Die Telekom hilft Community zieht um und ist bis zum 8. Januar 2025 nur eingeschränkt zugänglich.
SIP Telefonie Problem mit SRTP
vor 2 Jahren
Hallo in die Runde,
ich habe mal wieder ein Problem mit meinen SIP-Telefonen (Yealink T41S).
Grundeinstellungen:
- Registierung direkt beim Provider
- Verbindungsaufbau über DSN-NAPTR
- Verschlüsselung SRTP erzwungen
Mit diesen Einstellungen konnte ich die ganze Zeit problemlos telefonieren (Eingehend und Ausgehend).
Gestern wollte ich einen Verbindungsaufbau starten --> Fehlanzeige:
Einstellung der Verschlüsselung SRTP von "erzwungen" geändert auf "optional" --> Verbindungen wieder möglich (Eingehend und Ausgehend).
Und hier steige ich mit meinem Wissen aus. Ich habe es so verstanden, dass die Telekom Anfang letzten Jahres die Sicherheitseinstellungen so angepasst hatte, dass entweder alles verschlüsselt wird (Verbindungsaufbau [TLS] und der Mediastream [SRTP]), oder gar nichts (Verbindungsaufbau [UDP] und Mediastream [RTP]).
Ich habe mal mit Phonerlite etwas rumprobiert (bin jedoch kein Telefonie-Experte) und habe aus den Tests folgende Erkenntnisse gewonnen (die daraus resultierenden Schlüsse müssen jedoch nicht richtig sein).
- Registrierung Nummer 1234 in Phonerlite; Registierung nummer 5678 Yealink.
- Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP "erzwungen".
--> Ergebnis: Kein Verbindungsaufbau möglich
Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP "obligatorisch"
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird aber RTP/SAVP verwendet, was nach Recherchen im Internet auf eine Verschlüsselung des Mediastreams hinweist.
Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP deaktiviert
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird aber RTP/SAVP verwendet, was nach Recherchen im Internet auf eine Verschlüsselung des Mediastreams hinweist.
Phonerlite UDP und SRTP deaktiviert, Yealink UDP und SRTP deaktiviert
--> Verbindungsauf möglich
Lt. Phonerlite-Log wird RTP/AVP verwendet, was nach Recherchen im Internet auf keine Verschlüsselung des Mediastreams hinweist.
Für mich sieht es als Laie danach aus, als wenn die Telekom die Verschlüsselung des Mediastreams unabhänig von den Einstellungen des Endgerätes vornimmt.
Kann hier jemand Licht ins Dunkel bringen? 😣
Danke euch und viele Grüße
Frank
4574
0
64
Akzeptierte Lösungen
Alle Antworten
Sortieren
Älteste zuerst
Neueste zuerst
Älteste zuerst
Autor
Das könnte Ihnen auch weiterhelfen
vor 4 Jahren
1651
0
1
vor 9 Monaten
118
0
2
vor 2 Jahren
611
0
2
297
0
1
vor 4 Jahren
1939
0
1
fdi
5 Sterne Mitgestalter
vor 2 Jahren
@Frank-73
Ich nutze ein Yealink T46G, auch selbst registrierend. DNS-NAPTR, TLS preferred query, aber SRTP funktioniert hier auch nicht überall, besonders zu Telekom-Gegenstellen eher nicht. Momentan ist es deaktiviert bei mir. Könnte sein das die Telefone nicht mit dem Handling von MediaSec klar kommen.
0
2
Ältere Kommentare anzeigen
fdi
Antwort
von
fdi
vor 2 Jahren
Ich komme damit klar, Festnetztelefon nutze ich äußerst selten, SIP over TLS ist stabil, SRTP halt deaktiviert.
Man kann SRTP in den Einstellungen auf Deaktiviert, Optional und Erzwungen einstellen, aber keinerlei Einstellmöglichkeiten zu den verwendeten Codecs.
1
teezeh
Community Guide
vor 2 Jahren
Eher ein Thema fürs Yealink-Forum > Yealink Forums - T4x Series, oder?
Viele Grüße
Tho,as
0
13
Ältere Kommentare anzeigen
OlliD.IRQ8
Antwort
von
teezeh
vor 2 Jahren
Hallo @Frank-73 ,
leere mal vor dem initialen Verbindungsaufbau das Debug-Fenster von PhonerLite. Ist "SAVP" aktiviert? Die Option "Mediasec" erreichst du im Kontextmenü von "SRTP". Die Logeinträge im PhonerLite-Debugfenster markieren und in eine Textdatei kopieren und dann unpersonalisiert (relevante persönliche Daten entfernen oder durch Dummyeinträge ersetzen) hier oder in eine Cloud als Link mit PN an mich einstellen.
