Bellen en glasvezel

sput · 5 februari 2023 om 20:04

Hoi

Ik had in Asterisk sip-tls al min of meer enabled maar nooit echt
aangestoken. Ook zit er in mijn firewall een gat voor poort 5061, maar hier had ik eigenlijk ook nooit wat meer gedaan.
Een Freedom medewerker heeft ooit een sip-tls hostname genoemd, maar daar het ik ook nooit wat mee gedaan. Ik ben ook vergeten welke het was.

Anyway, Freedom is dus Voipgrid boer, dus daar ben ik maar eens naar gaan kijken;
https://wiki.voipgrid.nl/index.php?title=Encrypted_bellen

sip.encryptedsip.com is dus een voipgrid doos:

sput:~$ host sip.encryptedsip.com
sip.encryptedsip.com has address 195.35.114.41
sip.encryptedsip.com has address 195.35.115.41

sput:~$ host 195.35.114.41
41.114.35.195.in-addr.arpa domain name pointer sbc2-ams.voipgrid.nl.

sput:~$ host 195.35.115.41
41.115.35.195.in-addr.arpa domain name pointer sbc2-grq.voipgrid.nl.

Er is zelfs een SRV record voor;

sput:~$ host -t SRV _sips._tcp.sip.encryptedsip.com
_sips._tcp.sip.encryptedsip.com has SRV record 20 0 5061 sip-grq.encryptedsip.com.
_sips._tcp.sip.encryptedsip.com has SRV record 10 0 5061 sip-ams.encryptedsip.com.

sput:~$ host sip-grq.encryptedsip.com.
sip-grq.encryptedsip.com has address 195.35.115.41

sput:~$ host sip-ams.encryptedsip.com.
sip-ams.encryptedsip.com has address 195.35.114.41

Ik heb bij wijze van experiment mijn /etc/asterisk/sip.conf iets aangepast;

register => tls://Account_Id:PassWord/@sip.encryptedsip.com:5061/Account_Id

In de voipgrid specifieke sectie;

transport=tls
media_encryption=sdes

En;

host=sip.encryptedsip.com

Dit lijkt te werken.
Maar ik heb het niet erg uitgebreid getest.

Vr.Gr,
Rob

sput · 6 februari 2023 om 14:08

Hoi

Ik heb vandaag iets verder geëxperimenteerd;
TLS werk ook met sipproxy.voipgrid.nl. Het is me ook gelukt audio encripted de deur uit te doen, maar zo te zien komt de audio data un-ecripted terug.
Nu gebruik in voor uitbellen een goedkope VOIP boer die helemaal niet aan TLS doet, dus voor mij heeft het sowieso niet veel zin er erg veel tijd in te steken.

Voor de liefhebbers een VOIP lijstje;

Er zijn meer van dit soort lijstjes, maar ik heb zo gauw geen overzicht gevonden van wie wel wel of niet gecripte VOIP aanbied.

Vr.Gr,
Rob

pa4wdh · 6 februari 2023 om 18:12

Eens. En voor de duidelijkheid: Ik ga gen acties ondernemen om het onmogelijk te maken. Als het werkt werkt het. Ik ga echter ook geen acties ondernemen om het wel te laten werken als dat niet zo is.

Op sommige plekken ontkom je er helaas niet aan. M’n huidige dect telefoon heeft ook een Siemens OS’je waarvan ik de naam niet eens weet.
Daarnaast heb ik enorme weerstand tegen de consumenten "box"en die standaard beperkt zijn in wat ze kunnen. Zelfs een naam met daarin “box” roept bij mij al negatieve gevoelens op omdat dit een totaal nietszeggende term is die volledig voorbij gaat aan wat het is.

@sput bedankt voor het uitzoeken en uitproberen! Goed dat het in ieder geval deels kan werken, wel raar dat van de andere kant nog steeds unencrypted audio blijft komen.

sput · 6 februari 2023 om 18:54

Hoi

Freedom bied een uitgeklede versie van VoipGrid.
Als ik wel heb moet je binnenkomende audio encryptie aanzetten op de website. Maar ik heb sterk de indruk dat dit deel van de website ontbreekt (want uitgekleed).

Ik heb nog even gekeken naar een paar andere VOIP aanbieders. En de config aldaar. Ik ga er van uit dat als een telnet sip.example.com 5061 niet werkt, ze geen TLS aanbeden.

Vr.Gr,
Rob

pa4wdh · 6 februari 2023 om 19:23

Duidelijk.

Mijn verwachting bij een privacy-bewuste ISP is toch anders. Wel jammer dat Freedom hier blijkbaar voor (iets?) lagere kosten kiest ipv. privacy.
Ik ga zelf ook nog wel even op zoek naar een VoIP aanbieder die dat wel aanbiedt.

