[Gelöst] M300 Autoprovisonierung

LarsK1

Neuer User
Mitglied seit
25 Mai 2021
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Hallo,
ich habe seit einiger Zeit ein Snom M300 mit einem M25 Mobilteil. Da ich nun mehrere benutzen möchte, habe ich heute eine Autoprovisonierungsdatei erstellt. Leider zeigt mir die M300 im Syslog immer folgende Zeile an:

Code:
loc3 .Info  2021-05-25T09:20:24Z 232-[ RemCfg: Checking for settings]
loc3 .Info  2021-05-25T09:20:24Z 232-[ RemCfg: Attempting fetch of file: https://telefon.steuerberater-bayreuth.com/provisioning/(randomHash)/cfg00041362D30D]
loc3 .Info  2021-05-25T09:20:24Z 232-[ RemCfg: Error loading file]
loc3 .Info  2021-05-25T09:20:24Z 232-[ RemCfg: Attempting fetch of file: https://telefon.steuerberater-bayreuth.com/provisioning/(randomHash)/cfg00041362D30D-00041362D30D]
loc3 .Info  2021-05-25T09:20:24Z 232-[ RemCfg: Error loading file]
loc3 .Info  2021-05-25T09:20:24Z 232-[ RemCfg: Attempting fetch of file: https://telefon.steuerberater-bayreuth.com/provisioning/(randomHash)/cfg00041362D30D-firmware]
loc3 .Info  2021-05-25T09:20:25Z 232-[ RemCfg: Error loading file]
loc3 .Info  2021-05-25T09:20:25Z 232-[ RemCfg: No setting server offered via SIP PNP]
loc3 .Info  2021-05-25T09:20:25Z 232-[ RemCfg: No setting server offered in DHCP]
loc3 .Info  2021-05-25T09:20:25Z 232-[ RemCfg: Provisioning completed]
loc3 .Info  2021-05-25T09:20:25Z 232-[ UpdateAllTimestamps]
loc3 .Info  2021-05-25T09:20:25Z 232-[ RemCfg: Attempting fetch of file: /]
loc3 .Info  2021-05-25T09:20:25Z 232-[ RemCfg: Error loading file]
loc3 .Info  2021-05-25T09:20:25Z 232-[ RemCfg: Provisioning PhoneBook completed]

Habt ihr eine Idee, warum die M300 die Datei nicht abrufen kann, obwohl ich sie im Browser problemlos aufrufen kann, bzw. wenn ich die Datei über die Benutzerobefläche lade, sie einwandfrei funktioniert.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,586
Punkte für Reaktionen
502
Punkte
113
Moinsen


Vermutlich braucht es für HTTPS ein gültiges Zertifikat?
 

LarsK1

Neuer User
Mitglied seit
25 Mai 2021
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Habe jetzt die Zertifikate importiert (Siehe Bild):
1621933077331.png
ändert aber nichts daran?

Bild gemäß Boardregeln als Vorschaubild eingebunden by stoney
 
Zuletzt bearbeitet von einem Moderator:

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Zuletzt bearbeitet:

LarsK1

Neuer User
Mitglied seit
25 Mai 2021
Beiträge
19
Punkte für Reaktionen
3
Punkte
3

Anhänge

  • Dump.zip
    4.1 KB · Aufrufe: 2
Zuletzt bearbeitet:

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Das Problem sind bei Dir die Cipher-Suites. Du erlaubst auf Deinem Server ausschließlich PFS+AEAD. Das nächste Problem wird dann, dass das Snom M300 kein TLS-SNI anbietet. Das nächste Problem dürfte dann werden, dass Dein Zertifikat mit 4k einfach zu groß ist – aber da bin ich mir nicht mehr sicher. Mit OpenSSL kannst Du das Verhalten Deines Snom mittels Kommandozeile nachbauen und so einfacher testen: openssl s_client -connect example.com:443 -noservername -tls1_2 -cipher AES256-SHA:[email protected]=0 -sigalgs RSA+SHA256:RSA+SHA224:RSA+SHA1

Die Snom M300 sind uralt. Tue Dir selbst einen Gefallen und nimm das aktuelle Snom M900. Das kannst Du auch als Single-Cell-DECT nutzen. Vorteil: Wird der Standort größer, kannst Du es leicht auf Multi-Cell-DECT umrüsten.
 
Zuletzt bearbeitet:

LarsK1

Neuer User
Mitglied seit
25 Mai 2021
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Die Snom M300 sind uralt. Tue Dir selbst einen Gefallen und nimm das aktuelle Snom M900.
Heißt das Du hast bereits Erfahrungen mit dem M900 gesammelt? Wenn ja, verschwinden dann diese Fehler, die aus einer scheinbar uralten Firmware resultieren (obwohl die "neuste" installiert ist)?
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Das Problem ist das Snom M300 an sich. Das ist angeblich eine 16 bit-Plattform mit mbed TLS. RTX, der original Hersteller, war auch völlig überfordert, diese Library richtig zu patchen bzw. konfigurieren. mbed TLS ist selbst auf 16 bit normal nicht so arg. 16 bit. Heim-Computer sind schon seit 15 Jahren bei 64 bit. Ich weiß schon gar nicht mehr, wann ich das letzte mal 16 bit programmiert habe.

