[Gelöst] Voip mit TLS und weitere Gedankengang

[brenner23]

Hallo Community,
Ich versuche hier gerade auf meiner Virtuellen Machine und auf meinem Raspi eine Asterisk aufzusetzen, also Apt install Asterisk .....

Also das funkrionert alles so wie es soll, Das was ich vor habe ist dieses dann auf meinem V-server auch linux zu über tragen...
mein gedanke ist ich will kein UDP/TCP sondern TLS also verschlüsselt... das funktioniert nicht so wie erhofft....
dann schaute ich mir meine BlueSip daten an und lese UDP/TCP.... ist diese verbindung auch nicht verschlüsselt ???

ich hab das mal nach dieser anleitung gemacht https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial

Hier mal PJSIP.CONF

[transport-tls]
type=transport
protocol=tls
bind=0.0.0.0:5061
cert_file=/etc/asterisk/keys/asterisk.crt
priv_key_file=/etc/asterisk/keys/asterisk.key
method=TLSv1_2

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
[1000]
message_context=messages
type=endpoint
context=from-internal
disallow=all
allow=ulaw,alaw,gsm,g726
callerid=1000 <1000>
dtmf_mode=rfc4733
auth=1000
aors=1000

[1000]
type=auth
auth_type=userpass
password=SUPERPASS
username=1000

[1000]
type=aor
max_contacts=10
remove_existing=yes
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

Und als Antwort vom Server kommt halt das ...

[Jan 21 13:29:24] NOTICE[24620]: chan_sip.c:29062 handle_request_register: Registration from '<sip:[email protected]>' failed for '192.168.0.51:5061' - Wrong password

Was ich auch noch gefunden habe ist das das nicht mal aktiviert ist ....

asterisk*CLI> pjsip show transports

Transport:  <TransportId........>  <Type>  <cos>  <tos>  <BindAddress....................>
==========================================================================================

Transport:  transport-tcp             tcp      0      0  0.0.0.0:5060
Transport:  transport-udp             udp      0      0  0.0.0.0:5060

Objects found: 2

root@asterisk:/etc/asterisk/keys# asterisk -vvvvr
Asterisk 16.28.0~dfsg-0+deb11u1, Copyright (C) 1999 - 2021, Sangoma Technologies Corporation and others.
Created by Mark Spencer <[email protected]>
Asterisk comes with ABSOLUTELY NO WARRANTY; type 'core show warranty' for details.
This is free software, with components licensed under the GNU General Public
License version 2 and other licenses; you are welcome to redistribute it under
certain conditions. Type 'core show license' for details.
=========================================================================

ich denke ihr habt da ideen für meine 2 Fragen ...

lg

 

[gehtdoch]

[Jan 21 13:29:24] NOTICE[24620]: chan_sip.c:29062 handle_request_register: Registration from '<sip:[email protected]>' failed for '192.168.0.51:5061' - Wrong password

Nun ja, da geht was drunter und drüber. Die Konfig ist für pjsip - aber chan_sip ist aktiv. Du musst erst mal sicherstellen, dass chan_sip aus ist und dann dafür sorgen, dass pjsip auch tatsächlich genutzt wird.

Frage nebenbei:
Falls Du Verschlüsselung "nur" zum Provider benötigst, brauchst Du keine eigenen Zertifikate - nur so am Rande erwähnt.

 

[sonyKatze]

chan_sip.c

Die Fehlermeldung kommt vom (alten) SIP-Channel-Driver chan_sip. Deine geposteten Konfigurationsdatei gehört zu dem (neuen) SIP-Channel-Driver chan_pjsip. Und: Was genau möchtest Du erreichen; Dich bei blueSIP über SIP-Over-TLS anmelden? Oder ein lokales VoIP/SIP-Telefon über SIP-over-TLS an Deinen Asterisk anmelden?

 

[brenner23]

Hallo
ich habs soweit hinbekommen das, Ich eine Verschlüsselung am start habe, nun aber das Problem, Mein Phoner lite die Verschlüsselung frist, aber mein yealink ta200 und Handy mit Lingphone diese nicht will...

Was das mit dem Bluesip angeht, war was nur ne frage weil ich dieses in meine fritzbox ja schon eingetragen habe .... und ich nicht weiss wie es mit dem TCP/UDP sich verhält und oder die Fritzbox auch das TLS kann und auch automatisch macht ....

Dann zu dem chan_sip wenn das aus soll, wo deaktiviere ich das sip.Conf ist leer sollte also deaktiviert sein ....oder seh ich da was falsch ?

Und wenn ich das final fertig habe will ich das auf nen VPS mit Debian packen z.b. 1Blue, oder 1&1 .... und ich will das als "brücke" zu meiner fritzbox , heist Nummer 1000 ist die FritzBox und handy soll dann 1001 sein z.b. also das ich von jedem hotspot aus mich auf die Asteris einwähle mit Handy app und dann nach hause " Intern" telefoniere, also nichts wildes... weil der VPS ist ja schon da und mach für mich noch andere Dienste wie Webseite Datenbank... und wenn ich dann über freePBX nachdenke muss ich eine Iso einlegen in den server, ausserdem ist es wie mit Kanonen auf Spatzen schießen ... also ein "apt install asterisk" sollte es auch tun

lg

Nachtrag:
ich hab in den Modules.conf

noload => chan_sip.so

gesetzt

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Frage nebenbei:
Falls Du Verschlüsselung "nur" zum Provider benötigst, brauchst Du keine eigenen Zertifikate - nur so am Rande erwähnt.

