Snom M300 verschlüsselte Telefonie

[DaPicard]

Moinsen zusammen, ich bräuchte mal euer Schwarmwissen. Ich bekomme meine M300 Anlage nicht mit der Cloud Telefonanlage von easybell verbunden, wenn ich verschlüsselte Telefonie möchte. Vielleicht kann mir ja jemand helfen?

 

[wari1957]

Hallo @DaPicard ,
von easybell gibts eine Anleitung:

Verschlüsselt mit Snom telefonieren | easybell

Snom IP-Telefon verschlüsseln - manuell oder als Endgerät der Cloud Telefonanlage auch vollkommen automatisch mit ACS.

www.easybell.de

Media Security würde ich im Zweifelsfall deaktivieren.

 

[DaPicard]

Moinsen @wari1957 die Anleitung trifft leider nicht auf die Konfiguration der M300 zu, sondern ist für die Telefone gedacht. Das Deaktivieren der Media Security hat leider auch keine Verbesserung gebracht.

 

[B612]

die Anleitung trifft leider nicht auf die Konfiguration der M300 zu,

So sinngemäß aber schon. Ich würde auf jeden Fall mal Punkt 7 machen:

7. Als Outbound Proxy geben Sie secure.sip.easybell.de:5061;transport=tls ein.

 

[sonyKatze]

Du hast alles richtig konfiguriert. MediaSec handelt sich automatisch aus, aher muss man das für Easybell nicht extra deaktivieren. Auch bringt es bei der RTX basierten Snom M300 nichts, irgendeinen „transport“ als Parameter an den Registrar bzw. Proxy anzuhängen. Auch wenn Snom drauf steht, es ist in Wirklichkeit eine komplett andere Plattform, nämlich die von RTX. Aber das Problem ist ganz woanders:

Easybell schließt von sich aus nach zwei Sekunden TLS-Handshakes, wenn diese noch nicht abgeschlossen sind. Ein Snom M300 braucht mehr als zwei Sekunden, um seine TLS-Handshakes abzuschließen. Das kannst Du sehen, wenn Du den Datenverkehr mitschneidest (z.B. über einen Switch mit Port-Mirroring und Wireshark). Es geht nicht. Entweder

(a) Du verzichtest auf SIP-over-TLS und nimmst SIP-over-TCP oder -UDP. Oder​

(b) Du holst Dir eine Snom M900. Mit der geht es, weil die erheblich schneller ist.​

Snom DECT

Aus reiner Neugierde: Warum überhaupt diese Single-Cell DECT-Basis; warum keine Gigaset GO-Box 100 oder Gigaset N510 IP Pro?

 

[DaPicard]

Vollzitat gemäß Boardregeln entfernt by stoney

Das liegt daran, weil wir schon viele Snom Geräte haben und die gut funktionieren. Du scheinst dich gut auszukennen, wäre die M700 denn eine Alternative oder ist die auch zu langsam bzw. ist keine echte Snom Basisstation?

 

[NDiIPP]

Die M700 stammt wie die M300 ebenfalls von RTX. Die DECT-Geräte von Snom sind keine echten Snoms.

 

[sonyKatze]

viele Snom Geräte haben

Ja, nur haben alle DECT-Snoms nichts mit Snom zu tun, außer dem Logo. Die Snom M700 hatte ich noch nicht, ist abgekündigt und wurde durch die Snom M900 ersetzt. Folglich müsstet Ihr es ausprobieren. Problem ist, dass die Snom M700 zusätzlich in TLS auch automatisch Forward-Secrecy nutzt, was deren TLS-Handshake nochmals verlangsamt.

Wenn Ihr aber keinen Grund habt, Snom DECT zu nehmen, dann würde ich eine FRITZ!Box oder eine Gigaset DECT-Basis empfehlen. Die sind so oft am Markt, dass sie Easybell nicht so einfach ignorieren kann†. FRITZ!Box erlaubt sogar von Haus aus Verschlüsselung mit Easybell. Übrigens, wenn Ihr Eure Snom M300 weiter verwenden wollt (wenn Ihr z.B. bereits zu viele DECT-Mobilteile habt) aber auch verschlüsselt müsst, könntet Ihr

(c) einen SIP-B2BUA wie z.B. FRITZ!Box (oder Digium Asterisk oder SignalWire FreeSWITCH) dazwischen schalten. Der B2BUA baut für Euch dann den TLS-Handshake auf.​

(d) eine TLS-Tunnel-App z.B. stunnel den TLS-Handshake aufbauen lassen. Aber das habe ich noch nicht getestet.​

​

† Easybell könnte das leicht beheben, wenn sie ihren Timeout von zwei auf drei Sekunden erhöhen würden. Ich mir nicht gelungen, Easybell davon zu überzeugen. Auch ist dieser lange TLS-Handshake wirklich ungewöhnlich und vermutlich ein Programmierfehler. Aber auch dass Snom bzw. RTX sich das nochmals anschaut, ist mir nicht gelungen.