Das Snom M900 ist eine „normale“ Prozessor-Architektur und kommt mit dem neusten OpenSSL. Ob dessen Provisioning-Client einen Software-Bug im HTTPs hat, weiß man erst, wenn man drüber stolpert. Ich müsste mein Snom M900 extra auspacken und umkonfigurieren … wenn Du ganz lieb fragst, schaue ich mal nach. Aber würde mich wundern. Als ich mein Snom M900 ausgepackt hatte, ärgerte ich mich, dass ich überhaupt irgendeine Lebenssekunde mit dem Snom M300 verbracht hatte.
 

LarsK1

Neuer User
Mitglied seit
25 Mai 2021
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Danke für Dein Angebot, das braucht es ersteinmal nicht, denn schließlich habe ich nun einmal 4 Stück von dieser Uralthardware.
Ich probiere mal den Pfad als http anzugeben, in der Hoffnung, dass das M300 kein HSTS kann?
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Wie Du in der Wikipedia nachlesen kannst, existiert TLS-SNI seit dem Jahr 2003. Software technisch ist das Snom M300 also gerade mal so auf dem Stand von RFC 3268 aus dem Jahr 2002. Wobei das alles Konfigurationsfehler des mbed TLS seitens RTX sind. Das sinnvollste wäre, Du würdest bei einem Mitarbeiter daheim einen HTTPs-Server hinter einer Dynamic-DNS aufsetzen. So bekommst Du eine IP-Adresse, für die Du kein TLS-SNI brauchst. Dann konfigurierst Du z.B. einen Apache HTTP Server, der noch AES ohne PFS- und ohne AEAD-basierte Cipher-Suites erfordert …
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Verschwinden […] diese Fehler [mit einem Snom M900]?
Das Snom M900 kann sowohl TLS in Version 1.3 und TLS 1.2 als auch Cipher-Suites mit AEAD und PFS. Folglich kommt es mit Deinem HTTPS-Server einen Schritt weiter. Aber wie ich über das Wochenende in einem Test feststellen musste, bietet auch das Snom M900 noch immer kein TLS-SNI. Folglich klappt auch das Snom M900 mit Deinem HTTPS-Server nicht.
 
  • Like
Reaktionen: LarsK1

LarsK1

Neuer User
Mitglied seit
25 Mai 2021
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
@sonyKatze vielen Dank für Deine Mühen. Nach einigen (fehlgeschlagen) Tests haben weiter und firmenintern nun doch entschlossen, die 8 M300 durch neue M900 zu tauschen.
Der Tausch ist gestern erfolgt und war ein voller Erfolg. Alles geht und dass auf Anhieb!

Vielen Dank für deine Hilfe!
 
  • Like
Reaktionen: sonyKatze

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Wie habt Ihr TLS-SNI schussendlich gelöst?
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Das hat eine Weile gedauert, bis ich das verstanden hatte. Weil Du die Zertifikatsvalidierung nicht nachträglich eingeschaltet hast, klappt das.

Lange Erklärung:
Das Snom M900 sendet kein TLS-SNI. Darufhin sendet Dein HTTPs-Server nicht Dein Zertifikat sondern das Standard-Zertifikat Deines Hosters. Das passt im Domain-Namen nicht zu Deinem Server. Aber weil Snom/RTX angewiesen ist, das Zertifikat nicht zu überprüfen, akzeptiert das Snom die TLS-Verbindung einfach. Auf dieser verschlüsselten Verbindung sendet Snom/RTX dann eine normale HTTP-Anfrage aber mit dem HTTP-Header Host auf Deinen Domain-Namen. Und daher liefert dein Hoster dann Deine Provisioning-Datei aus.

Gegenprobe:
Wenn Du auf der Web-Oberfläche unter Sicherheit dieses „Use Only Trusted Certificates“ aktivierst, dürfte das Provisioning nicht mehr klappen.
 

LarsK1

Neuer User
Mitglied seit
25 Mai 2021
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Ja, du hast Recht - sobald ich diese Option aktiviere geht es nicht mehr.
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Danke für die (unabhängige) Bestätigung. Habe das Fehlen von TLS-SNI bei der Produkt-Unterstützung eingetütet. Wenn Du Zugang zu jenem Help-Desk hast, bitte dort auch melden und auf meine Ticket-ID verweisen (Duplikat). Beim Snom M300 war das schon peinlich. Bei einem Modell aus dem Jahr 2019 wie dem Snom M900, ist das einfach nur noch unmögliches Verhalten. Unverschämtheit, dass man schlauer sein muss, als der original Hersteller RTX und der Wiedervertriebler Snom. Bei seinen Tisch-Telefonen hat Snom diesen Murks nicht. Die wenigsten Kunden kennen die Zusammenhänge, um solche Dinge überhaupt gezielt melden zu können.
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
3,499
Punkte für Reaktionen
318
Punkte
83
Wenn man postalisch genug Briefe geschrieben hat, dann auch als Endkunde. Also in Deinem Fall einen Post-Brief schicken.
 

LarsK1

Neuer User
Mitglied seit
25 Mai 2021
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
@sonyKatze ich bräuchte nochmal deine Hilfe...
es gab für das M300 ein Update mit folgender Änderung:

  • DECT-915 TLS v1.2 support with two new Cipher Suites (M300):
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • Supported Cipher Suites as server are:
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
Ein bekannter von mir hat "leider" noch ein M300 - kann er mit diesen Änderungen nun die Provisionierung über einen "normalen" Webserver machen? (Website-Report: SSLLab)

Danke für deine Hilfe!
 
3CX

Statistik des Forums

Themen
239,064
Beiträge
2,121,712
Mitglieder
362,170
Neuestes Mitglied
MrHunter

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via