Asterisk encryption /TLS SRTP

[shadow01]

Hallo Zusammen

Ich habe das Problem das ich meine Verschlüsselung nicht hinbekomme.

in der sip.conf habe ich folgende:

[general]
language=de
;bindaddr = 218.x.x.x                
bindaddr=0.0.0.0
context = waehlplan
alwaysauthreject=yes
rtpkeepalive=5
externrefresh=180
useragent=portasipfriendly
allowguest=no
qualify=yes
insecure=port,invite
canreinvite=no
nat=yes
videosupport=yes
textsupport=yes
t38pt_udptl=yes

disallow=all
allow=ulaw
allow=g729
allow=gsm
allow=h263        ;Video-Codec
allow=h264        ;Video-Codec
allow=t140        ;Real-Time Text

tos_sip=cs3
tos_audio=ef
tos_video=af41

externip=xyz.dyndns.org
localnet=192.168.0.0/255.255.255.0

jbenable=yes
;jbforce=yes
;jbmaxsize=200
jbimpl=adaptive
;jbtargetextra=40
;jblog=yes

transport=tcp,tls			;udp

udpbindaddr=0.0.0.0:5060
tcpenable=yes
tcpbindaddr=0.0.0.0:5060

tlsenable=yes
tlsbindaddr=0.0.0.0:5061
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlsdontverifyserver=yes
tlscafile=/etc/asterisk/keys/ca.crt
tlscipher=ALL
tlsclentmethod=tlsv1
srtpcapable=yes
encrypton=yes


register => Nummer:[email protected]/Nummer                ;Test1


;***********************************
;*        Softfone                        *
;***********************************

;**SPA942**
[100]
type=friend
context=fm
callerid="FM"<100>
secret=12345ABC
host=dynamic
dtmfmode=rfc2833
;transport=tls
;encryption=yes
deny=0.0.0.0/0.0.0.0
permit=192.168.0.0/255.255.255.0
mailbox=100@default,410000000@defaul

;**X-Lite Francois Lap-Top T60**
[101]
type=friend
context=fm
callerid="F2"<101>
secret=12345abc
host=dynamic
deny=0.0.0.0/0.0.0.0
permit=192.168.0.0/255.255.255.0
permit=10.5.0.0/255.255.255.0
mailbox=101@default

wenn ich nun im Telefon sage das es per TLS und Port 5061 laufen soll bekomme ich folgende fehler:

zum Teil connection refused und 
[Nov  8 09:17:09] ERROR[1708]: tcptls.c:427 ast_tcptls_client_start: Unable to connect SIP socket to 192.168.0.105:4950: Connection timed out
[Nov  8 09:23:00] ERROR[1664]: chan_sip.c:15431 register_verify: 'UDP' is not a valid transport for '104'. we only use 'TLS,TCP'! ending call.

Was ich auch nicht ganz verstehe wie ich die Zertifikate auch das Linksys SPA942 und z.B. Bria bringe

erstellt habe ich das ganze unter Asterisk 10.10.0 nach der Anleitung von :
https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial

Kan mir jemand weiter helfen und mir sagen wie ich TSL und SRTP zum laufen bringe?

Gruss und Danke

 

[rmh]

Hallo Shadow01, die Fehlermeldung ist selbsterklärend. Du hast in der sip.conf udp ausgeschlossen (transport), daher kann dein Telefon sich per UDP nicht mehr mit Asterisk verbinden. Also, Telefon auf TCP umstellen. Zudem solltest du für domain-namen nicht externip, sondern externhost verwenden. Im Detail habe ich deine Konfiguration jetzt allerdings nicht nachvollzogen, ist mir nur so beim Überfliegen aufgefallen.


Gruß
R.

 

[shadow01]

Hallo rmh

Danke für deine Antwort. Das Telefon war auf TCP eingerichtet nun habe ich aber im Telefon SIP Transport TLS eingestellt. SIP Port auf 5061 und Outbound Proxy auf 192.168.0.5:5061 gesetzt. leider erhalte ich nun folgenden Fehler.

[Nov  8 16:19:12] ERROR[2224]: tcptls.c:427 ast_tcptls_client_start: Unable to connect SIP socket to 192.168.0.108:5078: Connection refused

mir ist klar das dies bedeutet Verbindung abgelehnt.
Ich habe jedoch folgenden Befehl ausgeführt um den Debian-Firewall zu umgehen "iptables -A INPUT -p tcp --dport 5061 -j ACCEPT" mit "telnet localhost 5061" überprüft und festgestellt das immer noch kein Durchkommen erreicht werden konnte. Weiss jemand wie ich das hinbekomme?

Gruss und Danke

 

[rmh]

Vielleicht irre ich mich, aber m.E. hat das mit iptables nichts zu tun. Es sieht so aus, als würde die Verbindung vom Telefon zurückgewiesen. Schau noch mal in die Anleitung deines Telefons (Snom?). Es macht Sinn, den SIP-Port am Telefon fest einzustellen. Das Feld scheinst du bisher offen gelassen zu haben, daher ist der Port jedes mal anders. Zudem müsste es im Snom Wiki auch noch ein paar empfohlene Einstellungen zur Verschlüsselnung geben.


Gruß
R.

 

[shadow01]

Danke für deine Antwort. Ja das ist genau das Problem es handelt sich um ein Linksys SPA942 Apparat und für den finde ich nirgens eine genaue Anleitung / How to für die TLS /SRTP einstellung. Das klingt logisch und ist auch so. Danke! Nur fixen kann ich's nicht. Habe auch nach einer Anleitung gesucht wie ich die Zertifikate raufladen kann.