Erik · 6 februari 2023 om 19:56

Het valt me op, dat de meesten hooguit een screenshot van een uitgestorven apparaat geven.
Met als tekst, zo moet je het instellen.

sput · 6 februari 2023 om 21:09

Hoi

Het is misschien wel mogelijk Asterisk zo te configureren alsnog encryptie aan te vragen.

Vr.Gr,
Rob

arien · 7 februari 2023 om 10:12

De SIP-server: sip-tls.freedom.nl, poort 5060 is er voor versleutelde SIP-berichten én versleutelde audio-streams. Bij oplevering stelt ons ACS dat standaard in op Fritzboxen die TLS kunnen.

Voor de oudere Friztboxen die geen TLS aan kunnen is er: sip.freedom.nl. Ook poort 5060.

Noci · 7 februari 2023 om 10:59

SIP kan ook DTLS over UDP gebruiken op poort 5060.
Zie:

Er is dus zeker geen afhankelijkheid van TCP. voor gebruik van TLS.

sput · 7 februari 2023 om 12:11

Hoi

TCP luistert sip-tls.freedom.nl naar 5061, niet 5060. TLS zit dus op de standaard poort.
En ondersteunt Freedom Ook DTLS?
En ook op sip-tls.freedom.nl heb ik dat data op RTP/AVP binnenkomt ipv RTP/SAVP.

Vr.Gr,
Rob

anon0224 · 7 februari 2023 om 14:22

$ nmap sip-tls.freedom.nl
Starting Nmap 7.60 ( https://nmap.org ) at 2023-02-07 15:20 CET
Nmap scan report for sip-tls.freedom.nl (195.35.115.23)
Host is up (0.010s latency).
Other addresses for sip-tls.freedom.nl (not scanned): 195.35.114.23
Not shown: 996 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp closed https
5060/tcp closed sip
5061/tcp open sip-tls

pa4wdh · 7 februari 2023 om 18:16

Bedankt voor de info!
Misschien goed om dat ook op de helpdeskpagina over de instellingen te vermelden, want buiten jouw antwoord hier is die info voor mij in ieder geval niet terug te vinden.

arien · 8 februari 2023 om 09:20

Zo vind je eens wat Ik heb iets van twee jaar geleden het provisoning-script gemaakt en dat stelt sind die tijd port 5060 in. De Fritz!box trekt zich daar geen bal van aan en werkt gewoon met TCP-poort 5061

Als ik naar de RTP-streams kijk dan kan ik de data van beide kanten niet decoderen. Uit het verleden weet ik dat dat anders is als ik sip.freedomnet.nl gebruik. Mogelijk is het iets in de sessie-setup dat maakt dat het van een kant uit niet wordt versleuteld?

sput · 8 februari 2023 om 10:02

Hoi

5061 is de standaard poort voor sip-tls.

Encrypted uitbellen doe ik met;

In sip.conf;

register => tls://Account_Id:PassWord@sip-tls.freedom.nl:5061/Account_Id
transport=tls
media_encryption=sdes

In extensions.conf;

Set(CHANNEL(secure_bridge_signaling)=1)
Set(CHANNEL(secure_bridge_media)=1)

Uitgaande audio is dan RTP/SAVP
Binnenkomend RTP/AVP

Vr.Gr,
Rob

Kareltje · 29 december 2023 om 22:18

Ik heb Internet only van Freedom.

Mijn telefoonnummer is geporteerd naar Cheap Connect. Het nummerbehoud is bij hen slechts € 8 per jaar(!) Om gebeld te kunnen worden heb ik in de FB 5590 - conform de instructies van Cheap Connect - een SIP account aangemaakt. Om zelf te kunnen bellen heb ik in dezelfde FB een VOIP account aangemaakt die ik bij VoipBuster afneem. De internationale beltarieven bij VoipBuster zijn zeer laag en met een subscription voor Nederland kun je in heel het land gratis bellen naar vast en mobiel.

Dit bevalt erg goed en ik kan mij niet voorstellen dat het bellen nog voordeliger kan. Wellicht ook een tip voor anderen.

pa4wdh · 30 december 2023 om 12:57

Leuk dat je precies nu in dit topic post, zelf heb ik inmiddels ook een paar stappen gezet op dit gebied.

Inmiddels heb ik een ATA (Grandstream HT802) gekoppeld aan een eigen asterisk om zo spelenderwijs te leren hoe het allemaal in elkaar steekt. Inmiddels ben ik daar zo ver mee dat ik daar een externe voip connectie met een provider aan kan koppelen. Daarbij twijfel ik tussen de voip dienst van Freedom en “iets anders”.
Ik ben op zich heel tevreden met Freedom, ik wordt alleen niet echt gelukkig van het afnemen van meerdere diensten bij dezelfde toko. Dat willen de ISP’s allemaal erg graag, maar overstappen wordt daarmee steeds moeilijker. Er is echter zo veel aanbod dat ik nauwelijks onderscheid kan maken tussen wat goed is en wat niet. Wie heeft er tips?
Functioneel zou ik graag eerst met een willekeurig (door de voip provider toegewezen) nummer willen testen of ik het kan laten werken zoals ik wil, als dat gelukt is wil ik mijn “echte” nummer laten porteren en kan het testnummer vervallen.

anon0224 · 30 december 2023 om 13:58

tldr; CheapConnect.

