Gottseth
Stamm-User
- 41
@ rudolf - Fritzboxen unterstützen aber keine Verschlüsselung - kann also trotzdem abgehört werden !
Verschlüsselt telefonieren?
- 33 Antworten
- Letztes Antwortdatum
R
rudolf
Enthusiast
- 1.542
Ich hatte vorgeschlagen das zu lesen, was du wohl nicht getan hast.
Die verschlüsselung macht der client. Hier geht es darum ob die Fritzbox die Vermittelung (sip server) übernehmen kann. Ich vermute ja, kann es aber nicht überprüfen.
Die verschlüsselung macht der client. Hier geht es darum ob die Fritzbox die Vermittelung (sip server) übernehmen kann. Ich vermute ja, kann es aber nicht überprüfen.
Gottseth
Stamm-User
- 41
Auch wenn die Fritzbox nur die Vermittlung übernimmt, kann man nicht verschlüsseln !
Kannst Du ganz einfach testen, indem Du zwei Smartphones anmeldest, und intern telefonierst - mit Verschlüsselung funzt NIX !
Kannst Du ganz einfach testen, indem Du zwei Smartphones anmeldest, und intern telefonierst - mit Verschlüsselung funzt NIX !
ottosykora1
Android-Hilfe.de Mitglied
- 228
Gottseth schrieb:
von welcher Verschlüsselung sprichst du? Also wenn es um TLS geht, dann ist es ja egal ob es da ist oder nicht. Wenn das Gespräch selber verschlüsselt ist ist es der Fritz oder jedem anderen Server völlig egal, es sind Sprachdaten wie alle anderen, nur mit dem Unterschied es versteht niemand.
Telefonieren mit ZRTP ist dann genau so wie normales telefonieren ohne Verschlüsselung, nur in einer Sprache die niemand verstehen kann.
Also bitte nicht diese zwei Sachen verwechseln.
Bei fehlender SSL/TLS Verschlüsselung des Transportes kann nur SIP Protokol abgehört werden, nicht jedoch das Gespräch, das ist mit dem ZRTP/SRTP End to End verschlüsselt worauf die FRitzbox, oder jeder anderer Server keinen Einfluss hat.
Zuletzt bearbeitet:
Gottseth
Stamm-User
- 41
Probier es doch einfach mal aus 
Die Frustbox überträgt den Stream nicht, wenn er verschlüsselt ist !
Es klingelt zwar und man kann das Gespräch annehmen - aber es bleibt Beidseitig stumm, wenn man SRTP/ZRTP verwenden will
Die Frustbox überträgt den Stream nicht, wenn er verschlüsselt ist !
Es klingelt zwar und man kann das Gespräch annehmen - aber es bleibt Beidseitig stumm, wenn man SRTP/ZRTP verwenden will
ottosykora1
Android-Hilfe.de Mitglied
- 228
ja, muss mir mal eine freie FB suchen und werde es versuchen, mir fehlt einfach momentan die Vorstellung mit welcher technischer Funktion so ein einfacher Server merken soll aus was die 'Nutzlast' besteht und danach etwas zu bewirken.
R
rudolf
Enthusiast
- 1.542
@otto:
Gottseth hat nicht verstanden worum es hier geht. Er hat wohl versucht srtp mit einer FB als server zu machen. Da er ganz genau Bescheid weiss lassen wir es auch besser so.
Der link von mir will erklären wie man die FB NACH AUSSEN als registrar nehmen kann. Dass es innerhalb geht weiss ich. Von ausserhalb muss es erst getestet werden.
Zum Testen nimm statt der dynamischen IP erst mal die Wan Ip der FB. Anwählen wüdest du dann vom Handy ich@Wan-Ip, also sowas wie ich@112.110.08.15. Csipsimple kann im Textwahl Modus sowas wählen. Das Handy darf nicht an der FB hängen. Bei Csipsimple kann man srtp und zrtp beide aktivieren, dann geht nichts mehr. Also unbedingt srtp deaktiviert einstellen.
Gottseth hat nicht verstanden worum es hier geht. Er hat wohl versucht srtp mit einer FB als server zu machen. Da er ganz genau Bescheid weiss lassen wir es auch besser so.
Der link von mir will erklären wie man die FB NACH AUSSEN als registrar nehmen kann. Dass es innerhalb geht weiss ich. Von ausserhalb muss es erst getestet werden.
