.titleBar { margin-bottom: 5px!important; }

Verschlüsselte Telefonie (SRTP/TLS) mit CSipSimple Android klappt nicht so richtig

Dieses Thema im Forum "dus.net" wurde erstellt von w-sky, 8 Mai 2014.

  1. w-sky

    w-sky Neuer User

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    79
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Berlin
    Hallo allerseits,

    hier die Anleitung von dus.net: https://www.dus.net/de/kundenmenue/helpdesk/voip-support/kb/article/wie-stelle-ich-tls-und-srtp-ein

    Meine Erfahrungen: Ich konnte problemlos SRTP in CSipSimple aktivieren, das ging allerdings schon ohne den Registrar auf secure.dus.net zu ändern. Das habe ich dann auch noch getan. CSipSimple zeigt beim Telefonieren dann einen gelben Balken mit Schlüsselsymbol und "SRTP" - bei ausgehenden Telefonaten. Jedoch: Eingehende Telefonate werden mir nicht mehr signalisiert, der Anrufer hört die Ansage "Teilnehmer vorübergehend nicht erreichbar"!

    Darüber hinaus erscheint im Kundencenter von Dusnet kein Schlüsselsymbol an dem Anschluss, vermutlich weil TLS noch gar nicht aktiv ist… aber leider, wenn ich in den Einstellungen TLS als Transportprotokoll festlege, kann sich CSipSimple gar nicht mehr registrieren.

    Die Einstellung Default URI scheme = SIPS (anstelle von SIP) liefert bei Anrufversuchen die Fehlermeldung 503 / Unsupported transport

    Ich habe auch noch versucht, ZRTP zu aktivieren, aber das bewirkt gar nichts; die übrigen Einstellungen in CSipSimple scheinen nichts mit SRTP und TLS zu tun zu haben (da hab ich nichts verändert).

    Wo ist das Problem?
     
  2. LooserOuting

    LooserOuting Neuer User

    Registriert seit:
    28 Nov. 2011
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    für tls muss secure.dus.net verwendet werden. "dns srv auflösen" muss aktiv sein. uri scheme muss sip bleiben.
     
  3. GottSeth

    GottSeth Aktives Mitglied

    Registriert seit:
    27 Sep. 2012
    Beiträge:
    1,929
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Kann (natürlich) nicht gehen !

    Die Abkürzung für "SIP mit TLS" ist "TSIP" ;)
     
  4. LooserOuting

    LooserOuting Neuer User

    Registriert seit:
    28 Nov. 2011
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    "sip" oder "sips" wäre richtig. bei der dus.net muss man jedoch "sip" verwenden.
     
  5. w-sky

    w-sky Neuer User

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    79
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Berlin
    #5 w-sky, 14 Mai 2014
    Zuletzt bearbeitet: 15 Mai 2014
    Die Option "dns srv auflösen" gibt es bei CSipSimple nicht, überhaupt nichts in Zusammenhang mit DNS. Hast du es erfolgreich geschafft?
     
  6. LooserOuting

    LooserOuting Neuer User

    Registriert seit:
    28 Nov. 2011
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Du musst in den allgemeinen Einstellungen unter Netzwerk schauen, nicht in den Accounts-spezifischen Einstellungen. Da findest du die DNS Einstellungen. Ich hatte es mal vor 2 Jahren oder so am laufen. CSipSimple bietet genügend Einstellungen. Ich möchte nicht glauben, dass mein geliebtes CSipSimple hier versagt. Keine VoIP-App ist besser :wow: Ich wundere mich nur warum AMR und AMR-WB unterstützt wird. hierfür benötigt man doch eine Lizenz, oder? :shock:

    Klappt es denn ohne Verschlüsselung? Vielleicht wurden die Zugangsdaten falsch eingetragen.
     
  7. w-sky

    w-sky Neuer User

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    79
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Berlin
    Die Zugangsdaten waren schon richtig, benutze CSipSimple schon lange ohne Verschlüsselung. An den allgemeinen Einstellungen lag es. :) Die hatte ich bisher nicht berücksichtigt: Resolve DNS SRV: an und dann musste ich noch unter Secure Transport die Option TLS aktivieren, jetzt kann in den Accounteinstellungen ebenfalls TLS aktiviert sein. Außerdem hab ich bei SRTP mode „mandatory“ (zwingend erforderlich) eingestellt, obwohl wahrscheinlich nicht nötig, wenn in den Accounteinstellungen die dort ebenfalls vorhandene gleiche Option auf „mandatory“ statt Vorgabe steht.

