SIP Telefonie Problem mit SRTP

vor 2 Jahren

Hallo in die Runde,

 

ich habe mal wieder ein Problem mit meinen SIP-Telefonen (Yealink T41S).

Grundeinstellungen:

- Registierung direkt beim Provider

- Verbindungsaufbau über DSN-NAPTR

- Verschlüsselung SRTP erzwungen

Mit diesen Einstellungen konnte ich die ganze Zeit problemlos telefonieren (Eingehend und Ausgehend).

 

Gestern wollte ich einen Verbindungsaufbau starten --> Fehlanzeige:

Einstellung der Verschlüsselung SRTP von "erzwungen" geändert auf "optional" --> Verbindungen wieder möglich (Eingehend und Ausgehend).

 

Und hier steige ich mit meinem Wissen aus. Ich habe es so verstanden, dass die Telekom Anfang letzten Jahres die Sicherheitseinstellungen so angepasst hatte, dass entweder alles verschlüsselt wird (Verbindungsaufbau [TLS] und der Mediastream [SRTP]), oder gar nichts (Verbindungsaufbau [UDP] und Mediastream [RTP]).

 

Ich habe mal mit Phonerlite etwas rumprobiert (bin jedoch kein Telefonie-Experte) und habe aus den Tests folgende Erkenntnisse gewonnen (die daraus resultierenden Schlüsse müssen jedoch nicht richtig sein).

 

- Registrierung Nummer 1234 in Phonerlite; Registierung nummer 5678 Yealink.

- Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP "erzwungen".

--> Ergebnis: Kein Verbindungsaufbau möglich

 

Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP "obligatorisch"

--> Verbindungsauf möglich

Lt. Phonerlite-Log wird aber RTP/SAVP verwendet, was nach Recherchen im Internet auf eine Verschlüsselung des Mediastreams hinweist.

 

Phonerlite TLS und SRTP, Yealink DNS-NAPTR und SRTP deaktiviert

--> Verbindungsauf möglich

Lt. Phonerlite-Log wird aber RTP/SAVP verwendet, was nach Recherchen im Internet auf eine Verschlüsselung des Mediastreams hinweist.

 

Phonerlite UDP und SRTP deaktiviert, Yealink UDP und SRTP deaktiviert

--> Verbindungsauf möglich

Lt. Phonerlite-Log wird RTP/AVP verwendet, was nach Recherchen im Internet auf keine Verschlüsselung des Mediastreams hinweist.

 

Für mich sieht es als Laie danach aus, als wenn die Telekom die Verschlüsselung des Mediastreams unabhänig von den Einstellungen des Endgerätes vornimmt.

 

Kann hier jemand Licht ins Dunkel bringen? 😣

 

Danke euch und viele Grüße

Frank

4574

64

  • 5 Sterne Mitgestalter

    vor 2 Jahren

    @Frank-73 

     

    Ich nutze ein Yealink T46G, auch selbst registrierend. DNS-NAPTR, TLS preferred query, aber SRTP funktioniert hier auch nicht überall, besonders zu Telekom-Gegenstellen eher nicht. Momentan ist es deaktiviert bei mir. Könnte sein das die Telefone nicht mit dem Handling von MediaSec klar kommen.

    2

    Antwort

    von

    vor 2 Jahren

    Ich komme damit klar, Festnetztelefon nutze ich äußerst selten, SIP over TLS ist stabil, SRTP halt deaktiviert.

     

    Man kann SRTP in den Einstellungen auf Deaktiviert, Optional und Erzwungen einstellen, aber keinerlei Einstellmöglichkeiten zu den verwendeten Codecs.

  • Community Guide

    vor 2 Jahren

    @Frank-73  schrieb:
    mal wieder ein Problem mit meinen SIP-Telefonen (Yealink T41S

    Eher ein Thema fürs Yealink-Forum > Yealink Forums - T4x Series, oder?

     

    Viele Grüße

    Tho,as

    13

    Antwort

    von

    vor 2 Jahren

    @Frank-73  schrieb:
    Ich habe jetzt nochmals mit PhonerLite getestet und bei einem ausgehenden Anruf auf Yealink erschienen in PhonerLite diese Symbole:

    Hallo @Frank-73 ,

    leere mal vor dem initialen Verbindungsaufbau das Debug-Fenster von PhonerLite. Ist "SAVP" aktiviert? Die Option "Mediasec" erreichst du im Kontextmenü von "SRTP". Die Logeinträge im PhonerLite-Debugfenster markieren und in eine Textdatei kopieren und dann unpersonalisiert (relevante persönliche Daten entfernen oder durch Dummyeinträge ersetzen) hier oder in eine Cloud als Link mit PN an mich einstellen.