Zum Testen nimm statt der dynamischen IP erst mal die Wan Ip der FB. Anwählen wüdest du dann vom Handy ich@Wan-Ip, also sowas wie ich@112.110.08.15. Csipsimple kann im Textwahl Modus sowas wählen. Das Handy darf nicht an der FB hängen. Bei Csipsimple kann man srtp und zrtp beide aktivieren, dann geht nichts mehr. Also unbedingt srtp deaktiviert einstellen.
Zuletzt bearbeitet:
ottosykora1
Android-Hilfe.de Mitglied
- 228
also wenn man keinen Server vewendet und eine direkte Verbindung starten will, wird diese dann wie genau aufgebaut? Geht der Anruf von einem Gerät welches 'draussen' ist und an die WanIP gerichtet ist dann auch an den Port 5060?
Gut das weiterleiten ist kein Problem, aber dann hört Csimple in dem Netz direkt selber für die Anrufe?
Ich meine bei sonstigen SIP Verbindungen sendet Client keep Alive und hält damit den Antwort Port bereit.
Wie geht so was genau bei solcher direkter Verbindung?
Ich habe gerade keine freie FB, muss mal ein Netz dafür aufstellen so bald es geht.
Gut das weiterleiten ist kein Problem, aber dann hört Csimple in dem Netz direkt selber für die Anrufe?
Ich meine bei sonstigen SIP Verbindungen sendet Client keep Alive und hält damit den Antwort Port bereit.
Wie geht so was genau bei solcher direkter Verbindung?
Ich habe gerade keine freie FB, muss mal ein Netz dafür aufstellen so bald es geht.
Gottseth
Stamm-User
- 41
ottosykora1 schrieb:
Gar Nicht !
Du brauchst bei CSIP-Simple zwingend einen Server, der SIP-URIs gestattet - sonst wird kein Gespräch aufgebaut.
Kostenlos kann man z.B. bei iptel.org so einen Account erstellen - dann entweder die SIP-URI der Frustbox in CSIP-Simple eintippen, oder auf iptel.org eine Kurzwahl anlegen.
Die SIP-URI sieht so aus : 620@meine.dyn.dns:5060
Dann kannst Du mit dem IP-Telefon, das als "620" an der Frustbox angemeldet ist telefonieren - aber sobald Du eine Verschlüsselung benutzen willst, herrscht "Schweigen im Walde" !
Mal für die gaaaaanz Dummen erklärt, damit auch der "rudolf" weiß um was es geht
ottosykora1
Android-Hilfe.de Mitglied
- 228
also jetzt wird es noch verwirrender.
Wenn ich also einen SIP Account extern anlegen soll, dann ist dies der SIP Server. Was leistet dann genau die FB?
Wenn ich also einen SIP Account extern anlegen soll, dann ist dies der SIP Server. Was leistet dann genau die FB?
R
rudolf
Enthusiast
- 1.542
@otto
Um das mit dem registrar zu testen, schlage ich vor erstmal den Direktruf im gleichen Netz ohne und mit Verschlüsselung zu testen.
Dazu installiere am besten frisch csipsimple auf zwei androiden, Tabletts gehen auch. Verbinde beide mit DEMSELBEN router/AP. Dann mach folgendes bei beiden:
An der ersten Auswahl wählst Du "Erreichbar bei Wlan".
Dann bei Konto hinzufügen wählst du "Local", nennst es "test", merkst dir die ipadresse, und speicherst.
Nun sollten beide konten registriert anzeigen, und oben links das Symbol aktiv sein. Dann wechselst du in den "txt" wahlmodus, und gibst sinngemäss x@192.168.2.103 ein, wobei das vor dem @ egal ist, das dannach die ip der gegenstelle. Höhrer drücken und die gegenstelle sollte klingeln.
Klappt so das Telefonieren, dann setz mal unter Einstellungen, Netzwerk, Gesicherte Übertragung, Zrtp-Modus die Auswahl auf "Erzeuge Zrtp". Beim nächsten Telefonat zeigt csipsimple dann die verschlüsselung an. Ist nur an einem Ende Zrtp aktiviert, so wird normal telefoniert.
Melde dich wenn das klappt.
Um das mit dem registrar zu testen, schlage ich vor erstmal den Direktruf im gleichen Netz ohne und mit Verschlüsselung zu testen.
Dazu installiere am besten frisch csipsimple auf zwei androiden, Tabletts gehen auch. Verbinde beide mit DEMSELBEN router/AP. Dann mach folgendes bei beiden:
An der ersten Auswahl wählst Du "Erreichbar bei Wlan".
Dann bei Konto hinzufügen wählst du "Local", nennst es "test", merkst dir die ipadresse, und speicherst.