Insofern ist (soll) dann der Kleine VPS auch Quasi als "MeinProvider" dienen und sollte verschlüsselt sein , wie auch eine Https://www..... seite

 

[gehtdoch]

Ja, in diesem Fall brauchst Du tatsächlich Zertifikate auf Asterisk. Warum jetzt der eine Client funktioniert, der andere aber nicht, könnte daran liegen, dass Du vielleicht self signed certificates verwendest? Nicht jeder Client akzeptiert das. Nebenbei: Hast Du verifiziert, dass auch tatsächlich SIP over TLS zum Einsatz kommt und nicht doch noch parallel einfach TCP oder gar UDP?

Noch ein paar andere Gedanken:
So wie ich Dich verstanden habe, soll der Asterisk-Server völlig offen im Internet stehen (muss ja so sein für deinen use case). In diesem Fall musst Du natürlich auch sicherstellen, dass tatsächlich nur die an den Service kommen, die das auch sollen - und sonst niemand. IAW: Du musst Dich intensiv mit der sicheren Bereitstellung von Asterisk beschäftigen (Verschlüsselung löst dieses Problem nämlich nicht).
Daher ein Tip dazu: Am Sichersten gehst Du da vor, in dem Asterisk nur via VPN erreichbar ist. In diesem Fall kannst Du Dir dann sogar die Verschlüsselung zwischen Asterisk und den eigenen Clients schenken und damit die Zertifikate, weil das alles durch das VPN bereitgestellt wird.

 

[brenner23]

weil das alles durch das VPN bereitgestellt wird.

Ein Wireguard und openvpn ist ja schon drauf also das ist eine idee
aber wie erkläre ich es der Fritzbox, oder meinem yealink TA200.....

 

[gehtdoch]

Auf der VM (wo Asterisk läuft z.B.) läuft ein VPN-Server, auf den sich alle Clients anmelden. Bei einem VoIP-Client auf einem Handy z.B. muss eben dort auch ein VPN-Client laufen (der sich auf den VPN-Server verbindet). Gleiches gilt auch für die lokalen Telefone. Auch dort benötigst Du irgendwo im LAN einen VPN-Client, der sich auf den VPN-Server verbindet. Das gesamte VPN ist am Ende des Tages nichts anderes als ein eigenes Netz (z.B. 10.34.24.0/24 - wenn das frei ist bei Dir), das die Daten durch andere Netze verschlüsselt durchtunnelt. Am Einfachsten ist das natürlich, wenn der SIP-Client gleich einen VPN-Client mitbringt.
In wie fern die Fritzbox in der Lage ist, ein VPN-Netz bereitzustellen, vermag ich nicht zu sagen - ich betreibe keine. Ich habe einen komplett eigenen Router, der mir alle Möglichkeiten, welche die Netzwerktechnik auf Basis von Linux bietet, bereithält. Da gibt es dann kaum Einschränkungen.

 

[brenner23]

Also das mit Smartfone wird einfach sein, das aber das ich nur in der fritzbox telefoniezugangsdaten eingeben kann ist schon schwiriger....
was mein Yealinf Ta200 kann und ob ich einen VPN vorher laden kann ist auch fraglich ^^
ich könnte ja eine komplett andere Portrange nutzen , das hält die bots bei laune wenn auf den Standardports nichts ist
genau wie ich den SSH port in höhere regionen verlegt habe ....also in den 5stelligen bereich
Oder fragen wir mal anders, wie machen es den provider wie Sipgate und co.... die sind auch offen im Netz...
aber da war noch was mit Stun server , welche funktion hatte der nochmal ???
lg

 

[gehtdoch]

das aber das ich nur in der fritzbox telefoniezugangsdaten eingeben kann ist schon schwiriger....

Wieso das? Das VPN hat doch damit gar nichts zu tun. Durch das VPN kannst Du alles mögliche durchtunneln.
Ich habe Dich so verstanden, dass Deine lokalen Telefone sich direkt am Asterisk anmelden sollen (was ja auch Sinn macht). Wenn es um das Thema VPN geht reden wir ausschließlich über Netzwerktechnik und nicht über VoIP. Du solltest Dich daher mal zwingend mit Netzwerktechnik bzw. VPN auseinandersetzen.

das hält die bots bei laune wenn auf den Standardports nichts ist
genau wie ich den SSH port in höhere regionen verlegt habe ....also in den 5stelligen bereich

IAW: security by obscurity. Wenn Du das für sicher hältst ... .

wie machen es den provider wie Sipgate und co.... die sind auch offen im Netz...

Ja, die haben Spezialisten für VoIP-Sicherheit. Ich habe nie gesagt, dass man das nicht machen kann. Man kann alles machen, wenn man sich entsprechend auskennt und daher im Detail weiß, was man machen muss. Wenn Du also in Sachen VoIP-Sicherheit und auch im Speziellen in Bezug auf Asterisk fit bist -> dann leg los! Ich kann und will das nicht beurteilen. Ich habe lediglich einen Tipp / Hinweis gegeben - mehr nicht. Es ist am Ende des Tages Dein Risiko - nicht meines .

 

[armin56]

@brenner23 was ist eigentlich "vpip"? Handelt es sich in dem Themen Titel um einen Schreibfehler, der korrigiert werden könnte?

 

[brenner23]

Ja, habs korrigiert ^^@armin56

 

[sonyKatze]

yealink ta200 und Handy mit Lingphone

Irgendwie hat Du eine Rechtschreibe-Hilfe, die mehr kaputt zu machen scheint. Ich vermute Du meinst nicht Yealink sondern Yeastar TA200. Und Linphone?

FritzBox

Das bedeutet, die FRITZ!Box soll sich an dem Asterisk registrieren un das über SIP-over-TLS? Ich wüsste keinen Trick, wie Du deren Zertifikatsvalidierung abschalten könntest. Daher bräuchtest Du ein öffentliches Zertifikat, also z.B. Let’s Encrypt oder irgendwas ab 15€ pro Jahr …