Ankündigung

Einklappen
Keine Ankündigung bisher.

Telekom SIP trunk mit TLS

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Telekom SIP trunk mit TLS

    Hallo,
    wir möchten gerne SIPs nutzen. Allerdings muss man anscheinend ein Zertifikat angeben, das man nutzen möchte. Ich verstehe nicht warum, da die Verbindung doch wie im Browser aufgebaut werden sollte. Ich möchte zwar, dass der Verkehr verschlüsselt wird, mich aber nicht authentifizieren und ein bestimmtes Zertifikat angeben.
    Leider ist das Handbuch nicht wirklich aussagekräftig dazu und zwei Systemhäuser, die Officemaster verkaufen, wussten auch nicht weiter.
    Wie bekomme ich es am einfachsten hin, dass wir SIPs verwenden ?

    Marc

    #2
    Hallo,
    am einfachsten ist es, wenn Sie ein Zertifikat angeben.
    Bitte achten sie dabei auf das Gültigkeitsdatum und den Zweck: Client-/Serverauthentifizierung.
    Dass die Telekom dabei dem Zertifikat vertraut ist nicht von Bedeutung.

    In einer der kommenden Releases, wird es auch möglich sein, eine TLS Verbindung ohne Client-Zertifikat zu verwenden.

    Ralf Jänike

    Kommentar


      #3
      Hallo Herr Jänike, danke für die Antwort, aber leider ist mir immer noch nicht klar, wie. Was trage ich denn da genau ein ? Könnten Sie mir einen String eines Standard Zertifikats geben, mit dem es dann funktioniert, da dieses dann z.B. in den vertrauenswürdigen Stammzertifizierungsstellen einer normalen Server2016 Installation wäre ?
      Marc

      Kommentar


        #4
        Hallo Marc,
        es sollte der Anzeigename (FriendlyName) des Zertifikats konfiguriert werden, wie er im Computer-Zertifikatsspeicher von Windows angezeigt wird (kann ggf. auch selbst bestimmt werden)

        alternativ kann der Pfad zur Zertifikatsdatei konfiguriert werden.

        ciao Ralf

        Kommentar


          #5
          Hallo Ralf,
          ich habe über die MMC Zertifikate bei unser CA ein Zertifikat angefordert (Zwecke Client- und Serverauthentifizierung). Dieses ist jetzt auch inkl. privatem Schlüssel in den eigenen Zertifikaten, Lokaler Computer). Im Handbuch steht ja, dass der FriendlyName eingetragen werden soll. Das ist aber zu ungenau, da die MMC nur "ausgestellt für" anzeigt. Ich habe jetzt herausgefunden, dass man den friendly Name hinterher über die MMC setzen kann. Nach der Konfiguration startet jetzt auch die Komponente, Faxe kommen aber mit SIP-Fehler (Code: 487, Der Anrufversuch wurde abgebrochen.) zurück. Im Log findet man noch: OnCfgChgNot(): Configuration did change massively. Need to stop everything. Haben Sie noch eine Idee?
          Marc

          Kommentar


            #6
            Hallo Marc,
            das sieht doch erstmal ganz gut aus, denn das ursprüngliche Fehlerbild (kein TLS zur Telekom) wurde scheinbar gelöst?

            Warum der Ruf jetzt mit "SIP 487" abgebrochen wird, wäre separat zu untersuchen. Die zitierte Logzeile, gibt jedoch keinen Hinweis auf die Ursache, denn es ist die Ausschrift, wenn die Konfiguration der SIP-Komponente derart "stark" verändert wurde, dass quasi ein "Neustart" durchgeführt werden muss, damit alle internen Objekte mit den neuen Einstellungen starten.

            weiteres Vorgehen:
            1. sicher stellen, dass DNS-Auflösung des Trunk erfolgreich ist
            2. sicher stellen, dass directSIP sich erfolgreich am Trunk registriert
            3. eingehenden Ruf auslösen
            4. ausgehenden Ruf auslösen
            sollten Sie das nicht allein oder mit Hilfe Ihres Support-Anbieters durchführen wollen, nehmen Sie bitte den technischen Support der Ferrari electronic Hotline in Anspruch.

            Ralf

            Kommentar


              #7
              Hallo Ralf,
              nein leider nicht. Es sieht zwar so aus, als wenn sip0 startet, aber nach kurzer Zeit wird der Dienst anscheinend wieder beendet und die Faxe gehen nicht durch (Fehlermeldung siehe oben) im Log sehe ich noch das hier. Schalte ich wieder auf TCP um, funktioniert sofort wieder alles wie vorher. Hast Du noch eine Idee ?
              Unsere Datenschutz Abteilung möchte, dass wir (verständlicherweise) nichts unverschlüsselt versenden. Deswegen möchte ich TLS einsetzen.

              StartSipHandler(): SipOptions started 'sip:Anonym@sip-trunk.telekom.de:5060;transport=tls' - verify our range to target... one ping only.
              Marc

              Kommentar


                #8
                Hallo Marc,
                die zitierte Logzeile ist nicht sonderlich hilfreich bei der Diagnose. Das ist einfach eine Info-Ausschrift, dass directSIP jetzt versuchen wird den Trunk zu erreichen.

                DAS was davor UND DANACH kommt wäre viel interessanter, um zu sehen, ob
                1. die DNS-Auflösung des Trunk erfolgreich ist
                2. directSIP sich erfolgreich am Trunk registriert
                nehmen Sie bitte den technischen Support der Ferrari electronic Hotline in Anspruch.

                Ralf

                Kommentar


                  #9
                  Hallo,
                  wir möchten nicht fast 500 EUR für eine mögliche Lösung bezahlen.
                  Das registrieren funktioniert, da wir jeden Tag mehrere 100 Faxe versenden und empfangen. Nur direkt nach der Umstellung auf TLS funktioniert es nicht mehr.
                  Können wir noch irgendetwas tun, um den verschlüsselten Versand zu aktivieren ?
                  Marc

                  Kommentar

                  Lädt...
                  X