Nun sollten beide konten registriert anzeigen, und oben links das Symbol aktiv sein. Dann wechselst du in den "txt" wahlmodus, und gibst sinngemäss x@192.168.2.103 ein, wobei das vor dem @ egal ist, das dannach die ip der gegenstelle. Höhrer drücken und die gegenstelle sollte klingeln.
Klappt so das Telefonieren, dann setz mal unter Einstellungen, Netzwerk, Gesicherte Übertragung, Zrtp-Modus die Auswahl auf "Erzeuge Zrtp". Beim nächsten Telefonat zeigt csipsimple dann die verschlüsselung an. Ist nur an einem Ende Zrtp aktiviert, so wird normal telefoniert.
Melde dich wenn das klappt.
ottosykora1
Android-Hilfe.de Mitglied
- 228
ja das geht, man muss natürlich jegliches SSL/TLS abschalten weil in diesem Fall keine richtige Server Client Beziehung besteht.
ZRTP geht an.
Was mich etwas erstaunt hat, ZRTP hat bei der ersten Verbindung nicht nachgefragt ob alles mit dem Code OK ist so wie es sonst bei Erstverbindungen tut.
Aber funktionieren tut es.
----
test 2
habe also beide Androids an der Fritz angemeldet und in beiden ein Fritz Konto angelegt.
Die interne Verbindung mit **621 und **622 klappt damit, nur kann man einstellen was man will, es verschlüsselt nicht. Ob es eingeschaltet ist oder nicht, es wird telefoniert und zwar offen.
Auch ein eingeschaltetes TLS wird nicht wahrgenommen, FB tut es wohl ablehnen und damit wird es nicht gestartet.
Also an beiden Enden ZRTP und TLS oder kein TLS, beidesmal wird eine normale Verbindung aufgebaut.
Versuche mit Eingaben wie 622@fritz.box oder so ähnlich scheitern, weil es dann versucht diese 'Nummer' draussen bei dem Telefon Provider zu suchen, was natürlich nicht klappt.
ZRTP geht an.
Was mich etwas erstaunt hat, ZRTP hat bei der ersten Verbindung nicht nachgefragt ob alles mit dem Code OK ist so wie es sonst bei Erstverbindungen tut.
Aber funktionieren tut es.
----
test 2
habe also beide Androids an der Fritz angemeldet und in beiden ein Fritz Konto angelegt.
Die interne Verbindung mit **621 und **622 klappt damit, nur kann man einstellen was man will, es verschlüsselt nicht. Ob es eingeschaltet ist oder nicht, es wird telefoniert und zwar offen.
Auch ein eingeschaltetes TLS wird nicht wahrgenommen, FB tut es wohl ablehnen und damit wird es nicht gestartet.
Also an beiden Enden ZRTP und TLS oder kein TLS, beidesmal wird eine normale Verbindung aufgebaut.
Versuche mit Eingaben wie 622@fritz.box oder so ähnlich scheitern, weil es dann versucht diese 'Nummer' draussen bei dem Telefon Provider zu suchen, was natürlich nicht klappt.
Zuletzt bearbeitet:
R
rudolf
Enthusiast
- 1.542
@otto
So jetzt hast Du schonmal selber feststellen können dass direktruf und Zrtp verschlüsselung im gleichen Netz gehen.
Zum ersten test:
SSL gibt es nicht. TLS kannst du auch eingeschaltet lassen. Beim Anrufen gibt es auch dann Steuerdaten wenn kein Server genutzt wird. Ich hab es getestet.
Die SAS prüfung passiert bei Zrtp wirklich nur einmal. Hast Du wirklich frisch installiert, oder waren die Geräte vielleicht schon mal mit Zrtp verbunden?
Zu Test2:
Das Einrichten von Konten auf der Fritzbox macht man nur dann wenn man mit einem IP-Telefon auf analogen oder isdn Leitungen telefonieren will. Dann setzt die Fritzbox die rtp/mediadaten um auf analog oder isdn. Telefoniert man so raus, Dann gehen die rtp daten auch erst an die FB. Daher sollte man für Voip Telefone deren Konten nutzen. Man macht dann z.b. beim Csipsimple ein Konto für sipgate (voip nach "draussen") und eins für die FB (analog, isdn, intern). Insofern hat dein Test2 keine Relevanz für unser Thema.
Der "eigentliche" Test
Es bleibt immer noch die Frage ob man ein an der FB im internen Netz angeschlossenes Csipsimple auch von aussen erreicht. Man also nicht die FB anruft (test2) sondern das Csipsimple (test1).
