[Frage] Asterisk-Konfiguration für DUS mit SRTP/TLS ?

srynoname

Neuer User
Mitglied seit
15 Okt 2009
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

hat jemand von euch DUS mit SRTP/TLS über Asterisk im Einsatz und könnte dazu mal seine Konfiguration posten? Danke :)
 
Die Frage habe ich mir auch gestellt. Weil ich nur diesen Thread fand: Macht das echt keiner hier? Hoffentlich hilft meine Antwort irgendwem. Bis vor zwei Monaten ging das sauber noch gar nicht, weil Asterisk keine Wildcard-Zertifikate erlaubt (siehe RFC 5922). Bis dahin musste man mit tlsdontverifyserver=yes arbeiten. Meine heutige Konfiguration für Asterisk 11 und Asterisk 13 lautet:

sip.conf
Code:
[general]
…
tlscapath=/etc/ssl/certs/                                    ; see http://gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl
;tlsdontverifyserver=yes                                     ;
…
register => DUStel?tls://[email protected]/malcolm ; inbound, callback-extension: malcolm
[DUStel]                                                     ; outbound, see parameter transport
type=peer                                                    ; default is peer; if not specified = warning on CLI
host=secure.dus.net                                          ; IP of proxy.dus.net = secure.dus.net = sips.dus.net
fromdomain=secure.dus.net                                    ; optional, to hide your local domain
fromuser=000387xxxxxx                                        ; required, to hide your local user, otherwise sometimes IP blocked by fail2ban
auth=000387xxxxxx:[email protected]                       ; realm must match: dus.net
transport=tls                                                ; secure signalling (TLS): forced
encryption=yes                                               ; media encryption (SDES-sRTP): forced
extension.conf
Code:
…
[default]
exten => malcolm,1,Dial(100)
Andere Vorschläge? Übrigens: Wie Du Asterisk für TLS und sRTP einrichtest, habe ich in Deinem anderen Thread zusammengefasst …
 
Zuletzt bearbeitet:
Für mich ist das schon länger nicht mehr relevant, aber vielen Dank fürs poten, immer eine interessante Sache :)
Schade, dass es wohl wirklich wenig genutzt wird.
 
Seit wann klappt das denn? Ich hatte es irgendwann aufgegeben.
 
Es gibt ein Beispiel in der Wissensdatenbank der dus.net die sehr ausführlich ist.
 
Oh ja, dieser Artikel …

Danke für den Hinweis, denn der Abschnitt bezüglich „SIP-over-TLS plus sRTP“ ist mir neu! Leider ein paar Anmerkungen:
  • tlsclientmethod schaltet TLSv1.2 aus. Überarbeitet: Wenn man keine Methode angibt, nutzt Asterisk inzwischen kein SSLv2 oder SSLv3 mehr, sondern nur noch neuere Versionen. Also bitte weglassen, auch wenn dus.net bis jetzt nur maximal TLSv1.0 bietet.
  • tlsbindaddr=0.0.0.0:5061 ist der Default und muss daher nicht extra angegeben werden. Außerdem geht so kein IPv4/IPv6 Dual-Stack. Bitte nehmt stattdessen bindaddr=:: (IPv4/IPv6) oder lasst es ganz weg (IPv4-only)
  • insecure=invite – löst das den Mismatch zwischen dem Realm dus.net und der Serveradresse secure.dus.net auf?
Seit dem Ausfall diese Woche ist das Zertifikat auf secure.dus.net wieder das alte RapidSSL-Wildcard, diesmal fehlen sogar die Intermediates. Folglich ist wieder tlsdontverifyserver=yes angesagt. Inzwischen wieder behoben.
 
Zuletzt bearbeitet:
Was meinst Du mit realm-mismatch ? Kannst Du das näher erläutern. Ich verstehe nicht was für ein mismatch Du meinst. Der Real wir ja nur zur authentifierung verwendet. welcher realm bei der authentifizierung von der asterisk verwendet wird, hängt von dem 401 bzw. 407 ab. Da wird mirgeteilt um welches realm es geht. Die asterisk wird automatisch das dort angegebene realm verwenden. In der sip.conf stehen nur Benutzername und Passwort. Bei dem realm den man in der sip.conf setzen kann, da geht es um der UAS-Teil (asterisk als server). zumindestens ist dies bei chan_sip so.

Die CA-Certs stellt doch die distribution bereit oder ? Bzw. das openssl packet in den repos. ich meine bei ubuntu sind die dann im /etc/ssl verzeichnis. bin mir jetzt aber nicht 100% sicher wo das verzeichnis liegt.
 
Die CA-Certs stellt doch die distribution bereit oder?
RapidSSL ist keine wohl-bekannte CA – die braucht immer sein Intermediate zu GeoTrust und optional zu Equifax. Außerdem ist das ein Wildcard-Zertifikat auf *.dus.net, was Asterisk und PJSIP ablehnen. Aber hat sich erledigt: dus.net verwendet wieder das Zertifikat von letzter Woche (COMODO/AddTrust).
Was meinst Du mit realm-mismatch?
Mein Asterisk hat bei eingehenden Anrufen nach dem Kontext „dus.net“ gesucht. Weil ich den nirgends hatte, konnte Asterisk das nicht zuordnen. Ein Lösung wäre insecure=invite gewesen. Stattdessen habe ich die Zeile auth eingefügt und konnte mir so insecure=invite ersparen. Würde dus.net als Realm den registerten Host benutzen – secure.dus.net, so wie das 1&1 macht – hätten wir den Schlamassel nicht.
 
Zuletzt bearbeitet:
Ja das Prroblem mit dem wildcard zertifikat kennen wir ja schon aus einem anderen Thread. Vermutlich hat man auf grund der probleme neulich das setup zurückgesetzt.

Bei einem ankommenden anruf ist der realm egal. Die asterisk wird zunächst versuchen den peer über die IP-Adresse zu finden. früher erhielt man bei einem lookup mehrere verschiedene IP-Adressen. die astersk verwendete aber nur die erste. So kam es z.B. früher dazu das proxy.dus.net zu A aufgelöst wurde, aber anrufe kamen von B.
Das und die tasache das die asterisk die peers der reihenfolge nachgeht führten zu problemen wenn die konfiguration nicht ok war. das alte beispiel der dus.net war sogar falsch. hat aber alles nichts mit einem mismatch zu tun.
 

Statistik des Forums

Themen
244,696
Beiträge
2,216,701
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.