Verschlüsselte Telefonie - kein Mediasec im Register mehr nötig bei neuen Servern?

gehtdoch

Mitglied
Mitglied seit
3 Feb 2019
Beiträge
378
Punkte für Reaktionen
25
Punkte
28
Hallo zusammen,
ich habe heute Nacht einen neuen SIP-Server im DNS als primären Server entdeckt. Der ist in soweit auffällig, dass er wohl kein Mediasec während der Registrierung mehr benötigt. Zumindest werden alle diesbezüglichen Erweiterungen ignoriert. Der Header
Code:
Security-Server
ist im 401 Unauthorized nicht mehr enthalten. Es erfolgt auch kein
Code:
494 Security Agreement Req
mehr. Einzig im 200 Ok ist nun der Header
Code:
Security-Server: sdes-srtp;mediasec
enthalten (war vorher nicht dabei). Hinzugekommen sind auch eine sip.instance beim Contact-Header sowie der neue Header
Code:
Session-ID


Braucht man bei den neuen Servern also kein Mediasec im Register mehr?


Bei eingehenden Calls ist aber im SDP nach wie vor ein
Code:
3ge2ae:applied
enthalten.

D.h., hier muss bei ausgehenden Calls nach wie vor das
Code:
3ge2ae:requested
enthalten sein? Oder geht das mittlerweile offiziell auch ohne (bei den neuen Servern)?

Ergänzung 09.12.2022:
Ich habe nun diverse Tests mit ausgeschalteter Mediasec-Erweiterung gemacht. Ich kann berichten, dass die Verschlüsselung wohl auch ohne Mediasec-Erweiterungen funktioniert - zumindest bei mir hier.
Allerdings: wie es aussieht gilt das nur für die neuen Server, also vermutlich die mit dem Namenskonzept
Code:
[ORT]-l01-mav-pc-rt-001.edns.t-ipnet.de
. Da beim SRV-Lookup aber 3 Server geliefert werden und 2 davon noch die alten sind, ist es gewagt, Mediasec abzustellen. Falls wieder einer der alten nach vorne geholt wird, hat man ein Problem ... .

Noch was:
der hier gelieferte neue Server deckt alle Typen ab (sip/udp, sip/tcp und sips/tcp).

Ergänzung 08.01.2023:
Ich habe auch festgestellt, dass - zumindest bei SIP over TLS - bestehende TCP-Verbindungen nicht mehr beendet werden nach einem unregister oder falls clientseitig keine zyklische Reregistrierung mehr erfolgt. Ohne Reregistrierung geht die Nummer natürlich offline (in beide Richtungen - wie bisher auch - im Falle von ausgehenden Calls kommt eben ein "403 Forbidden" anstatt eines "407 Proxy authentication required")!
 
Zuletzt bearbeitet:
Moin,

ich konnte die neuen Server nicht feststellen. Wurden die ggf. wieder rausgenommen?

Code:
$ dig +short naptr tel.t-online.de
10 0 "s" "SIPS+D2T" "" _sips._tcp.tel.t-online.de.
30 0 "s" "SIP+D2T" "" _sip._tcp.tel.t-online.de.
20 0 "s" "SIP+D2U" "" _sip._udp.tel.t-online.de.
$ dig +short srv _sips._tcp.tel.t-online.de
20 0 5061 d-eps-100.edns.t-ipnet.de.
10 0 5061 hh-eps-100.edns.t-ipnet.de.
30 0 5061 h2-eps-100.edns.t-ipnet.de.
$ dig +short srv _sip._tcp.tel.t-online.de
30 0 5060 h2-epp-100.edns.t-ipnet.de.
20 0 5060 d-epp-100.edns.t-ipnet.de.
10 0 5060 hh-epp-100.edns.t-ipnet.de.
$ dig +short srv _sip._udp.tel.t-online.de
30 0 5060 h2-epp-100.edns.t-ipnet.de.
20 0 5060 d-epp-100.edns.t-ipnet.de.
10 0 5060 hh-epp-100.edns.t-ipnet.de.
 
Die neuen Server sind regional
Code:
[ORT]-l01-mav-pc-rt-001.edns.t-ipnet.de
als Beispiel - und ja - es gibt (logischerweise) keine BigBang-Umstellung. Ebenso klar ist, dass die Server auch temporär sein können (nebenbei: die SRV-Liste darf nie als statisch betrachtet werden - auch bei den alten nicht). Daher macht es mit Sicherheit noch lange keinen Sinn, Mediasec zu deaktivieren.
 

Statistik des Forums

Themen
244,696
Beiträge
2,216,701
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.