zertifikate:
Deutsche Telekom AG | Corporate PKI
Konfiguration YEALINK (S. 12, zur Kontrolle):
Mögliche Einstellungen um einen Telekom Retail Anschluss direkt im Yealink IP-Telefon zu registrieren
Answer
from
2 years ago
Vorab erst mal vielen Dank, dass du mein Log durchgesehen hast. 👍
ist was für ein Endgerät/Softphone?
Das ist eine Mobilrufnummer.
Die Einstellungen aus deinem Link habe ich überprüft --> stimmen komplett mit dem letzten Punkt überein.
Anbei ein Anhang mit den Screenshots aus den Zertifikatseinstellungen.
Das Zertifikat auf dem Reiter "Benutzerdefiniertes CA" habe ich heute morgen importiert. Das "alte" wird im Reiter "Telefon CA" aufgelistet und ist 2019 abgelaufen (analog deinem Screenshot zu den Zertifikaten).
Das andere Zertifikat wird auf dem Reiter "Telefon CA" aufgelistet und steht an Pos. 55.
Zu Testzwecken habe ich nach dem Import des Zertifikats "SRTP" aktiviert und versucht eine Rufverbindung aufzubauen. Gleicher Fehler "Forbidden".
Yealink_Zertifikat.pdf
Answer
from
2 years ago
Hallo @Frank-73 ,
kannst noch einen Pcap-Trace erstellen (1) (2) (3) (4) (5) und diesen und das Syslog (7) sowie das Yealink-SIP-Log per PN über eine Cloud zum Download bereit stellen? Und alles "von Anfang an"; inkl. dem SIP-Register.
Siehe hier: Yealink Support
Auffällig: Das "403 Forbidden" kommt von einem anderen Telekom-DNS-Server:
Wenn die die Yealink-SIP-Registrierung dort nicht aktiv ist, dann ist das wohl die logische Folge.
Unlogged in user
Answer
from
2 years ago
Hi,
ich habe dasselbe Problem mit Softphones auf dem Mac, und ja, es liegt wie besprochen an der Kombination TLS mit SRTP (oder besser "nicht-SRTP" bei Telekom).
15:58:14.401 pjsua_core.c ....TX 620 bytes Response msg 488/INVITE/cseq=1 (tdta0x10e0164a8) to TLS 185.190.125.3:5061:
SIP/2.0 488 Not Acceptable Here
Ich hatte das Problem bislang nie, weil ich immer hinter einer PBX hing (wenn man den LANCOM oder die Fritte als solchen beszeichen möchte) und die offensichtlich das Protokoll anpassen, wohlwissentllich, dass das bei Telekom nicht funktioniert.
Aktuell habe ich einen SIP trunk bei peoplefone und die leiten alles ungefiltert und unverändert durch.
Das SIP-Protokoll selbst wird anhand des TLS verschlüsselt. Die Verschlüsselung der Tonübertragung mach das SRTP-Protokoll (unverschlüsselt heißt das RTP). Bei dieser Trennung der Verschlüsselungen ist es technisch möglich, dass der Nutzer TLS einschaltet (die Verschlüsselung von SIP) und denkt, dass alle Anrufe sicher sind. Aber der Server versucht dann eine unverschlüsselte Tonübertragung aufzubauen, was für den Nutzer total unsichtbar ist.
Meine Software erlaubt TLS / RPT nicht.
In diesem Fall gibt es zwei Lösungen. Entweder der Server muss auch den Ton verschlüsseln (SRTP nutzen). Oder der Account muss entweder mit TCP oder UDP für Transport (SIP) konfiguriert werden = unsicher.
Wo kann man erkennen, dass der Server einen unverschlüsselten Anruf aufbauen will?
m=audio 47634 RTP/AVP 109 104 110 9 102 108 8 0 105 100
Hier „RTP/AVP“ bedeutet „ohne“ und „RTP/SAVP“ würde „mit“ bedeuten.
SIP ist eine Wissenschaft für sich, es wäre aber total nett von Magenta, wenn sie sich irgendwo mal irgendwie äußern würden...
Bei Vodafone geht TLS/SRTP nämlich - andere (INEXIO, 1&1, DG konnte ich bislang aus Zeitgründen nicht testen )
2
Answer
from
2 years ago
Bei Vodafone geht TLS/SRTP nämlich
@ssc
Geht bei Magenta auch, also keine Ahnung, was Du uns mit Deinem Beitrag hier mitteilen willst.
Answer
from
2 years ago
Hallo @ssc,
hier habe ich weitere technische Informationen zum DeutschlandLAN SIP-Trunk.
Dort sind weitere Infos zu TLS/SRTP beschrieben.
Lieben Gruß, Melanie B.
Unlogged in user
Answer
from
Unlogged in user
Ask
from