PhonerLite wird die Verschlüsselung "anbieten"; inwieweit das bis zum Ziel erfolgt, zeigt dann das Logfile.
0
Andy_80
3 Sterne Mitglied
vor 2 Jahren
Hi @Frank-73 ,
kannst du mir die Firmware Version von deinem Yealink Telefon nennen? Nur ein T41S oder hast du noch andere Telefone, die nicht funktionieren?
Ist es ein Magenta zuHause Anschluss?
Viele Grüße
Andy
0
43
Ältere Kommentare anzeigen
OlliD.IRQ8
Antwort
von
Andy_80
vor 2 Jahren
Hallo @Frank-73 ,
kannst noch einen Pcap-Trace erstellen (1) (2) (3) (4) (5) und diesen und das Syslog (7) sowie das Yealink-SIP-Log per PN über eine Cloud zum Download bereit stellen? Und alles "von Anfang an"; inkl. dem SIP-Register.
Siehe hier: Yealink Support
Auffällig: Das "403 Forbidden" kommt von einem anderen Telekom-DNS-Server:
Wenn die die Yealink-SIP-Registrierung dort nicht aktiv ist, dann ist das wohl die logische Folge.
0
ssc
1 Sterne Mitglied
vor 2 Jahren
Hi,
ich habe dasselbe Problem mit Softphones auf dem Mac, und ja, es liegt wie besprochen an der Kombination TLS mit SRTP (oder besser "nicht-SRTP" bei Telekom).
15:58:14.401 pjsua_core.c ....TX 620 bytes Response msg 488/INVITE/cseq=1 (tdta0x10e0164a8) to TLS 185.190.125.3:5061:
SIP/2.0 488 Not Acceptable Here
Ich hatte das Problem bislang nie, weil ich immer hinter einer PBX " href="https://telekomhilft.telekom.de/t5/Glossar/ PBX /ta-p/4400745#glossar" target="_blank"> PBX hing (wenn man den LANCOM oder die Fritte " href="https://telekomhilft.telekom.de/t5/Glossar/ Fritte /ta-p/6032012#glossar" target="_blank"> Fritte als solchen beszeichen möchte) und die offensichtlich das Protokoll anpassen, wohlwissentllich, dass das bei Telekom nicht funktioniert.
Aktuell habe ich einen SIP trunk bei peoplefone und die leiten alles ungefiltert und unverändert durch.
Das SIP-Protokoll selbst wird anhand des TLS verschlüsselt. Die Verschlüsselung der Tonübertragung mach das SRTP-Protokoll (unverschlüsselt heißt das RTP). Bei dieser Trennung der Verschlüsselungen ist es technisch möglich, dass der Nutzer TLS einschaltet (die Verschlüsselung von SIP) und denkt, dass alle Anrufe sicher sind. Aber der Server versucht dann eine unverschlüsselte Tonübertragung aufzubauen, was für den Nutzer total unsichtbar ist.
Meine Software erlaubt TLS / RPT nicht.
In diesem Fall gibt es zwei Lösungen. Entweder der Server muss auch den Ton verschlüsseln (SRTP nutzen). Oder der Account muss entweder mit TCP oder UDP für Transport (SIP) konfiguriert werden = unsicher.
Wo kann man erkennen, dass der Server einen unverschlüsselten Anruf aufbauen will?
m=audio 47634 RTP/AVP 109 104 110 9 102 108 8 0 105 100
Hier „RTP/AVP“ bedeutet „ohne“ und „RTP/SAVP“ würde „mit“ bedeuten.
SIP ist eine Wissenschaft für sich, es wäre aber total nett von Magenta, wenn sie sich irgendwo mal irgendwie äußern würden...
Bei Vodafone geht TLS/SRTP nämlich - andere (INEXIO, 1&1, DG konnte ich bislang aus Zeitgründen nicht testen )
0
2
Ältere Kommentare anzeigen
Melanie B.
Antwort
von
ssc
vor 2 Jahren
Hallo @ssc,
hier habe ich weitere technische Informationen zum DeutschlandLAN SIP-Trunk.
Dort sind weitere Infos zu TLS/SRTP beschrieben.
Lieben Gruß, Melanie B.
0