    Aber das Ergebnis ist immer noch nur 75%: Bei eingehenden Gesprächen zeigt CSipSimple an, dass SRTP und TLS benutzt werden, bei ausgehenden Gesprächen jedoch wird nur SRTP benutzt.

    Woran kann das liegen?
     
  8. LooserOuting

    LooserOuting Neuer User

    Registriert seit:
    28 Nov. 2011
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Unter den Profileinstellungen gibt es die Rubrik "Connection". Hier kann man ebenfalls das Protokoll wäheln. Standardmäßig ist es auf "automatisch" gestellt. Versuch mal dies auf "TLS" setzen.
     
  9. sonyKatze

    sonyKatze Mitglied

    Registriert seit:
    6 Aug. 2009
    Beiträge:
    279
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    #9 sonyKatze, 12 Juni 2014
    Zuletzt bearbeitet: 15 Sep. 2014
    CSipSimple » Options » Settings » Options » Expert mode » Network » Secure transport:
    • TLS anhaken
    • TLS Method SSL23
      Auto = TLS 1.0. CSipSimple basiert auf PJSIP, welches OpenSSL nutzt. In OpenSSL ist SSL23 jene Option für Automatik. Und tatsächlich, wenn ich hier auf SSL23 umstelle, nur dann erhalte ich TLS 1.2, TLS 1.1, TLS 1.0 oder SSL 3; je nach Gegenstelle. SSL2 ist aus, auch wenn der Methodenname anderes erwarten lässt. SSL23 ist halt „Automatik“. TLS 1.2 bringt zusätzliche, moderne Cipher-Suites.
    • TLS CA file /sdcard/download/roots.pem
      Im Gegensatz zu Counterpath Bria benutzt CSipSimple nicht Androids Credential-Storage (Android » Menü » Einstellungen » Sicherheit). Deswegen öffne auf Deinem Android diese Diskussion hier und tappe auf das blaue roots.pem! Das lädt die wichtigsten Zertifikate direkt von Google in Deinen Download-Ordner.
    • Check server Anhaken
      Geht nicht, weil DUStel mit einem Wildcard-Zertifikat arbeitet (Options » Help » Record logs » Fehler 171173). Danke für den Hinweis LooserOuting!
    • SRTP mode Disabled (so lassen)
      Hier könnte man alle Accounts auf einmal umstellen. Machen wir aber gezielt im DUStel Account.

    Add Account » Generic Wizards » Expert:
    • Account Name DUStel
    • Account id <sip:[email protected]>
    • Registration URI sip:secure.dus.net
    • Realm *
    • Username Deine Auth-ID, bei DUStel gleich Deinem Benutzernamen
    • Data (password) Dein Kennwort
    • Transport TLS
      Auto ging bei mir nicht, auch wenn DNS-SRV aktiv war. Bei mir hat CSipSimple immer nur einen DNS-SRV für UDP gemacht. Mit fix TLS tat es.
    • Proxy URI sip:secure.dus.net
    • SRTP mode Mandatory

    Wenn ich telefoniere, erhalte ich oberhalb von „SRTP“ jetzt auch „TLS transport is used for immediate hop“. Außerdem zeigt der Telefonhörer ein Schloss. Ich benutze die CSipSimple Version 1.2 aus dem Google PlayStore. Mein Endgeräte haben Android 4.2 und Android 4.4. Soweit ich das verstehe, hast Du lediglich die Proxy URI vergessen. Man war ich froh um Wireshark und meinen Ethernet-Switch mit Port Mirroring! Klappt’s jetzt bei Dir? Leider musste ich in beiden Bereichen in den Expert-Modus wechseln. Ging bei mir nicht ohne.
    TSIP ist eine Abkürzung von Innovaphone und das ist „SIP over TCP“.
    „SIP over TLS“ sind mir schon genug Abkürzung.
    Der Autor von CSipSimple hat das selbst beantwortet …
    AMR-WB macht richtig Spaß. Weniger als 39 kbit/s, trotzdem telefoniert man Wideband bzw. HD.
     
