Snom D765: TLS-Probleme mit SRV und NAPTR

[wuesten.fuchs]

Hallo zusammen,

ich versuche, ein Snom D765 via TLS an einen Asterisk 18 einzubinden. Dabei verwende ich NAPTR und DNS SRV-Einträge, um dem Snom die Server bereit zu stellen.

Das Lustige ist nun:

1. Wenn ich NAPTR und SRV verwende (also user_outbound leer lasse), kann sich das Snom nicht registrieren (s.u.)
2. Wenn ich unter user_outbound den Transport manuell angebe (sip1.example.com:5061;transport=tls), klappt die Registrierung problemlos
3. Ältere Snom-Telefone (Snom 300) können sich problemlos mit den vorhandenen NAPTR und SRV-Einstellungen registrieren, ohne dass ich user_outbound angeben muss.

Bei einem Registrierungsversuch erscheint im Asterisk folgende Nachricht:

pjproject: <?>: SSL SSL_ERROR_SSL (Handshake): Level: 0 err: <336151570> <SSL routines-ssl3_read_bytes-sslv3 alert bad certificate> len: 0 peer: 10.41.0.21:41425

und der Endpoint erscheint als "Unavailable".

Wenn ich mir den SIP-Trace so anschaue, dann sehe ich, dass das Snom sich via UDP und Port 5060 - anstelle von TLS und Port 5061 - auf die Server-IP zu verbinden versucht.

Wieso will sich das Snom unbedingt via UDP verbinden und nicht via TLS, wie es die NAPTR- und SRV-Einträge eigentlich vorgeben sollten?

Hier die relevante Konfiguration aus dem DNS:

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; NAPTR records
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; Domain                        Order    Pref Flags Service Regexp Replacement
example.com.                IN NAPTR    50   50  "s"  "SIPS+D2T"  ""  _sips._tcp.example.com.
example.com.                IN NAPTR    90   50  "s"  "SIP+D2T"   ""  _sip._tcp.example.com.
example.com.                IN NAPTR    100  50  "s"  "SIP+D2U"   ""  _sip._udp.example.com.


;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; SRV records
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
_sips._tcp.example.com.        IN  SRV  10  0  5061  sip1.example.com.
_sips._tcp.example.com.        IN  SRV  20  0  5061  sip2.example.com.
_sip._tcp.example.com.            IN  SRV  10  0  5060  sip1.example.com.
_sip._tcp.example.com.            IN  SRV  20  0  5060  sip2.example.com.
_sip._udp.example.com.            IN  SRV  10  0  5060  sip1.example.com.
_sip._udp.example.com.            IN  SRV  20  0  5060  sip2.example.com.


;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; A records
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
sip1            IN    A    10.22.0.11

 

[sonyKatze]

Du lenkst über DNS-SRV auf eine Subdomain um, also eine andere Domain. Welche Domain(s) stehen in Deinem TLS-Zertifikat?

Wenn Du als „Registrar“ im Snom „example.com“ verwendest, dann muss am Ende im TLS-Zertifikat als „Domain“ auch „example.com“ stehen, weil DNS potentiell unsicher ist. Ältere Firmwares machten das anders, nämlich falsch. Bei solch alten Firmwares musst Du die Hostname-Validierung erst einschalten: https://<phoneIP>/settings.htm?check_fqdn_against_server_cert=on

 

[wuesten.fuchs]

Hi sonyKatze,

du hast den Nagel auf den Kopf getroffen. Eigentlich ist das klar, wenn als Registrar "example.com" angegeben ist, dass dann auch das Zertifikat im Asterisk auf "example.com" stehen muss, und nicht auf "sip1.example.com", wie es bei mir der Fall war.

Vielen Dank für die ausführliche und abschließende Antwort. Genau das war das Problem.

Du glaubst gar nicht, wie lange ich an da schon dran war. Ich glaube, ich habe den Wald vor lauter Bäumen nicht mehr gesehen. D'oh. Kann ich dir einen Kaffee spendieren?