SIP klient - konfigurace TLS

[K3v1n]

Ahoj,
poridil jsem si ucet u Odoriku na VOIP. Stahnul a nakonfiguroval jsem si SIP klienta (Baresip) na Android telefonu - vse funguje, jsem spokojen a chvalim

Narazil jsem ale pri dodatecne konfiguraci na problem. Chtel jsem nastavit SRTP - uspesne nastaveno jak v klientovi tak ve web rozhrani uctu Odoriku.

Pak jsem nastavoval TLS v klientovi a to mi nejde, klient se nepripoji, nezavolam si... Na webu Odoriku jsem nenasel navod jak to nastavit - byly tam navody na jine klienty, tak jsem to chtel okoukat a podle toho nastavit meho klienta, bohuzel se nepodarilo.

V priloze zasilam screenshoty z meho klienta Baresip pro predstavu co tam nastavuji. Jde mi hlavne o polozky:

Listen Address
TLS certifikat file
TLS CA file (na webu Odoriku jsem nasel pem file pro CA - ale nevim zda je to ten spravny cert pro tuhle volbu.)

Budu rad za kazde nasmerovani.
Diky

[alfi]

Listen address je lokální port, to k TLS nepatří (navíc TLS spojení se otevírá směrem klient->server, tj. klient poslouchat ani nemusí).

Certifikát je od Let's Encrypt. "TLS Certificate File" může být klient i server, klient nepotřebujete a server nedává smysl - každé 3 měsíce se mění. Do "TLS CA File" se dává podepisující certifikát, viz https://letsencrypt.org/certificates/, ale telefon by jej měl znát (stačí zkusit https://www.odorik.cz). "Verify Server Certificates" je na vás - s ohledem na bezpečnost je lepší to zapnout, s ohledem na spolehlivost provozu vypnout. S touhle volbou vypnutou by to mělo jet vždycky, nové verze TLS by to mělo umět.. jen se TLS dost špatně ladí - dokud nedojde ke spojení, nejsou nikde vidět detaily Co máte jako server a jeho port? Obvykle se to TLS musí taky někde zapnout (volby UDP, TCP, TLS)

[K3v1n]

Dekuji moc za odpoved a vysvetleni. Prejdu rovnou k posledni vete Vaseho prispevku.

Co máte jako server a jeho port?
Tady se nechytam - nevim jak to myslite. Ja nemam zadny server. Jen telefon, na kterem chci nakonfigurovat SIP oproti Odoriku. Takze to chapu tak, ze Odorik je ten server.

Obvykle se to TLS musí taky někde zapnout (volby UDP, TCP, TLS).
No prave. Ty screenshoty co jsem posilal, to je vsechno nastaveni co tam, mam. Ja tam zadne zapnuti TLS nemam - prochazel jsem menu 10x. Ale kdyz jsem se dival na Odorik web, kde je ukazana konfigurace jinych klientu tak tam zapnuti TLS maji.

Googlil jsem ohledne toho TLS a nasel jsme tohle:
https://github.com/baresip/baresip/issues/745

###

to enable TLS you need to add ;transport=tls to your SIP account:

<sip:user@domain;transport=tls>
or configure your domain to enable TLS records.

in config the sip_cafile should point to the local CA file or your self-signed cert:

sip_cafile /etc/ssl/cert.pem

###

Takze jestli to spravne chapu, tak to nastaveni/povoleni TLS by se muselo udelat na strane Odoriku?

[alfi]

Googlil jsem ohledne toho TLS a nasel jsme tohle:
https://github.com/baresip/baresip/issues/745

###

to enable TLS you need to add ;transport=tls to your SIP account:

<sip:user@domain;transport=tls>
or configure your domain to enable TLS records.

in config the sip_cafile should point to the local CA file or your self-signed cert:

sip_cafile /etc/ssl/cert.pem

###

Takze jestli to spravne chapu, tak to nastaveni/povoleni TLS by se muselo udelat na strane Odoriku?

Aplikaci neznám, tak jen hádám - potom by to mělo být pole Telephony provider jako

Kód: Vybrat vše

linka@sip.odorik.cz:5061;transport=tls

?

aneb k TLS je třeba vybrat i jiný port, obvykle to udělá aplikace sama, když se vybere to TLS. Je tam ještě nějaké políčko pro uživatele?
Nebo teda zkusit jiného SIP klienta, jestli tohle ani po letech neumí přidat mezi konfigurační volby

[winap]

Pokud máš TLS, nepotřebuješ změnit port na 6670?
Asi by to mělo vypadat takhle sip.odorik.cz:6670, nebo si nechtej ten :5060.

[alfi]

Pokud máš TLS, nepotřebuješ změnit port na 6670?
Asi by to mělo vypadat takhle sip.odorik.cz:6670, nebo si nechtej ten :5060.

Port 6081, 6670 nebo 6689, viz https://www.odorik.cz/w/srtp. Rozhodně ne 5060 pro TLS

@Odorik: Mimochodem, tenhle návod píše "Od 29.12.2021 nepodporuje naše SIP proxy obstarožní verze TLS 1.0 a 1.1. Lze to zkontrolovat např. zde: https://www.cdn77.com/tls-test/result?d ... .cz%3A5061", ale i po 2 letech podpora pro SSLv3+TLSv1.0+TLSv1.1 reálně funguje. Tj. chce to upravit návod nebo je fakt vypnout

[K3v1n]

@Alfi
Ano je tam policko uzivatele. Authentication username - tam je cislo me linky.

Takze do telephony provider stacilo napsat nize uvedene a funguje to.

Kód: Vybrat vše

sip.odorik.cz:5061;transport=tls

Diky moc za nasmerovani, pripad je vyresen