  10. LooserOuting

    LooserOuting Neuer User

    Registriert seit:
    28 Nov. 2011
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    In den SRV-Records stehen auch Ports. So läuft TLS z.B. auf Port 5061. Eine Anmeldung per TLS auf Port 5060 ist soweit mir bekannt nicht möglich.

    Die Aussage dus.net verbietet SIP-URIs ist igendwie falsch.Was das mit der URI Scheme zu tun hat vestehe ich auch nicht. Wo war da der Zusammenhang ? Jeder SIP-Request beeinhaltet SIP URIs. Da gibt es die Request URI. Die From-URI. Contact-URI. und und und.
    Was Du meinst ist, die dus.net nur Requests von autorisierten Usern verarbeitet. Das macht in vielerlei Hinsicht auch sinn.


    Dann habe ich also die Lizenz beim kauf des Handys erworben, und die App nutzt die bereits vorandene Bibliothek?!
    AMR ist eine richtg gute Sache. Leider nicht so stark verbreitet, da eine Lizenz benötig wird. Auch von der dus.net wird es nich unterstützt.(Kann aber dus.net intern verwendet werden, wenn beide Teilnehmer den Codec unterstützen.)
    Ich kann es kaum erwarten bis die freie Alernative opus die Internettelefonie revolutioniert. :D
     
  11. sonyKatze

    sonyKatze Mitglied

    Registriert seit:
    6 Aug. 2009
    Beiträge:
    279
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    proxy.dus.net, sips.dus.net und secure.dus.net lösen auf die selbe IP auf. Diese IP hat Port 5060 (UDP/TCP) und 5061 (TLS) offen. Lediglich die DNS-SRV Records sind anders. proxy.dus.net hat zusätzlich noch einen NAPTR-Record, allein auf UDP. Daher ist das total egal, welche Domain man benutzt – außer der VoIP-Client macht vorher eine NAPTR-Abfrage und drei SRV-Abfragen über alle drei Protokolle (TLS » TCP » UDP). Diese Automatik macht CSipSimple bei mir irgendwie nicht, daher sind dus.net’s Unterschiede im DNS-SRV egal.
    Hast Du das kleine s in SIPs übersehen? Was wir hier machen ist „SIP over TLS“. dus.net verlangt als URI-Scheme SIP und erlaubt SIPs nicht. Warum auch immer. Deswegen gehen Nokia Symbian/S60 mit dus.net (TLS) auch nicht.
     
  12. LooserOuting

    LooserOuting Neuer User

    Registriert seit:
    28 Nov. 2011
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #12 LooserOuting, 15 Aug. 2014
    Zuletzt bearbeitet: 15 Aug. 2014
    Ich habe mich nochmals mit TLS und dus.net befasst. Hier ein Paar Sachen die cih herausgefunden habe:
    - Das Server-Zertifikat ist für secure.dus.net ausgestellt (Dieses schein neu zu sein ist von COMODO). Wenn Du eine andere Domain verwendest wird vermutlich die Validierung fehlschlagen. Es ist folglich nicht egal welche Domain man verwendet.
    - dus.net scheint maximal TLSv1.0 zu unterstützen

    @sonyKatze
    Ja ich hab das "s" überlesen. Das war so verstekt zwischen den ganzen Großbuchstaben. Sorry. Jetzt macht es Sinn. Danke.

    SFLphone(für Linux) verwendet auch fest sips bei TLS. Kann also auch nicht mit dus.net in Verbindung mit TLS genutzt werden.

    Edit: Hahaha. das Zertifikat ist seit dem 11.8.2014 gültig :)))))) dus.net liest wohl mit
     
  13. LooserOuting

    LooserOuting Neuer User

    Registriert seit:
    28 Nov. 2011
    Beiträge:
    85
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Es gibt ein Bug report zu dem problem mit den srv lookups.
    https://code.google.com/p/csipsimple/issues/detail?id=2384

    Laut debug log macht das csipsimple nur einen Abfrage für _sip._udp.* was fehlschlägt. darauf sucht es nach A records.

    D/libpjsip: 12:51:16.322 _sip._udp.secu !DNS SRV resolution failed for _sip._udp.secure.dus.net: DNS "Name Error" (PJLIB_UTIL_EDNS_NXDOMAIN)
    D/libpjsip: 12:51:16.322 _sip._udp.secu DNS SRV resolution failed for _sip._udp.secure.dus.net, trying resolving A record for secure.dus.net