Verschlüsselte Telefonie (SRTP/TLS) mit CSipSimple Android klappt nicht so richtig

w-sky

Neuer User
Mitglied seit
20 Aug 2005
Beiträge
96
Punkte für Reaktionen
1
Punkte
6
Hallo allerseits,

hier die Anleitung von dus.net: https://www.dus.net/de/kundenmenue/helpdesk/voip-support/kb/article/wie-stelle-ich-tls-und-srtp-ein

Meine Erfahrungen: Ich konnte problemlos SRTP in CSipSimple aktivieren, das ging allerdings schon ohne den Registrar auf secure.dus.net zu ändern. Das habe ich dann auch noch getan. CSipSimple zeigt beim Telefonieren dann einen gelben Balken mit Schlüsselsymbol und "SRTP" - bei ausgehenden Telefonaten. Jedoch: Eingehende Telefonate werden mir nicht mehr signalisiert, der Anrufer hört die Ansage "Teilnehmer vorübergehend nicht erreichbar"!

Darüber hinaus erscheint im Kundencenter von Dusnet kein Schlüsselsymbol an dem Anschluss, vermutlich weil TLS noch gar nicht aktiv ist… aber leider, wenn ich in den Einstellungen TLS als Transportprotokoll festlege, kann sich CSipSimple gar nicht mehr registrieren.

Die Einstellung Default URI scheme = SIPS (anstelle von SIP) liefert bei Anrufversuchen die Fehlermeldung 503 / Unsupported transport

Ich habe auch noch versucht, ZRTP zu aktivieren, aber das bewirkt gar nichts; die übrigen Einstellungen in CSipSimple scheinen nichts mit SRTP und TLS zu tun zu haben (da hab ich nichts verändert).

Wo ist das Problem?
 
für tls muss secure.dus.net verwendet werden. "dns srv auflösen" muss aktiv sein. uri scheme muss sip bleiben.
 
Die Einstellung Default URI scheme = SIPS (anstelle von SIP) liefert bei Anrufversuchen die Fehlermeldung 503 / Unsupported transport

Kann (natürlich) nicht gehen !

Die Abkürzung für "SIP mit TLS" ist "TSIP" ;)
 
für tls muss secure.dus.net verwendet werden. "dns srv auflösen" muss aktiv sein. uri scheme muss sip bleiben.

Die Option "dns srv auflösen" gibt es bei CSipSimple nicht, überhaupt nichts in Zusammenhang mit DNS. Hast du es erfolgreich geschafft?
 
Zuletzt bearbeitet:
Du musst in den allgemeinen Einstellungen unter Netzwerk schauen, nicht in den Accounts-spezifischen Einstellungen. Da findest du die DNS Einstellungen. Ich hatte es mal vor 2 Jahren oder so am laufen. CSipSimple bietet genügend Einstellungen. Ich möchte nicht glauben, dass mein geliebtes CSipSimple hier versagt. Keine VoIP-App ist besser :wow: Ich wundere mich nur warum AMR und AMR-WB unterstützt wird. hierfür benötigt man doch eine Lizenz, oder? :shock:

Klappt es denn ohne Verschlüsselung? Vielleicht wurden die Zugangsdaten falsch eingetragen.
 
Du musst in den allgemeinen Einstellungen unter Netzwerk schauen, nicht in den Accounts-spezifischen Einstellungen. Da findest du die DNS Einstellungen. Ich hatte es mal vor 2 Jahren oder so am laufen. CSipSimple bietet genügend Einstellungen. Ich möchte nicht glauben, dass mein geliebtes CSipSimple hier versagt. Keine VoIP-App ist besser :wow: Ich wundere mich nur warum AMR und AMR-WB unterstützt wird. hierfür benötigt man doch eine Lizenz, oder? :shock:

Klappt es denn ohne Verschlüsselung? Vielleicht wurden die Zugangsdaten falsch eingetragen.

Die Zugangsdaten waren schon richtig, benutze CSipSimple schon lange ohne Verschlüsselung. An den allgemeinen Einstellungen lag es. :) Die hatte ich bisher nicht berücksichtigt: Resolve DNS SRV: an und dann musste ich noch unter Secure Transport die Option TLS aktivieren, jetzt kann in den Accounteinstellungen ebenfalls TLS aktiviert sein. Außerdem hab ich bei SRTP mode „mandatory“ (zwingend erforderlich) eingestellt, obwohl wahrscheinlich nicht nötig, wenn in den Accounteinstellungen die dort ebenfalls vorhandene gleiche Option auf „mandatory“ statt Vorgabe steht.

