[Problem] Snom M700 mit Easybell: Nur ausgehende Anrufe auf Festnetznummern möglich, jedoch nichts anderes

[Behunio]

Hallo zusammen,

folgende Einstellungen wurden über das Webterminal auf der M700 vorgenommen:

Server:

Registrar: sip.easybell.de
Outbound-Proxy: sip.easybell.de
NAT-Adaption: Disabled
SIP-Transport: TLS
RTP from own base station: Enabled
Secure RTP: Enabled
Secure RTP Auth: Enabled

Network Settings:

Local SIP port: 5061


Fehlerbeschreibung:

Von meinem Handteil kann ich problemlos auf Festnetznummern anrufen. (Nach erfolgtem Rufaufbau wird hierbei auch das Schloss-Symbol als Indikator für die erfolgreiche SRTP-Verschlüsselung im Display angezeigt.)*

Komischerweise funktioniert jedoch weder der Anruf noch die Rufannahme von/auf Mobilnummern. Auch von Festnetznummern eingehende Anrufe kommen nicht an. Zusammengefasst:

• Rufaufbau zu Festnetznummer: Funktioniert
• Rufaufbau zu Mobilfunknummer: Funktioniert nicht
• Rufannahme von Festnetznummer: Funktioniert nicht
• Rufannahme von Mobilfunknummer: Funktioniert nicht

Wo liegt mein Fehler?

Viele Grüße und besten Dank!
Behunio


* Edit: Es handelte sich um ein grobes Missverständnis - das erwähnte Schloss symbolisiert eine Tastensperre, nicht jedoch die Anruf-Verschlüsselung.

 

[andilao]

Versuche erst mal ohne abgesicherte Verbindungen.

 

[Behunio]

Versuche erst mal ohne abgesicherte Verbindungen.

Du meinst:

• Port 5060 anstatt Port 5061
  
• TCP anstatt TLS
• RTP from own base station: Disabled
  
• Secure RTP: Disabled
• Secure RTP Auth: Disabled

Oder noch etwas Zusätzliches?

-----------------------------------------------------------------------------

Edit 1:

• Port 5061
  
• TLS
• RTP from own base station: Disabled
  
• Secure RTP: Disabled
• Secure RTP Auth: Disabled

Mit diesen Einstellungen ist eine Rufannahme von Mobilfunknummern und vom Festnetznummern möglich. Ein ausgehender Anruf auf Mobilfunknummern klappt jedoch noch immer nicht...

-----------------------------------------------------------------------------

Edit 2:

• Port 5060 anstatt Port 5061
  
• TCP anstatt TLS
• RTP from own base station: Disabled
  
• Secure RTP: Disabled
• Secure RTP Auth: Disabled

Auch hier ist noch kein Anruf auf Mobilfunknummern möglich.

-----------------------------------------------------------------------------

Edit 3:

• Port 5060 anstatt Port 5061
  
• UDP anstatt TLS
• RTP from own base station: Disabled
  
• Secure RTP: Disabled
• Secure RTP Auth: Disabled

Auch hier ist noch kein Anruf auf Mobilfunknummern möglich.

 

[sonyKatze]

Mein Snom M300 (Firmware 04.20 Branch 0001) zeigte das gleiche Symptom mit Easybell Call basic (SIP-Status 400 Bad Request; als Gegenstelle getestet T-Mobile 2G/GSM). Meine „Lösung“ war:
Web-Interface » Servers » Easybell » SIP Session Timers: Disabled » Save

Hilft das auch bei Dir?

 

[Behunio]

Oh, ein Leidensgenosse. Vielen Dank für Deine Nachricht!

Vollzitat entfernt by stoney

Ich nutze zwar Easybell "Call flat" anstatt "Call basic", aber das dürfte wohl keinen Unterschied machen. Mit den folgenden Einstellungen sind bei mir immerhin Anrufe von und auf Festnetz möglich:

• Port 5061
  
• TLS
• RTP from own base station: Disabled
  
• Secure RTP: Disabled
• Secure RTP Auth: Disabled

Nach Deinem Hinweis habe ich nun zusätzlich

• SIP Session Timers: Disabled

gesetzt und siehe da: Anrufe funktionieren nun auch auf Mobilfunk! Fantastisch, vielen herzlichen Dank!

