3CX PBX

Пользуюсь 3CXPhone, столкнулся с проблемой при подключении к * по TLS/SRTP. На UDP/RTP проблем нет. На аналогичной конфигурации другие софтфоны (например Eyebeam) работают корректно.

3CX настраиваю по инструкции - http://www.3cx.com/blog/voip-howto/secure-sip/

После попытки регистрации клиент сообщает "Сервер недоступен", смотрю в дамп траффика - 3CXPhone постоянно пробует установить TLS-сессию с сервером и каждая попытка неудачна.

Дамп одной попытки (192.168.2.163 - 3CXPhone, 192.168.2.248 - Asterisk)


Тот же дамп после расшифровки private ключем сервера (192.168.2.163 - 3CXPhone, 192.168.2.248 - Asterisk)


Пробовал с "правильным" сертификатом, т.е. CN=имя_узла, и с CN=3CXPHONE


По дампу понял только что 3CXPhone после перехода к шифрованию сеансовым ключем просто закрывает соединение без дополнительной информации.

Кто-нибудь сталкивался?

Если "сгенерите" сертификаты для сервера так, как рассказано в том линке, то всё будет работать.
Телефону "не нравится" сертификат, который предъявляется сервером (он имеет на это право). По этой причине он(телефон) и обрывает соединение.

_________________
Stepan
3CX Development Team

3CX News, Tips and How to's at http://www.3cx.com/blog/
Very useful links are listed on http://www.3cx.com/support/index.html

Спасибо, удалось запустить. Эксперементально выяснил что это скорее особенности реализации TLS в 3CXPHONE.
Не удалось запустить с нормальным domain name в сертификате, но запустилось с IP-адресом. Функциональность немного ограничивает, но работает.

аналогичная проблема
win2003/3CX Phone 10.0
3CX стоит в локалке 192.168.1.6
есть динамический внешний ip с dyndns доменом на роутере (192.168.1.1) с пробросом портов
все работает на TCP/UDP
при переключении на TLS, приложения на андройде(LinPhone) и iphone (Bria) перестают подключатся (no response)
в логах следущее:

сертификаты создавались по инструкции (http://www.3cx.com/blog/voip-howto/secure-sip/ )
сертификаты создавал и на 192.168.1.6, на внешний домен, на внешний ip
ошибка одна и таже

однако, при использовании sip программы PhonerLite под WinXP на TLS подключается:



так мыслю, програмки на телефонах не имеют доверия к сертификату
а прога на ХР забивает на все эти доверия

куда копать? как реализовать tls?

tlsv1 alert unknown ca
Корневой сертификат CA добавлен в доверительные?

да, добавлен в "Доверительные корневые центры сертификации"

Насколько я знаю, в айфоне сертификаты хранятся в профилях, а то, о чем говорите вы, больше похоже на винду или по описанию на Snom.

В Iphone сертификаты нужно загружать с помощью Iphone Configuration Utility.
При этом будет работать только тот сертификат (с тем IP), который указан и активирован в Настроки - Безопасность.

У меня айфон не подключается, вот ошибка на сервере:


Как я понимаю, айфон и сервер 3сх используют разные версии SSL?

а у меня подключается.
Опишу, как мне это удалось:
Iphone 3GS - Bria - настроено по http://www.3cx.com/blog/voip-howto/secure-sip/
Сертификат на Iphone загружен с помощью Iphone Configuration Utility.
В Настройки - Безопасность выбран нужный интерфейс, для которого создавался сертификат.
Регистрация проходит, дальше можно звонить.
Wireshark ом ничего поймать нельзя

Я пользуюсь родным 3CXPHONE, после проверки вайршарком видно, что после того, как указан порт 5061 (другого варианта указать TLS я не нашел) все равно в регистрации указывается либо UDP либо TCP. Поэтому и ошибка версий, что это даже не SSL.

а с чего вы взяли, что указав порт 5061 у вас будет работать транспорт по TLS протоколу?! У вас проходит регистрация по UDP (или TCP, если включен TCP Transport) на 5061 порт.
Установите Bria, там есть выбор между транспортным протоколом - UDP, TCP, TLS

TLS транспорт также есть в софтфонах Media5-fone и Is-phone.
Но запустить получилось только в Bria

Есть такое понятие, как предположение, поэтому:


Судя по всему, 3CXPHONE для айфона не поддерживает TLS (это тоже предположение).

так и есть.

В Андроиде тоже нет.