Aber das Ergebnis ist immer noch nur 75%: Bei eingehenden Gesprächen zeigt CSipSimple an, dass SRTP und TLS benutzt werden, bei ausgehenden Gesprächen jedoch wird nur SRTP benutzt.

Woran kann das liegen?
 
Unter den Profileinstellungen gibt es die Rubrik "Connection". Hier kann man ebenfalls das Protokoll wäheln. Standardmäßig ist es auf "automatisch" gestellt. Versuch mal dies auf "TLS" setzen.
 
CSipSimple » Options » Settings » Options » Expert mode » Network » Secure transport:
  • TLS anhaken
  • TLS Method SSL23
    Auto = TLS 1.0. CSipSimple basiert auf PJSIP, welches OpenSSL nutzt. In OpenSSL ist SSL23 jene Option für Automatik. Und tatsächlich, wenn ich hier auf SSL23 umstelle, nur dann erhalte ich TLS 1.2, TLS 1.1, TLS 1.0 oder SSL 3; je nach Gegenstelle. SSL2 ist aus, auch wenn der Methodenname anderes erwarten lässt. SSL23 ist halt „Automatik“. TLS 1.2 bringt zusätzliche, moderne Cipher-Suites.
  • TLS CA file /sdcard/download/roots.pem
    Im Gegensatz zu Counterpath Bria benutzt CSipSimple nicht Androids Credential-Storage (Android » Menü » Einstellungen » Sicherheit). Deswegen öffne auf Deinem Android diese Diskussion hier und tappe auf das blaue roots.pem! Das lädt die wichtigsten Zertifikate direkt von Google in Deinen Download-Ordner.
  • Check server Anhaken
    Geht nicht, weil DUStel mit einem Wildcard-Zertifikat arbeitet (Options » Help » Record logs » Fehler 171173). Danke für den Hinweis LooserOuting!
  • SRTP mode Disabled (so lassen)
    Hier könnte man alle Accounts auf einmal umstellen. Machen wir aber gezielt im DUStel Account.

Add Account » Generic Wizards » Expert:
  • Account Name DUStel
  • Account id <sip:[email protected]>
  • Registration URI sip:secure.dus.net
  • Realm *
  • Username Deine Auth-ID, bei DUStel gleich Deinem Benutzernamen
  • Data (password) Dein Kennwort
  • Transport TLS
    Auto ging bei mir nicht, auch wenn DNS-SRV aktiv war. Bei mir hat CSipSimple immer nur einen DNS-SRV für UDP gemacht. Mit fix TLS tat es.
  • Proxy URI sip:secure.dus.net
  • SRTP mode Mandatory

Wenn ich telefoniere, erhalte ich oberhalb von „SRTP“ jetzt auch „TLS transport is used for immediate hop“. Außerdem zeigt der Telefonhörer ein Schloss. Ich benutze die CSipSimple Version 1.2 aus dem Google PlayStore. Mein Endgeräte haben Android 4.2 und Android 4.4. Soweit ich das verstehe, hast Du lediglich die Proxy URI vergessen. Man war ich froh um Wireshark und meinen Ethernet-Switch mit Port Mirroring! Klappt’s jetzt bei Dir? Leider musste ich in beiden Bereichen in den Expert-Modus wechseln. Ging bei mir nicht ohne.
Die Abkürzung für "SIP mit TLS" ist "TSIP".
TSIP ist eine Abkürzung von Innovaphone und das ist „SIP over TCP“.
„SIP over TLS“ sind mir schon genug Abkürzung.
Benötigt man für AMR und AMR-WB nicht eine Lizenz?
Der Autor von CSipSimple hat das selbst beantwortet …
AMR-WB macht richtig Spaß. Weniger als 39 kbit/s, trotzdem telefoniert man Wideband bzw. HD.
 
