Nachfolgend sehen Sie Grund- bzw. Standardeinstellungen die in jedes SIP-Gerät, neben den Benutzerangaben (Benutzername und Passwort), eingetragen werden müssen. Informationen darüber finden Sie auch im Kundencenter unter der jeweiligen Hilfe. Etwas weiter unten finden Sie zudem allgemeine Informationen zum Thema TCP und Verschlüsselung.
Bitte beachten Sie, daß wir schon bereits seit 2014 auch offiziell IPv6 unterstützen. Sie benötigen somit keinerlei NAT oder Tunnel-Dienste mehr, wenn Sie einen nativen IPv6 Anschluss haben (z.B. Deutsche Glasfaser Kunden) und die entsprechenden FQDN’s der Server nutzen.
Die Verfahren zur Ermittlung der IP Adressen unserer SIP Server sind DNS A Record, DNS NAPTR Record und DNS SRV Record.
Allgemeine Setup Infos
| IPv4 | DualStack | IPv6 | |
| Standardeinstellungen | |||
| SIP-Registrar (auch bei SIP-Proxy/Outbound) Serveradresse (FQDN) | proxy.dus.net | proxy3.dus.net | proxyV6.dus.net |
| SIP-Registrar (auch bei SIP-Proxy/Outbound) Serverport | 5060 | 5060 | 5060 |
| ACHTUNG! Nur bei Verschlüsselung (muss Ihr Endgerät unterstützen) | |||
| SIP-Registrar/Outbound-Proxy TLS+SRTP (FQDN) | secure.dus.net | – | secureV6.dus.net |
| SIP-Registrar/Outbound-Proxy TLS+SRTP Serverport | 5061 | – | 5061 |
| weitere Einstellungen | |||
| STUN Serveradresse (FQDN) | stun.dus.net | stun.dus.net | – |
| STUN Serverport | 3478 | 3478 | – |
| STUN Serverport alternativ | 10000 | 10000 | – |
| Weitere Angaben die Sie bitte nur eintragen wenn Sie wissen was Sie ändern | |||
| DTMF-Payload | 101 | 101 | |
| NTP-Server (Zeitserver, FQDN) | ntp.dus.net | ntp.dus.net | |
Firewall Infos
| Server Dienst | Server IPv4 | Server IPv6 | Protokoll | Ports von-bis |
| SIP Registrar | 83.125.8.71 | 2a04:2100:0:100::73 | TCP+UDP+TLS | 5060-5061 |
| SIP Proxy/Outbound | 83.125.8.71 | 2a04:2100:0:100::73 | TCP+UDP+TLS | 5060-5061 |
| RTP Media-Relay | 83.125.8.150 | 2a04:2100:0:300::/56 | UDP | 10000-65535 |
| RTP Media-Relay | 83.125.8.154 | 2a04:2100:0:300::/56 | UDP | 10000-65535 |
| RTP Media-Relay | 83.125.8.155 | 2a04:2100:0:300::/56 | UDP | 10000-65535 |
| RTP Media-Relay | 83.125.8.156 | 2a04:2100:0:300::/56 | UDP | 10000-65535 |
| RTP Media-Relay | 83.125.8.158 | 2a04:2100:0:300::/56 | UDP | 10000-65535 |
| RTP Media-Relay | 83.125.8.159 | 2a04:2100:0:300::/56 | UDP | 10000-65535 |
| RTP Media-Relay | 83.125.8.160 | 2a04:2100:0:300::/56 | UDP | 10000-65535 |
SIP über TCP und UDP
Das Session Initiation Protocol (SIP) ist ein Netzprotokoll zum Aufbau, zur Steuerung und zum Abbau einer Kommunikationssitzung zwischen zwei und mehr Teilnehmern (Quelle: Wikipedia). Der Signalisierung der SIP-Pakete eines Telefonates wird in der Regel über UDP (User Datagram Protocol) abgewickelt. Dabei werden Daten in Pakete unterteilt die eine theoretische, maximale Größe von 1500 Bytes haben dürfen. Diese Größe wird jedoch von Zusatz- und weiteren logischen Informationen auf eine nutzbare Größe von ca. 1300 Bytes weiter reduziert. Wird nun ein solches Paket versendet, ist in diesem sowohl die Absender-, als auch die Empfängeradresse enthalten. Leider gibt es jedoch keine Rückmeldung an den Absender ob das Paket auch wirklich den Empfänger erreicht hat. Dies hat zur Folge, daß bei Nutzung des UDP zusätzlich dafür Sorge getragen und kontrollieren werden muss, ob ein Paket den Empfänger auch wirklich erreicht hat. Dies passiert im SIP Protokoll mittels Quittungsantworten. Auf ein “INVITE” (Anruf von A zu B) folgt in dem Fall ein “TRYING”, dann ein “PROGRESS” u.s.w. Sollte eine Quittung ausbleiben wird nach definierten Timern in Abständen das letzte Paket nochmals versendet bis eine Quittung kommt. Bleibt diese weiterhin aus, läuft die Session in ein vordefiniertes Timeout und wird abgebrochen.