Dazu müsstest Du nochmal meine Beiträge und insbesondere die in #20 verlinkte wiki durchlesen. Hier ist die Frage ob die FB dann vermittelt oder auch den rtp Strom übernimmt. Wenn die FB nur vermittelt dann würde Zrtp auch von aussen gehen.
So jetzt hast Du schonmal selber feststellen können dass direktruf und Zrtp verschlüsselung im gleichen Netz gehen.
Zum ersten test:
SSL gibt es nicht. TLS kannst du auch eingeschaltet lassen. Beim Anrufen gibt es auch dann Steuerdaten wenn kein Server genutzt wird. Ich hab es getestet.
Die SAS prüfung passiert bei Zrtp wirklich nur einmal. Hast Du wirklich frisch installiert, oder waren die Geräte vielleicht schon mal mit Zrtp verbunden?
Zu Test2:
Das Einrichten von Konten auf der Fritzbox macht man nur dann wenn man mit einem IP-Telefon auf analogen oder isdn Leitungen telefonieren will. Dann setzt die Fritzbox die rtp/mediadaten um auf analog oder isdn. Telefoniert man so raus, Dann gehen die rtp daten auch erst an die FB. Daher sollte man für Voip Telefone deren Konten nutzen. Man macht dann z.b. beim Csipsimple ein Konto für sipgate (voip nach "draussen") und eins für die FB (analog, isdn, intern). Insofern hat dein Test2 keine Relevanz für unser Thema.
Der "eigentliche" Test
Es bleibt immer noch die Frage ob man ein an der FB im internen Netz angeschlossenes Csipsimple auch von aussen erreicht. Man also nicht die FB anruft (test2) sondern das Csipsimple (test1).
Dazu müsstest Du nochmal meine Beiträge und insbesondere die in #20 verlinkte wiki durchlesen. Hier ist die Frage ob die FB dann vermittelt oder auch den rtp Strom übernimmt. Wenn die FB nur vermittelt dann würde Zrtp auch von aussen gehen.
Zuletzt bearbeitet:
ottosykora1
Android-Hilfe.de Mitglied
- 228
negativ mit TLS, bei der lokalen Verbindung geht nichts mit TLS, erst wenn dies abgeschaltet wird kommt die Verbindung zu Stand.
ZRTP: also ja die haben schon vorher beide ZRTP gemacht, allerdings über einen Server.
Darum wird es vielleicht eben nicht mehr abgefragt.
Ich dachte das wird bei einer neuen Verbindungsart, also Konto geprüft. Aber ist wohl wirklich nur auf die Geräte selber orientiert.
Beim zweiten Test dachte ich man könnte damit den SIP Server ansprechen, geht so nicht. Habe auch volle SIP Adresse versucht geht auch nicht.
Von aussen erreichen: nun dazu sollten keine besonderen Konfigs nötig sein.
Nur für den Port 5060 muss dann wer lauchen? Endgerät? FB?
Das in der Wiki ist für einen normalen Test nicht nötig.
Die momentane IP kennt man ja, nur muss man den Port intern entsprechend weiterleiten.
Ich weiss jedoch nicht wer hier an dem Port hören soll, die FB oder Csimple?
---
Was mich interessieren würde ist: wie geht die Verbindung beim 'lokal' vor sich? Ist das immer noch durch den SIP gestartet? Hören dann beide auch auf 5060 zuerst?
Oder was genau passiert dabei?
ZRTP: also ja die haben schon vorher beide ZRTP gemacht, allerdings über einen Server.
Darum wird es vielleicht eben nicht mehr abgefragt.
Ich dachte das wird bei einer neuen Verbindungsart, also Konto geprüft. Aber ist wohl wirklich nur auf die Geräte selber orientiert.
Beim zweiten Test dachte ich man könnte damit den SIP Server ansprechen, geht so nicht. Habe auch volle SIP Adresse versucht geht auch nicht.
Von aussen erreichen: nun dazu sollten keine besonderen Konfigs nötig sein.
Nur für den Port 5060 muss dann wer lauchen? Endgerät? FB?
Das in der Wiki ist für einen normalen Test nicht nötig.
Die momentane IP kennt man ja, nur muss man den Port intern entsprechend weiterleiten.
Ich weiss jedoch nicht wer hier an dem Port hören soll, die FB oder Csimple?
---
Was mich interessieren würde ist: wie geht die Verbindung beim 'lokal' vor sich? Ist das immer noch durch den SIP gestartet? Hören dann beide auch auf 5060 zuerst?
Oder was genau passiert dabei?
Zuletzt bearbeitet: