Discussions (German)

Registered 5 years 270 days

Paris 4299 Saturday, 12 October 2019, 07:10 PM

v13 ReverseProxy H323TLS Anmeldung

Hallo,

richte ich in der v13 (sr5) den ReverseProxy via PbxManager (PBX Manager --> Reverse Proxys) ein, können sich externe Endgeräte nicht registrieren, da die PBX die Registrierung vom ReverseProxy verweigert (Reason=PBX missing Authentication).

Der PbxManager erstellt in der PBX Config unter "Reverse Proxy Addresses" einen Eintrag "IP-Adresse des RP/MAC-Adresse des RP" (10.11.12.13/0a0b0c0d0e0f).

Entferne ich die MAC-Adresse (nur 10.11.12.13), registrieren sich die Endgeräte problemlos.

Öffne ich die Einstellungen des Reverse Proxys erneut und bestätige ohne Änderungen mit "OK", wird der Eintrag in "10.11.12.13/undefined,10.11.12.13/0a0b0c0d0e0f" geändert und die Registrierungen sind nicht mehr möglich

Ist das ein Bug oder ein Feature, oder mache ich etwas falsch?

Paris

Registered 10 years 243 days

Achim 1648 Friday, 18 October 2019, 04:08 PM

Re: v13 ReverseProxy H323TLS Anmeldung

Moin,

die Mac-Addresse bezieht sich auf das auf dem ReverseProxy installierte Zertifikat. Sind gültige Zertifikate auf dem RP vorhanden ??

Gruß Achim

Registered 5 years 270 days

Paris 4299 Friday, 18 October 2019, 05:40 PM

Re: v13 ReverseProxy H323TLS Anmeldung

Moin,

aha! Da der RP auf einer IPVA läuft und diese aus irgendwelchen Gründen kein Innovaphone Zertifikat besitzt und ich auch keines herunterladen konnte, habe ich auf dem RP ein eigenes Wildcard-Zertifikat installiert. Dieses enthält keinen Verweis auf die Mac-Adresse und wird daher abgelehnt. Da stellt sich die Frage, warum die IPVA keine gültigen Inno-Zertifikate hat...

VG
Paris

Registered 7 years 342 days

Muschelpuster Saturday, 19 October 2019, 10:47 AM

Re: v13 ReverseProxy H323TLS Anmeldung

Moin,

Die Softwarelösungen können kein gültiges MAC-basiertes Zertifikat haben, da Innovaphone die MAC der Zielplattform nicht kennt. Das galt schon immer für das Softwarephone wie auch myPBX auf dem Smartphone. Daher ist es problematisch diese Geräte mit dem Default-Zertifikat über die MAC zu autorisieren. Wenn auf dem ReverseProxy die Zertifikatsprüfung aktiv ist (dringend empfohlen) können die Geräte trotzdem mitspielen, da der RP zur PBX bei gescheiterter Prüfungen auf H.323 unverschlüsselt zurück fällt (wenn der Port dafür angegeben wurde) und eine Autorisierung über Benutzer & Passwort versucht wird. Zum externen Client bleibt dabei natürlich H.323TLS aktiv.
Jegliche Möglichkeit sich für beliebige MACs Zertifikate zu generieren würde ja die Sicherheit der zertifikatsbasierten Autorisierung kompromittieren.
Das Problem steht bei mir auch demnächst an und ich werde noch viel über Zertifikate lernen müssen

Ich denke dass neben dem öffentlich signierten Wildcardzertifikat noch ein selbst signiertes Zertifikat zum Einsatz kommen muss, doch wie steuere ich, welches Zertifikat für HTTPS und welches für H.323S genutzt wird?

erklärende Grüße
Niels

Registered 6 years 269 days

Christopher 3891 Thursday, 2 December 2021, 08:56 AM

Re: v13 ReverseProxy H323TLS Anmeldung

Hallo zusammen, hat bereits jemand hier eine gute Lösung gefunden?

Ich hatte eben wieder den gleichen Fall, Anmeldungen über den Reverseproxy von externen innovaphone Telefonen schlugen fehl seit das Zertifikat auf dem Reverse Proxy gegen ein Wildcard Zertifikat ausgetauscht wurde.

Damit es funktioniert musste ich nun die MAC Adresse aus dem Feld PBX Config / Reverse Proxy herausnehmen. Ist das der richtige Weg oder gibt es noch was eleganteres?

Grüße Christopher

Registered 14 years 70 days

olaf_TT Thursday, 2 December 2021, 09:09 AM

Re: v13 ReverseProxy H323TLS Anmeldung

Moin,

Ich trage das dann immer so ein:

ip rp/mac rp/*.domain.de

Grüße

Olaf

Registered 6 years 269 days

Christopher 3891 Thursday, 2 December 2021, 09:16 AM

Re: v13 ReverseProxy H323TLS Anmeldung

Prima ich danke dir! Habe es getestet und es funktioniert auch so!

You are here