Asterisk mit SRTP funzt bei Easybell nicht wirklich

[glotzi]

Ist hier jemand der Easybell mit Asterisk via SRTP erfolgreich am laufen hat?

Ich habe hier einen Asterisk 11.6 bei dem die SRTP Verschlüsselung nicht funktioniert (TLS funktioniert ohne Probleme). Es gibt folgende Fehlermeldung:

[2014-02-17 15:07:32] WARNING[15535][C-00000002]: chan_sip.c:10485 process_sdp: We are requesting SRTP for audio, but they responded without it!

Anfrage an Easybell:

Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Type: application/sdp
Content-Length: 424

v=0
o=root 1715013304 1715013305 IN IP4 
s=Asterisk PBX 11.6.0
c=IN IP4 
t=0 0
m=audio 10008 RTP/SAVP 8 18 111 9 101
a=rtpmap:8 PCMA/8000
a=rtpmap:18 G729/8000
a=fmtp:18 annexb=no
a=rtpmap:111 G726-32/8000
a=rtpmap:9 G722/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=ptime:20
a=sendrecv
a=crypto:1 AES_CM_128_HMAC_SHA1_32 inline:U0uYu7xZeVMUpcueFRm7dWbXySryvhu/4LGmKAKF

Antwort von easybell

CSeq: 103 INVITE
Allow: INVITE,ACK,PRACK,SUBSCRIBE,BYE,CANCEL,NOTIFY,INFO,REFER,UPDATE
Content-Type: application/sdp
Content-Length: 224
Contact: <sip:[email protected]:5060;ngcpct=c2lwOjEyNy4wLjAuMTo1MDgw>

v=0
o=- 53005912 0 IN IP4 212.172.97.124
s=Cisco SDP 0
c=IN IP4 212.172.97.124
t=0 0
m=audio 33856 RTP/AVP 8 101
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-15
a=X-sqn:0
a=X-cap: 1 image udptl t38
a=rtcp:33857

Die gleiche Config funzt mit DUS ohne Probleme. Der Unterschied zwischen den beiden ist: DUS verwendet Asterisk, Easybell Cisco

 

[geriom]

Hi,
wie schaltest du die Encryption zum Easybell Trunk ein?

 

[GottSeth]

Verschlüsselung kann nur funktionieren, wenn beide Endgeräte das unterstützen - wenn dein Gesprächspartner kein verschlüsseltes Endgerät hat, verweigert Easybell die Verbindung - was DUS-Net da macht, ist in meinen Augen ein "gespielter Witz"

Von dir bis zum DUS-Net-Server verschlüsselt, und vom DUS-Net-Server zu deinem Gesprächspartner offen - was soll das bringen ?

 

[geriom]

Das würde aber nur stimmen, wenn der Gesprächspartner auch Voip nutzt. Was aber wenn er analog oder isdn hat? Dann muss aber die Verbindung vom anrufenden zum Provider trotzdem verschlüsselt sein. Das Gateway zu analog oder isdn ist dann sowieso nicht verschlüsselt.

 

[GottSeth]

Was aber wenn er analog oder ISDN hat?

Dann ist nach dem TKG die Benutzung einer Verschlüsselung verboten :doktor:

 

[glotzi]

Ok, erst mal Danke fürs Feedback.

Die Verschlüsselung schalte ich in der sip.conf so ein

encryption=yes                                                                                                                       
encryption_taglen=32

encryption_taglen=32 deshalb, weil es wohl Probleme mit verschiednen Cisco-Geräten gibt mit der Standardlänge 80.

Der Hinweis von GottSeth ist insofern interessant, weil ich bei DUS zum testen deren Testrufnummer benutzt habe, für Easybell aber eine bei der ich nicht sicher bin, ob die ganze Verbindung verschlüsselt ist. Ich hatte eigentlich erwartet, dass die Teilverbindung in jedem Fall verschlüsselt wird. Das werde ich nochmal Testen.

 

[geriom]

Hi,
habe jetzt mal nach den Hinweisen von oben folgendes probiert:

encryption=yes
encryption_taglen=32

Wenn ich ein Handy oder eine normale Festnetznummer anrufe kommt keine Verbindung zustande.
Wenn ich jedoch meine 2. Rufnummer von Easybell anrufe welche auch wieder auf die Asterisk eingeht, kommt eine gesicherte Verbindung zustande.

Aber es muss doch noch eine Möglichkeit geben, wenn die Einstellungen encryption=yes gesetzt ist, dass ich doch noch ungesicherte Anrufpartner erreichen kann.
Eine Art von Fallback. Benutze Snom Telefone.

 

[sonyKatze]

Was aber wenn er analog oder isdn hat? Dann muss aber die Verbindung vom anrufenden zum Provider trotzdem verschlüsselt sein.

Hat mich auch erst verwundert. easybell bietet selbst kein sRTP an, aber leitet das crypto-Tag im SDP weiter. Oder anders formuliert: Bei easybell geht sRTP nur dann, wenn die Gegenstelle auch sRTP erlaubt. Daher ist mir die Lösung von dus.net lieber, weil bei dus.net der Medienstrom [post=2042489]immer verschlüsselt ist[/post] – folglich ist bei dus.net egal, ob ich in mit meinem Mobiltelefon in einem sichern WLAN bin oder nicht. Naja, wenigstens bietet easybell überhaupt SIP-over-TLS.

Aber es muss doch noch eine Möglichkeit geben, wenn die Einstellungen encryption=yes gesetzt ist, dass ich doch noch ungesicherte Anrufpartner erreichen kann.

Ja, geht. Die Lösung, die ich fand: In der Datei sip.conf habe ich encryption=no (bzw. gar nicht gesetzt), aber in der extensions.conf

 same => n,Set(CHANNEL(secure_bridge_media)=1)
 same => n,Dial(…)
 same => n,GotoIf($["${HANGUPCAUSE}" = "58"]?noSRTP)
 same => n,Hangup()
 same => n(noSRTP),Set(CHANNEL(secure_bridge_media)=0)
 same => n,Dial(…)
 same => n,Hangup()

Getestet mit Asterisk 11 und Asterisk 12. Freue mich über andere Vorschläge!