Forum

[dmitry_master]

3CXPhone проблема с TLS при подключении к *

by dmitry_master » Wed Dec 08, 2010 11:38 am

Пользуюсь 3CXPhone, столкнулся с проблемой при подключении к * по TLS/SRTP. На UDP/RTP проблем нет. На аналогичной конфигурации другие софтфоны (например Eyebeam) работают корректно.

3CX настраиваю по инструкции - http://www.3cx.com/blog/voip-howto/secure-sip/

После попытки регистрации клиент сообщает "Сервер недоступен", смотрю в дамп траффика - 3CXPhone постоянно пробует установить TLS-сессию с сервером и каждая попытка неудачна.

Дамп одной попытки (192.168.2.163 - 3CXPhone, 192.168.2.248 - Asterisk)


Тот же дамп после расшифровки private ключем сервера (192.168.2.163 - 3CXPhone, 192.168.2.248 - Asterisk)


Пробовал с "правильным" сертификатом, т.е. CN=имя_узла, и с CN=3CXPHONE


По дампу понял только что 3CXPhone после перехода к шифрованию сеансовым ключем просто закрывает соединение без дополнительной информации.

Кто-нибудь сталкивался?

[SY]

Re: 3CXPhone проблема с TLS при подключении к *

by SY » Wed Dec 08, 2010 6:09 pm

Если "сгенерите" сертификаты для сервера так, как рассказано в том линке, то всё будет работать.
Телефону "не нравится" сертификат, который предъявляется сервером (он имеет на это право). По этой причине он(телефон) и обрывает соединение.

[dmitry_master]

Re: 3CXPhone проблема с TLS при подключении к *

by dmitry_master » Thu Dec 09, 2010 10:27 am

Спасибо, удалось запустить. Эксперементально выяснил что это скорее особенности реализации TLS в 3CXPHONE.
Не удалось запустить с нормальным domain name в сертификате, но запустилось с IP-адресом. Функциональность немного ограничивает, но работает.

[ztaz]

Re: 3CXPhone проблема с TLS при подключении к *

by ztaz » Sun Feb 26, 2012 12:32 pm

аналогичная проблема
win2003/3CX Phone 10.0
3CX стоит в локалке 192.168.1.6
есть динамический внешний ip с dyndns доменом на роутере (192.168.1.1) с пробросом портов
все работает на TCP/UDP
при переключении на TLS, приложения на андройде(LinPhone) и iphone (Bria) перестают подключатся (no response)
в логах следущее:

Code: Select all

15:04:41.822  Error code = 336151576 file=.\ssl\s3_pkt.c line=1060
15:04:41.822  error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
15:04:41.822  TLS handshake failed


сертификаты создавались по инструкции (http://www.3cx.com/blog/voip-howto/secure-sip/ )
сертификаты создавал и на 192.168.1.6, на внешний домен, на внешний ip
ошибка одна и таже

однако, при использовании sip программы PhonerLite под WinXP на TLS подключается:

Code: Select all

15:19:22.900  [CM504001]: Ext.10: new contact is registered. Contact(s): [sip:10@192.168.1.1:3299;transport=tls/10]


так мыслю, програмки на телефонах не имеют доверия к сертификату
а прога на ХР забивает на все эти доверия

куда копать? как реализовать tls?

[Sergiy]

Re: 3CXPhone проблема с TLS при подключении к *

by Sergiy » Mon Feb 27, 2012 8:24 am

tlsv1 alert unknown ca
Корневой сертификат CA добавлен в доверительные?

[ztaz]

Re: 3CXPhone проблема с TLS при подключении к *

by ztaz » Mon Feb 27, 2012 2:34 pm

да, добавлен в "Доверительные корневые центры сертификации"

[Sergiy]

Re: 3CXPhone проблема с TLS при подключении к *

by Sergiy » Mon Feb 27, 2012 9:13 pm

Насколько я знаю, в айфоне сертификаты хранятся в профилях, а то, о чем говорите вы, больше похоже на винду или по описанию на Snom.

[misstake2012]

Re: 3CXPhone проблема с TLS при подключении к *

by misstake2012 » Tue Feb 28, 2012 6:22 am

В Iphone сертификаты нужно загружать с помощью Iphone Configuration Utility.
При этом будет работать только тот сертификат (с тем IP), который указан и активирован в Настроки - Безопасность.

[Sergiy]

Re: 3CXPhone проблема с TLS при подключении к *

by Sergiy » Tue Feb 28, 2012 12:28 pm

У меня айфон не подключается, вот ошибка на сервере:

Code: Select all

13:26:22.188  Error code = 336130315 file=.\ssl\s3_pkt.c line=295
13:26:22.188  error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
13:26:22.188  TLS handshake failed


Как я понимаю, айфон и сервер 3сх используют разные версии SSL?

[misstake2012]

Re: 3CXPhone проблема с TLS при подключении к *

by misstake2012 » Tue Feb 28, 2012 1:17 pm

У меня айфон не подключается

а у меня подключается.
Опишу, как мне это удалось:
Iphone 3GS - Bria - настроено по http://www.3cx.com/blog/voip-howto/secure-sip/
Сертификат на Iphone загружен с помощью Iphone Configuration Utility.
В Настройки - Безопасность выбран нужный интерфейс, для которого создавался сертификат.
Регистрация проходит, дальше можно звонить.
Wireshark ом ничего поймать нельзя

[Sergiy]

Re: 3CXPhone проблема с TLS при подключении к *

by Sergiy » Tue Feb 28, 2012 1:28 pm

Я пользуюсь родным 3CXPHONE, после проверки вайршарком видно, что после того, как указан порт 5061 (другого варианта указать TLS я не нашел) все равно в регистрации указывается либо UDP либо TCP. Поэтому и ошибка версий, что это даже не SSL.

[misstake2012]

Re: 3CXPhone проблема с TLS при подключении к *

by misstake2012 » Tue Feb 28, 2012 1:33 pm

а с чего вы взяли, что указав порт 5061 у вас будет работать транспорт по TLS протоколу?! У вас проходит регистрация по UDP (или TCP, если включен TCP Transport) на 5061 порт.
Установите Bria, там есть выбор между транспортным протоколом - UDP, TCP, TLS

[misstake2012]

Re: 3CXPhone проблема с TLS при подключении к *

by misstake2012 » Tue Feb 28, 2012 1:39 pm

TLS транспорт также есть в софтфонах Media5-fone и Is-phone.
Но запустить получилось только в Bria

[Sergiy]

Re: 3CXPhone проблема с TLS при подключении к *

by Sergiy » Tue Feb 28, 2012 1:47 pm

а с чего вы взяли, что указав порт 5061 у вас будет работать транспорт по TLS протоколу?!

Есть такое понятие, как предположение, поэтому:

другого варианта указать TLS я не нашел

Судя по всему, 3CXPHONE для айфона не поддерживает TLS (это тоже предположение).

[misstake2012]

Re: 3CXPhone проблема с TLS при подключении к *

by misstake2012 » Tue Feb 28, 2012 2:12 pm

3CXPHONE для айфона не поддерживает TLS

так и есть.

В Андроиде тоже нет.