Informationen zu TLS und SRTP

Diese Seite enthält Informationen zur Verbindung eines VoIP-Trunks per TLS und/oder SRTP.

Falls Sie noch kein Kunden sind, testen sie GRATIS und UNVERBINDLICH unseren VOIP-Trunk für 4 Wochen und überzeugen Sie sich vom Mehrwert. Sie erhalten direkt nach der Anmeldung Ihre persönlichen Zugangsdaten per E-Mail.

Testen Sie den VOIP-Trunk

Mehr erfahren

Infoseite zu TLS und SRTP

Quelle:	equada GmbH
Geändert:	05.10.2017
Hersteller:	equada
Weitere Links:	Firewallanleitung

Bestimmt für:
Modell	Hersteller	Firmware	Datum	Getestet von
TLS/SRTP	equada	TLS/SRTP	05.10.2017	equada

So verwenden Sie diese Anleitung:

Diese Anleitung verweist auf Ihre persönlichen Zugangsdaten, die Sie wie abgebildet, in einer Email von uns erhalten haben. Dabei gilt:

Grün abgebildete Werte sind individuell
Blau angezeigte Werte sind für alle Kunden identisch

Bitte beachten Sie, dass die Rufnummer(n) in den meisten Fällen im Format "E.164 ohne Präfix" z.B. "49305566123" angegeben werden/wird.

Orange bedeutet, dass die Angabe der Werte nur in besonderen Fällen nötig ist (siehe Erläuterungen).

Wichtiger Hinweis:

Diese Anleitung bezieht sich auf die Standardeinstellungen unseres VoIP-Trunks. Änderungen an den Einstellungen des Trunks im Webportal können entsprechende Anpassungen am Gerät nötig machen.

Auszug aus: Email mit den Zugangsdaten

Rufnummer(n)

SIP-Domain/Realm

SIP-Account

SIP-Passwort

trunking.equada.net:5060

5060

1. Über diese Seite

Diese Seite enthält Informationen zur Verbindung eines VoIP-Trunks per TLS und SRTP.

2. SIP-Verschlüsselung per TLS/SSL

2.1 Übersicht

Der nachfolgenden Tabelle können Sie die Hostnamen, Ports und Zertifikate entnehmen, welche Sie für die TLS-Verschlüsselung von SIP verwenden können.

Hostnamen
	<Kundennummer>.pbx-trunk.net	Zertifikat für *.pbx-trunk.net herunterladen (Bevorzugt)
	trunking.equada.net	Zertifikat für trunking.equada.net herunterladen
	trunking.pbx-network.de	Zertifikat für trunking.pbx-network.de herunterladen

Port	5061 (anstatt 5060 oder 5083)

2.2 Hostnamen und Ports

Ihre Telefonanlage sollte grundsätzlich als Hostnamen für den Outbound-Proxy "trunking.equada.net" oder "trunking.pbx-network.de" (veraltet) verwenden und diesen auf Port 5060 per UDP ansprechen können. Um hier die Umstellung auf TLS vorzunehmen, ändern Sie bitte den Port auf 5061 und stellen Sie in Ihrer Anlage auf die Verwendung von TLS/SSL um. Sollte das direkte Aktivieren von TLS/SSL in Ihrer Telefonanlage nicht möglich sein, geht dies möglicherweise über einen Umweg, bei dem zuerst auf TCP und anschließend eine weitere Option "Verschlüsselung aktivieren" o.Ä. konfiguriert werden muss.

2.3 Zertifikate

Da unsere Zertifikate nicht direkt bei der Verbindung Ihrer Telefonanlage mit dem VoIP-Trunk abgerufen werden können, ist es zur sicheren Verbindung nötig, dass Sie unser Zertifikat auf Ihrer Telefonanlage einspielen. Wo in Ihrem Telefonanlagenmodell das Zertifikat eingespielt wird, können Sie z.B. der Dokumentation Ihrer Telefonanlage entnehmen oder beim Hersteller anfragen.
Hierbei kann es nötig sein, dass Sie Ihre Telefonanlage neustarten müssen, damit das Zertifikat von dieser eingelesen wird.

Hinweis:
Sollte Ihre Telefonanlage sich auch ohne Zertifikatsupload verschlüsselt mit uns verbinden, dann ist die Verschlüsselung zwar vorhanden, aber Ihre Telefonanlage kann nicht anhand des hochgeladenen Zertifikats prüfen, ob die Gegenstelle sich wirklich um uns handelt oder einem Dritten der sich als equada ausgibt.

3. Sprachdatenverschlüsselung per SRTP

Zustätzlich zu SIP müssen auch noch die Sprachdaten verschlüsselt werden. Dies können Sie in Ihrer Telefonanlage aktivieren, was in der Regel eine simple Einstellung ist. Bitte beachten Sie hierbei, dass die unterstützten Codecs G711a und G711u sind.

4. Einschränkungen durch Verschlüsselung

Bei der Verwendung von Verschlüsselung, können wir keine SIP-Kommunikation auf der Strecke von und zu Ihrer Telefonanlage aufzeichnen. Das bedeuetet, dass wir hier keine Analyse und ggf. Hilfestellung anbieten können.
Des Weiteren erfordert TLS/SSL zwangsläufig eine Verbindung, wie z.B. TCP, wodurch höhere Latenzen entstehen. Diese können gerade während einem Telefonat spürbar sein, sodass ein Gespräch bspw. nicht flüssig oder abgehackt ist. Sollte dieser Fall bei Ihnen eintreten, stellen Sie bitte wieder auf Port 5060 und Protokoll UDP um.
Schließlich ist es möglich, dass ein im lokalen Netzwerk konfiguriertes Quality-of-Servive, ein funktionierendes SIP-ALG oder ein konfigurierter STUN-Server nicht mehr verwendbar sein können.

Diese Anleitung ist nicht Leistungsbestandteil des Services und hat keinen Anspruch auf Vollständigkeit. Ebenfalls hat der Provider die Anleitungen regelmäßig nicht getestet/verifiziert. Eine Haftung für Schäden aus dieser Anleitung, wenn nicht zwingend vorgeschrieben (siehe AGB), wird ausgeschlossen. Der Kunde kann in Bezug auf den Service keine Ansprüche gegen den Provider herleiten.

Build: 4540 - 2018-10-17 14:47:56 +0200 (Mi, 17. Okt 2018) CO: 2018-10-17 14:48