Zuletzt bearbeitet:
sonyKatze schrieb:
proxy.dus.net und sips.dus.net und secure.dus.net lösen zum selben Server auf. Diese Domains haben lediglich andere DNS-SRV Einträge.
In den SRV-Records stehen auch Ports. So läuft TLS z.B. auf Port 5061. Eine Anmeldung per TLS auf Port 5060 ist soweit mir bekannt nicht möglich.

sonyKatze schrieb:
Das ist „lediglich“ das Format der URIs … aber nicht ganz unrichtig: dus.net verbietet SIPs-URIs. Warum auch immer.
Die Aussage dus.net verbietet SIP-URIs ist igendwie falsch.Was das mit der URI Scheme zu tun hat vestehe ich auch nicht. Wo war da der Zusammenhang ? Jeder SIP-Request beeinhaltet SIP URIs. Da gibt es die Request URI. Die From-URI. Contact-URI. und und und.
Was Du meinst ist, die dus.net nur Requests von autorisierten Usern verarbeitet. Das macht in vielerlei Hinsicht auch sinn.


sonyKatze schrieb:
Der Autor von CSipSimple hat das selbst beantwortet …
AMR-WB macht übrigens richtig Spaß. Weniger als 39 kbit/s, trotzdem telefoniert man Wideband bzw. HD.
Dann habe ich also die Lizenz beim kauf des Handys erworben, und die App nutzt die bereits vorandene Bibliothek?!
AMR ist eine richtg gute Sache. Leider nicht so stark verbreitet, da eine Lizenz benötig wird. Auch von der dus.net wird es nich unterstützt.(Kann aber dus.net intern verwendet werden, wenn beide Teilnehmer den Codec unterstützen.)
Ich kann es kaum erwarten bis die freie Alernative opus die Internettelefonie revolutioniert. :D
 
In den SRV-Records stehen auch Ports. So läuft TLS z.B. auf Port 5061. Eine Anmeldung per TLS auf Port 5060 ist soweit mir bekannt nicht möglich.
proxy.dus.net, sips.dus.net und secure.dus.net lösen auf die selbe IP auf. Diese IP hat Port 5060 (UDP/TCP) und 5061 (TLS) offen. Lediglich die DNS-SRV Records sind anders. proxy.dus.net hat zusätzlich noch einen NAPTR-Record, allein auf UDP. Daher ist das total egal, welche Domain man benutzt – außer der VoIP-Client macht vorher eine NAPTR-Abfrage und drei SRV-Abfragen über alle drei Protokolle (TLS » TCP » UDP). Diese Automatik macht CSipSimple bei mir irgendwie nicht, daher sind dus.net’s Unterschiede im DNS-SRV egal.
Was das mit der URI Scheme zu tun hat vestehe ich auch nicht. Wo war da der Zusammenhang ?
Hast Du das kleine s in SIPs übersehen? Was wir hier machen ist „SIP over TLS“. dus.net verlangt als URI-Scheme SIP und erlaubt SIPs nicht. Warum auch immer. Deswegen gehen Nokia Symbian/S60 mit dus.net (TLS) auch nicht.
 
Ich habe mich nochmals mit TLS und dus.net befasst. Hier ein Paar Sachen die cih herausgefunden habe:
- Das Server-Zertifikat ist für secure.dus.net ausgestellt (Dieses schein neu zu sein ist von COMODO). Wenn Du eine andere Domain verwendest wird vermutlich die Validierung fehlschlagen. Es ist folglich nicht egal welche Domain man verwendet.
- dus.net scheint maximal TLSv1.0 zu unterstützen

@sonyKatze
Ja ich hab das "s" überlesen. Das war so verstekt zwischen den ganzen Großbuchstaben. Sorry. Jetzt macht es Sinn. Danke.

SFLphone(für Linux) verwendet auch fest sips bei TLS. Kann also auch nicht mit dus.net in Verbindung mit TLS genutzt werden.

Edit: Hahaha. das Zertifikat ist seit dem 11.8.2014 gültig :)))))) dus.net liest wohl mit
 
Zuletzt bearbeitet:
Es gibt ein Bug report zu dem problem mit den srv lookups.
https://code.google.com/p/csipsimple/issues/detail?id=2384

Laut debug log macht das csipsimple nur einen Abfrage für _sip._udp.* was fehlschlägt. darauf sucht es nach A records.

D/libpjsip: 12:51:16.322 _sip._udp.secu !DNS SRV resolution failed for _sip._udp.secure.dus.net: DNS "Name Error" (PJLIB_UTIL_EDNS_NXDOMAIN)
D/libpjsip: 12:51:16.322 _sip._udp.secu DNS SRV resolution failed for _sip._udp.secure.dus.net, trying resolving A record for secure.dus.net
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.