Ik wordt en ben zelf erg blij met CheapConnect. Sponsoren van en voor veel geld; en beperkt worden tot ik meen hooguit twee nummers bij Freedom mag iemand anders “blij” van worden.

Technisch is alles bij CC mogelijk, ook “gratis” trunk voor bv een Asterisk en qua beheer volledig rechtoe/aan incl voicemail & administratie, allemaal op orde.

Bijkomend voordeel - wat ik extreem prettig vind - is prepaid zodat ik nooit (zoals ooit in ons huis plaatsvond) meer geconfronteerd met een torenhoge rekening.

Bij CC kosten de losse accountnummers €0,95/jaar waarmee dan onderling kan worden gebeld. Moeten de toestellen buitenaf bereikbaar zijn, wordt die accounts (door)gekoppeld aan het extern-landelijk abonnee nummer dat dan €8,95/jaar kost.

Voordat je fullscale je eigen nummer gaat porteren voor een ingewikkelde set-up, wellicht handig om eerst met een willekeurig ander extern telefoonnummer te experimenteren. Erg leuk omdat in hier wonend te bellen met een Zweeds telefoonnummer. Later kan je altijd nog je eigen NL nummers voor die €8,95/stuk/jaar im-porteren.

NB: Voor puur Voip experiment(eren) is mbt Asterisk geen externe Voip provider nodig want Asterisk als PBX is juist zelf. Desnoods stel je tweede een Asterisk-PBX in werking om te gaan ontdekken hoe dingen funtioneren en in een telefoonjungle kunnen veranderen.

Een externe Voip-provider is meestal nodig om buiten het eigen netwerk te bellen of gebeld worden. Indien je partner de Voip-poort heef openstaan (niet aan te raden zonder Firewall) kan rechtsreeks zonder provider E2E worden gebeld.

NB: mijn telefonie regel ik primair via de standaard Fritzbox waarop ik dan een (extern)doorgeschakel toestelnummer heb gemaakt voor in/uitgaande telefonie van/naar CheapConnect.
Daarnaast heb ik puur voor eigen spielerij de meerlijns toestellen toestellen voorzien van o.a. intern toegang van/naar de intern draaiende Asterisk en ook extern geregistreerd op CheapConnect.
Gaat telefonie via de FritzBox e/o Asterisk stuk, kan ik nog steeds hier maar ook elders in ver weg, met bijbehorend toestelaccounts bellen en gebeld worden.

NB: Wij bellen niet veel extreem extern maar voor situaties waar dan duur gebeld moet gaan worden, schijnt VoipBuster voor uitgaande telefonie, voor menigeen, een echte prijsbreker te zijn.

pa4wdh · 31 december 2023 om 14:01

Bedankt voor het delen van jouw ervaring met CheapConnect, wat je omschrijft komt grotendeels overeen met wat ik tot nu toe gedaan heb en wat ik wil gaan doen.
Ik kan op hun website niets vinden over het toepassen van SIPS en SRTP, kan jij daar iets over zeggen?

Kareltje · 31 december 2023 om 15:02

Wellicht kun je HIER vinden wat je zoekt.

anon0224 · 1 januari 2024 om 01:33

Hmmm… CheapConnect heeft bmw zelf weinig (op) met SIPS/SRTP (dwz TLS security voor dial-ing & audio).
Ook wil ik opmerken dat het telefoonnetwerk ansich sws niet ontworpen om (be)veilig(d) te gebruiken. Ook niet echt nodig omdat Telco’s hun verkeersafhandeling & backbone op hun eigen afgescheiden netwerk doen.

Probleem is vooral dat beide E2E partijen (die belt, routeert en gebeld wordt) dat dan moet ondersteunen om tot beveiligde werking te komen. Lastig is ook om bv het veelvuldige UDP verkeer te encrypten en zo zijn er nog wel meer dingetjes.

Mijn Asterisk en bv Yealink(s) uit het jaar nul, kan/doet bv geen SRTP/SIPS. Nu hecht ik zelf sws weinig belang aan TLS voor telefonie en ben zeker niet op zoek naar zinloze uitdagingen (omdat iemand vindt dat het kan) noch heb ik plan mijn infra te vervangen. Het liefst zou ik helemaal geen “transport” security op het generieke internet hebben zodat dingen weer simpel in gebruik worden en iemand zelf bepaalt of iets voor een doel wordt beveiligd.

Indien privacy nodig is, kan iemand zelf natuurlijk een eigen SSH/IPSec/vlan tunnel naar de ander opzetten waarover vervolgens dan de VOIP (als bv interne SIP2SIP) conversatie verloopt.