Darf ich Dich fragen, welche SRTP-Einstellungen Du denn aktiviert hast? Ich würde SRTP eigentlich schon sehr gerne nutzen können... Mit den folgenden Einstellungen kann ich Anrufe zwar gelegentlich (nicht regelmäßig!) erfolgreich annehmen und absetzen, die jedoch aufgrund des fehlenden Schloss-Symbols wohl nicht verschlüsselt sind. Was bedeutet denn "optional" in diesem Falle?

• RTP from own base station: Enabled
  
• Secure RTP: Optional
  
• Secure RTP Auth: Enabled

Und noch etwas ganz anderes:

Meine M700 hatte sich seit Erhalt jede Nacht bei Easybell ausgeloggt und konnte erst durch einen händischen Neustart am Morgen wieder registriert werden. Hattest Du solche Probleme auch schon mal? Easybell hat nach Zusendung der Fehlerlogs gestern nachgeforscht und vermutlich irgend etwas umgestellt, weshalb die Basis zumindest die vergangene Nacht erfolgreich eingeloggt blieb. Ich weiß jedoch nicht, ob das an Easybell lag, oder daran, dass ich die Firmware des Handteils geupdated habe...

 

[sonyKatze]

Leidensgenosse nicht wirklich. Ich habe hier lediglich die entsprechende Hardware/Software und Dienste-Konten. Dadurch konnte ich Dein Szenario nachbauen.

Welche SRTP-Einstellungen hast Du aktiviert?

Aktuell kannst Du SIP-over-TLS nicht mit Easybell nutzen. Jedenfalls ist das bei meinem Snom M300 so, weil es etwa 2,6 Sekunden für den Verbindungsaufbau braucht. Das ist ein Programmier-Fehler seitens RTX. Normalerweise geht das unten 0,2 Sekunden. Easybell schließt die TCP-Verbindungen bereits nach 2,0 Sekunden – das ist eine Vorsichtsmaßnahme damit ein Angreifer nicht so einfach alle TCP-Ports blockieren kann. Ich habe bei beiden (Snom und Easybell) gestern ein Ticket aufgemacht. Ohne TLS ist sRTP sinnlos, weil ohne TLS der sRTP-Schlüssel im Klartext übertragen wird. Daher müsstest Du entweder auf TLS verzichten oder einen anderen Anbieter wählen…

Oder kannst Du mit Deiner Snom M700 zu Easybell eine TLS-Verbindung aufbauen?

Meine M700 hatte sich seit Erhalt jede Nacht bei Easybell ausgeloggt.

Dazu kann ich nichts sagen. Das müsste ich erst nachbauen/-testen. Welche Firmware hast Du inzwischen auf Deiner Basis und dem Mobilteil? Ich tat mich sehr schwer, beides richtig zu updaten. Wenn es bei Dir nicht geklappt hat, kann ich Dir eine Anleitung geben. Aber dafür brauche ich Deinen aktuellen Versionsstand. Sonst schreibe ich mir die Finger wund bzw. verwirre nur.

 

[Behunio]

Oder kannst Du mit Deiner Snom M700 zu Easybell eine TLS-Verbindung aufbauen?

Eigentlich habe ich TLS über Port 5061 aktiviert, ja. Wenn ich SRTP auf "enabled" setze, dann werden jedoch alle eingehenden und teilweise auch abgehenden Anrufe direkt mit einem "Belegt"-Zeichen abserviert.

Ich habe sowohl Basis als auch Handteil auf Firmware 4.10. Die Basis auf Kanal 4, das Handteil auf 3. Hierzu habe ich einfach in der Update-GUI die entsprechenden Werte (410) bzw. Kanäle (Basis = 4 und Handteil = 3) und die zugehörige Domain eingetragen (http://dect.snom.com).

### Zusammenführung Doppelpost by stoney ###

Ohne TLS ist sRTP sinnlos, weil ohne TLS der sRTP-Schlüssel im Klartext übertragen wird. Daher müsstest Du entweder auf TLS verzichten oder einen anderen Anbieter wählen…

Vielleicht liegt die fehlende SRTP-Funktionalität ja auch am folgenden Sachverhalt: Die M700 hat unter "Network Settings" standardmäßig RTP Port 50004 eingetragen. Als RTP Range steht dort 40. Passt das denn überhaupt zu Easybell?

 

[sonyKatze]

Ich habe sowohl Basis als auch Handteil auf Firmware 04.10.

Wenn das Mobilteil dies unter „Status“ bestätigt, dann ist alles gut. „Aktuell“ ist 04.10 Branch 0011 bzw. 04.40 Branch 0003, aber diese Version wird noch nicht offiziell seitens Snom beworben.

Eigentlich habe ich TLS über Port 5061 aktiviert, ja.

Tatsache, Easybell hat mein Anliegen bereits umgesetzt. Mein Snom M300 geht jetzt auch. Zu früh gefreut, mein Snom M300 geht noch nicht über TLS. Aber sRTP geht bei diesem Telefon auch über UDP bzw. TCP.

Du solltest Dir noch überlegen, ob Du im Web-Interface unter „Security“ (Deutsch: Netzwerk-Sicherheit) die Option „Use Only Trusted Certificates“ aktivierst. Dazu darfst Du nicht die Taste „Save“ ganz unten sondern musst die Taste „Save“ direkt unter der Option nehmen. Vorher musst Du die von Easybell genutzte Ausgabestelle importieren – das ist ein sogenannter Trust-Anchor. RTX erwartet als Datei-Format nicht Base64 (PEM) sondern binär (DER).

1. Webseite der Certificate Transparency: Klick → (links unten) Download Certificate: PEM → Kontext-/Rechts-Klick auf Download
2. Konvertieren, beispielsweise über OpenSSL: openssl x509 -in 847444.crt -outform DER -out 847444.cer
3. Snom Mx00 → Web-Interface → Security → Import Root Certificate → …

Aktuell bist Du gegen passive Angreifer geschützt (Lauscher auf dem Weg zwischen Dir und Easybell), weil Du verschlüsselst. Diese Option schützt Dich zusätzlich gegen einige (!) aktive Angreifer, weil Du dann Dein Gegenüber auch authentifizierst. Allerdings würde ich damit noch warten, denn Easybell wird die Tage die Ausgabestelle wechseln und dann musst Du die drei Schritte erneut durchführen. Das ist der Nachteil dieser Option – Du kannst offline sein, ohne es zu merken. Allerdings wechselt Easybell seine Ausgabestelle nur alle Jubeljahre mal.

Wenn ich SRTP auf "enabled" setze …

Du musst „optional = fallweise“ nehmen. Nur bei DUStel kannst Du „enabled = immer“ wählen.

 

[Behunio]

Wenn das Mobilteil dies unter „Status“ bestätigt, dann ist alles gut.

Status -> 0410. Also alles gut!

Du musst „optional = fallweise“ nehmen. Nur bei DUStel kannst Du „enabled = immer“ wählen.

Entschuldigung, das verstehe ich nicht: Ich habe nun zum Testen

• RTP from own base station: Enabled
  
• Secure RTP: Optional
  
• Secure RTP Auth: Enabled

gesetzt (TLS ist immer noch aktiv, Port 5061).

Probleme:

• Ein Anruf von meinem Mobiltelefon auf das Festnetz funktioniert, ich höre die Stimme in beide Richtungen
• Ein Anruf vom Festnetz auf das Mobiltelefon erfolgt scheinbar, doch höre ich weder das Tutgeräusch noch beim Abnehmen die Stimme des Gesprächspartners
• Ein Anruf vom Festnetz auf ein beliebiges anderes Festnetz tutet zwar, doch wird der Anruf bei Rufannahme des Gesprächspartners sofort abgewiesen ("Belegt"-Zeichen)

Da spinnt doch irgendwas ganz gewaltig, oder nicht?

 

[sonyKatze]

Also …

Secure RTP Auth: Enabled

Dadurch werden die eingehen Sprach-Pakete (sRTP) überprüft, ob diese wirklich vom Gesprächspartner stammen. Folglich prüft das Telefon, ob sich ein aktiver Angreifer zwischen Dich und Easybell geschoben hat. Entsprechend kannst Du das genau „Use Only Trusted Certificates“ für die Test-Phase erstmal aus lassen, denn Du möchtest Dich primär gegen passive Angreifer (Lauscher) schützen.

Secure RTP: Optional
Ein Anruf vom Festnetz auf das Mobiltelefon erfolgt scheinbar, doch höre ich weder das Tutgeräusch noch beim Abnehmen die Stimme des Gesprächspartners

Du hast einen Software-Bug gefunden.

Ich habe hier das gleiche Symptom. Mein M300 sendet bei Optionalem sRTP im SDP zwei Media-Descriptions: RTP/SAVP + RTP/AVP (2m-lines). Easybell weißt die erste Description mittels inactive zurück. Was jetzt genau schief geht, weiß ich nicht genau – aber das M300 sendet/erwartet weiterhin sRTP-Pakete. Das ist Unfug. Allerdings nutzen nur wenige Telefone 2m-lines für Optionales sRTP. Ich habe mal eines aus meiner Sammlung ausgepackt (Unify OpenScape CP200 mit Firmware: SIP V1 R5.6.0) und den selben Telefonanschluss angerufen: Das Unify fiel zurück auf normales RTP und das Gespräch war in beide Richtungen verständlich.

Ich habe bei Snom ein Ticket aufgemacht. Im Mx00 → Web-Interface → SIP-Log müsstest Du bei Dir Ähnliches sehen.

Secure RTP: Optional
Ein Anruf vom Festnetz auf ein beliebiges anderes Festnetz tutet zwar, doch wird der Anruf bei Rufannahme des Gesprächspartners sofort abgewiesen ("Belegt"-Zeichen).

Auch wenn das mehreren Anschlüssen passiert, beschreibe bitte welcher Anbieter, Technologie und wenn möglich den Vertragsnamen, also beispielsweise: Deutsche Telekom, IP-basierter Anschluss, Speedport W865, Analog-Port. Falls das Endgerät nicht analog sondern digital (DECT, ISDN oder SIP) angeschlossen ist, dann bitte auch das angeben, also Telekom, IP-basierter Anschluss, Speedport W865, DECT, Gigaset C639HX. Dann probiere ich das hier nachzubauen/-testen.

RTP from own base station: Enabled

Dazu kann ich nichts schreiben, weil ich diese Option bei meinem M300 nicht finde; Multi-Cell?

 

[sonyKatze]

Die letzte Woche veröffentlichte 04.50 Branch 0007 kann immer noch nicht mit Easybell – also optionales SDES-sRTP zu allen Zielen.

 

[Auerswald Fan]

Nabend.

In Summe sollte man sich evtl. mal überlegen wie sinnvoll es ist die Sprachdaten Verschlüsseln zu wollen. Grundsätzlich muss jeder Provider auch eine Möglichkeit zum „Mithören“ von Gesprächen für die Strafverfolgungsbehörden bereitstellen. Somit sollte die Verschlüsselung also nur von Deinem DSL-Anschluss bis zum Proxy des Netzbetreibers verschlüsselt sein...okay, Angriffe aus dem eigenen Netzwären somit auch schwieriger...

 

[sonyKatze]

Diskussionen über SDES-sRTP hatten wir eigentlich schon einige. Bitte mache dort weiter…