Grandstream GXP1628 registriert sich nicht

Hallo,

ich habe hier ein Grandstream GXP1628 das ich nicht registriert bekomme (pascom.cloud 19.13). Das Provisionieren klappt noch. Zugriff auf das LDAP Telefonbuch ist auch da. Nur die SIP Registrierung will einfach nicht.

SIP Transport steht auf TLS/TCP
SRTP auf “Enabled and Forced”

Die Provisionierung findet mit dem Standardtemplate für Grandstream statt.

Über Syslog erhalte ich folgende Fehlermeldungen vom Telefon:

ssl_nonblock_connect:MessageChannel.cc(772)->SSL connection get error SSL_ERROR_WANT_READ
conn:MessageChannel.cc(430)->TLSMessageChannel::conn: Failed to connect to remote host
snd_message:SIPStack.cc(7802)->SIPStack::snd_message(): Failed to connect.

cb_transport_error:SIPStack.cc(8214)->SIPStack::cb_transport_error: Transport error (-1) for transaction 122

run:Event.cc(817)->Dispatching event: 178 (ACTIONURL_ACCT_REGISTER_FAIL) on line -1

Getestet mit Firmwareversionen 1.0.5.3, 1.0.7.6 und noch die 1.0.7.13 (Beta).

Auch händisch als Generic Device bekomme ich es nicht registriert. Phonerlite funktioniert mit den Zugangsdaten ohne Probleme.

Das GXP1628 funktioniert direkt bei Sipgate auch auf Anhieb. Es hängt also irgendwo an der Kombi GXP1628 <-> pascom.cloud 19.13

Evtl. kann mir hier jemand helfen, ich bin mit meinem Latein erstmal am Ende.

schonmal Danke.

Uli

Hallo @ureichert,
neuere Firmwares setzen die Mindestversion von TLS auf 1.1. Bitte probiere mal eine niedrigere Version, indem du das Setting <P22293>10</P22293> in die Basiskonfiguration einträgst und dann neu provisionierst.

Besten Gruß
Sebastian

Hi,
danke für den Tip. Interessiert das Telefon leider nicht wirklich.

Folgendes habe ich noch alles getestet.

OpenVPN zur Instanz aufgebaut. Routing des Telefons angepasst. Von der Pascom.Cloud Instanz kann man das Telefon pingen. Hier dann natürlich ohne TLS und SRTP + Port 5060 anstatt 5061.

Hier bekomme ich das Telefon zwar registriert und kann ausgehend (extern und intern) telefonieren (Sprachwege sind vorhanden). Eingehend klingelt das Telefon jedoch nie, auch wird es in der Pascom nicht als angemeldet angezeigt (wahrscheinlich sendet die Pascom deswegen den eingehenden Ruf nicht zum Telefon. Im Syslog des Telefons wird nichts angezeigt, es ist zum Zeitpunkt des eingehenden Rufs kein Eintrag im Syslog).
Dazu kommt noch, legt bei ausgehenden rufen der angerufene auf und nicht das GXP1628, läuft der Anruftimer beim GXP1628 einfach weiter.

Zur Validierung dieser Tests folgende Zusatzinfo. Mit der Software Phonerlite bekomme ich sowohl mit wie auch ohne VPN eine Verbindung zur Pascom hin. Mit den gleichen Zugangsdaten die das Telefon verwendet (nicht gleichzeitig). Phonerlite läuft nicht auf dem PC der die OpenVPN Verbindung aufbaut. Hier findet ein Routing statt, um den gleichen Aufbau zu haben wie mit dem GXP1628.

Als letzten Test habe ich dann noch ein Uraltes Gigaset VOIP Telefon genommen. Das spricht kein TLS, SRTP, ich kann es über den VPN anbinden und habe das gleiche Verhalten wie mit dem GXP1628. Das hat mich jetzt restlich verwirrt.

Sowohl das GXP1628 wie auch das Gigaset laufen ohne Probleme mit Sipgate und IPTAM.

Irgendwelche Ideen wie das Verhalten so passieren kann?

Danke

Uli

Ist die Einstellung auch auf dem Telefon angekommen? Sollte im WebUI des Grandstreams unter Maintenance → Security Settings → Security → Minimum TLS Version zu finden sein

Besten Gruß
Sebastian

Hi,

Neustart + Firmware wieder zurück auf 1.0.7.6 Maximum TLS auch auf 1.0 -> Jetzt geht es.

Vielen Dank
Uli

Hi nochmal,

es wäre schön wenn ihr hier die Basis Konfiguration für Grandstream um die beiden Werte:

    <P22293>10</P22293>
    <P22294>10</P22294>

erweitern könntet oder zumindest in eure Anleitung unter https://www.pascom.net/doc/de/endpoints/grandstream/ diese Werte aufnehmen könntet. Dies betrifft ja mehr als nur dieses eine Grandstream Telefon.

Auch wäre das Standarkennwort 0000 und der Hinweiß wo man es ändern kann in der Doku eine nette Position die vor allem neuen Partnern den Einstieg etwas erleichtern würden.

Maintenance → Security Settings → Security → Minimum TLS Version

image

Nochmal Danke und Beste Grüße

Uli

Hallo @ureichert,
danke für den Hinweis. Wir werden hier in einem der nächsten Releases die TLS Version anheben, was das Problem löst und dabei natürlich mehr Sicherheit bietet. Bisher war das leider, aufgrund von Abhängigkeiten mit anderen Komponenten, nicht möglich.

Besten Gruß
Sebastian