    PhonerLite wird die Verschlüsselung "anbieten"; inwieweit das bis zum Ziel erfolgt, zeigt dann das Logfile.

  • 3 Sterne Mitglied

    vor 2 Jahren

    Hi @Frank-73 ,

     

    kannst du mir die Firmware Version von deinem Yealink Telefon nennen? Nur ein T41S oder hast du noch andere Telefone, die nicht funktionieren?

    Ist es ein Magenta zuHause Anschluss?

     

    Viele  Grüße

    Andy

    43

    Antwort

    von

    vor 2 Jahren

    Hallo @Frank-73 ,

    kannst noch einen Pcap-Trace erstellen (1) (2) (3) (4) (5) und diesen und das Syslog (7) sowie das Yealink-SIP-Log per PN über eine Cloud zum Download bereit stellen? Und alles "von Anfang an"; inkl. dem SIP-Register.

    OlliDIRQ8_0-1677939181639.png

    Siehe hier: Yealink Support

    Auffällig: Das "403 Forbidden" kommt von einem anderen Telekom-DNS-Server:

    OlliDIRQ8_1-1677940220405.png

    Wenn die die Yealink-SIP-Registrierung dort nicht aktiv ist, dann ist das wohl die logische Folge.

     

  • 1 Sterne Mitglied

    vor 2 Jahren

    Hi,

    ich habe dasselbe Problem mit Softphones auf dem Mac, und ja, es liegt wie besprochen an der Kombination TLS mit SRTP (oder besser "nicht-SRTP" bei Telekom).

    15:58:14.401 pjsua_core.c ....TX 620 bytes Response msg 488/INVITE/cseq=1 (tdta0x10e0164a8) to TLS 185.190.125.3:5061:
    SIP/2.0 488 Not Acceptable Here

     

    Ich hatte das Problem bislang nie, weil ich immer hinter einer PBX " href="https://telekomhilft.telekom.de/t5/Glossar/ PBX /ta-p/4400745#glossar" target="_blank"> PBX hing (wenn man den LANCOM oder die Fritte " href="https://telekomhilft.telekom.de/t5/Glossar/ Fritte /ta-p/6032012#glossar" target="_blank"> Fritte als solchen beszeichen möchte) und die offensichtlich das Protokoll anpassen, wohlwissentllich, dass das bei Telekom nicht funktioniert.

    Aktuell  habe ich einen SIP trunk bei peoplefone und die leiten alles ungefiltert und unverändert durch.

     

    Das SIP-Protokoll selbst wird anhand des TLS verschlüsselt. Die Verschlüsselung der Tonübertragung mach das SRTP-Protokoll (unverschlüsselt heißt das RTP). Bei dieser Trennung der Verschlüsselungen ist es technisch möglich, dass der Nutzer TLS einschaltet (die Verschlüsselung von SIP) und denkt, dass alle Anrufe sicher sind. Aber der Server versucht dann eine unverschlüsselte Tonübertragung aufzubauen, was für den Nutzer total unsichtbar ist.

     

    Meine Software erlaubt TLS / RPT nicht.

     

    In diesem Fall gibt es zwei Lösungen. Entweder der Server muss auch den Ton verschlüsseln (SRTP nutzen). Oder der Account muss entweder mit TCP oder UDP für Transport (SIP) konfiguriert werden = unsicher.

     

    Wo kann man erkennen, dass der Server einen unverschlüsselten Anruf aufbauen will?

    m=audio 47634 RTP/AVP 109 104 110 9 102 108 8 0 105 100

    Hier „RTP/AVP“ bedeutet „ohne“ und „RTP/SAVP“ würde „mit“ bedeuten.

     

    SIP ist eine Wissenschaft für sich, es wäre aber total nett von Magenta, wenn sie sich irgendwo mal irgendwie äußern würden...

    Bei Vodafone geht TLS/SRTP nämlich - andere (INEXIO, 1&1, DG konnte ich bislang aus Zeitgründen nicht testen )

     

    2

    Antwort

    von

    vor 2 Jahren

    Hallo @ssc,

     

    hier habe ich weitere technische Informationen zum DeutschlandLAN SIP-Trunk.

    Dort sind weitere Infos zu TLS/SRTP beschrieben. 

     

    Lieben Gruß, Melanie B. 

Das könnte Ihnen auch weiterhelfen

1 Sterne Mitglied

in  

1651

0

1

1 Sterne Mitglied

in  

118

0

2

1 Sterne Mitglied

in  

611

0

2

Gelöst

1 Sterne Mitglied

in  

297

0

1

1 Sterne Mitglied

in  

1939

0

1