Bei SIP über TCP (Transmission Control Protocol) verhält sich der Transport grundsätzlich anders. Vergleichbar mit einem “Einschreiben mit Rückschein”. TCP ist aufgrund des Konzeptes in vielerlei Hinsicht “robuster” als UDP, hat aber im Gegensatz zu UDP aber auch ein gewisses Mehraufkommen (Overhead) an Daten und benötigt bei gleicher Nutzdatenmenge mehr Bandbreite als UDP. Dies ist im Falle von SIP jedoch weitestgehend zu vernachlässigen. Die Vorteile von TCP ist die Architektur des Protokolls an sich. Es enthält eingebaute Mechanismen um “verlorengegangene Pakete” selbständig zu erkennen und erneut zu versenden. Ebenso wird eine TCP-Verbindung in dedizierter Form aufgebaut. Dies bedeutet, bevor Daten übertragen werden weiß der Empfänger schon das welche kommen. Es gibt noch mehr Vorteile von TCP die auch für NAT (Network Address Translation) und entsprechend für Firewalls einfacher zu handhaben sind als im Vergleich zu UDP. Welches nun das “bessere” Protokoll ist, spielt eigentlich keine Rolle. Es muss den Anforderungen für Sie als Kunden genügen. Die dus.net GmbH bietet Ihnen die Möglichkeit an, entweder UDP oder TCP als Übertragungsprotokoll für SIP zu nutzen. Die Einstellungen dafür muss ausschließlich in Ihrem jeweiligen Endgerät vorgenommen werden. Seitens dus.net ist keine Einstellung erforderlich.
Übrigens…für die Audio-Daten, also das eigentliche Telefonat, wird generell UDP verwendet. Der Grund ist u.a. der deutlich geringere “Overhead”, also der große Nutzdaten-Anteil und die weniger zeitintensiven Prüfungen. Ein eventuelles Nachsenden von Paketen macht bei einer Echtzeitanwendung eher weniger Sinn.
Verschlüsselung mit TLS & SRTP
Wer um die Sicherheit seiner im Internet übertragenen Daten fürchtet, ist seit Jahrzehnten mit SSL vertraut. SSL steht für “Secure Socket Layer”, sagt aber erst mal nicht viel aus. Es handelt sich hierbei um ein Zertifikat basiertes Sicherungssystem.
TLS steht für “Transport Layer Security”. Hier wird ebenso wie bei SSL ein beliebiger Transportweg (HTTP, E-Mail, FTP oder eben SIP) über das TCP Protokoll gesichert.
SRTP ist anders geartet und in vielen unterschiedlichen Varianten möglich. SRTP steht für “Secure Real Time Protocol” was bedeutet, dass die Sprachdaten verschlüsselt werden. Dieser Schlüsselabgleich erfolgt, wenn keine anderen Mechanismen wie (MIKEY, etc.) zum Einsatz kommen, im Klartext über einen SDP Header des SIP Protokolls. Selbst wenn ein sicher Schlüsselaustausch bei SRTP gewährleistet ist, ist dies nur die halbe Kommunikation die sicher ist. Ihre Telefonnummern d.h. Ihre CLIP und die Rufnummer des Angerufenen werden unverschlüsselt übermittelt. Somit weiß ein potentieller Angreifer zwar nicht was, aber immerhin mit wem Sie gesprochen haben.
Die Folge dass ein RTP Strom der verschlüsselt werden soll, den Schlüsselaustausch zwischen den beiden Endpunkten im Klartext austauscht, ist somit einfach. Damit lässt sich der RTP Strom jederzeit und relativ einfach wieder entschlüsseln. Man benötigt nur den Masterkey und die beiden Session-Keys.
Das Fazit ist, dass eine mit TLS/SSL gesicherte SIP Session (die Signalisierung eines Telefonats) erst in der Lage ist ein in jeder Hinsicht sicheres SRTP zu ermöglichen. Denn der Zugriff auf die im SDP-Teil der SIP Session stehenden Crypto-Schlüssel für SRTP sind nicht mehr ohne weiteres sichtbar.
Dies ist der Grund warum die dus.net GmbH SRTP in Verbindung mit TLS ermöglicht. Wir bieten Ihnen somit einen Weg Ihre Telefonie komplett zu verschlüsseln.
