[Bug fixed] Buster: linphone gibt segfault beim Starten

[ingo2]

Der Beitrag aus dem Telekom-Forum ist von 2012. Bei den All-IP-Anschlüssen der Telekom benötigt man kein Passwort, sondern nur die Telefon-Nummer ( Ortsvorwahl+Telefonnummer) als Benutzer-Name. Die koppeln die Telefon-Nummer an den DSL-Anschluss und benötigen deshalb kein Passwort.

Du hast tatsächlich Recht!

Habe es gerade ausprobiert:

a) in twinkle einfach im graphischen Client das PW entfernt (in der config durch "." ersetzt) - geht trotzdem.

b) in linphone 3.6.1 (Stretch auf dem Laptop) in der ~/.linphonerc als PW einfach einen "." eingetragen (das ist nur, damit er nicht per PopUp nach einem PW fragt - geht ebenfalls.

Ist natürlich eine bequeme Sache und auch sicher, da kein "secret" ausgetauscht werden muß.
Das war im Anfang aber nicht so - da bin ich ganz sicher. Seit wann haben die das denn umgestellt?

Was dabei natürlich auf der Strecke bleibt:
Du kannst dich mit deiner Nummer nur noch am heimischen Anschluß anmelden und nicht mehr an beliebigen Festnetzanschlüssen der Telekom. Ok, das stört mich eigentlich weniger, aus der Ferne verbinde ich mich per OpenVPN mit meinem Heimnetz und gehe von dort ins Internet, das trifft dann auch auf VoIP zu.

Aber das ist ein toller Hinweis zum linphone-Probelm:
Ich brauche gar keine PW-Abfrage - und wenn ich daraufhin die Debug-Logs anschaue, funktioniert auch die 3.12 eigentlich, man muß also nur die PW-Abfrage, die den Crash verursacht, weglassen bzw. ein leeres PW zulassen. Die eigentliche Anmeldung läuft ja korrekt durch. Werde das mal morgen noch in dem Bug-Report melden.

Danke für den Tipp,
Ingo

Twinkle ging ja problemlos schon in Wheezy (v3.5.2), Jessi und Stretch (3.6.1) ab dann war's kaputt.

[ingo2]

So, inzwischen ist das Problem Dank Hilfe von Bernhard Übelacker gelöst. Es gibt Patches für libbellesip0 und ich habe es gerade ausprobiert am Telekom VDSL-Anschluß -> alles ok!

Den detailierten Bericht dazu kann man im 921266 nachlesen.
Ich versuche mal den Grund für den Fehler allgemeinverständlich darzustellen:

Die Telekom hat inzwischen einen Großteil der Kunden auf "BNG" (Broadband network gateway) umgestellt (ca. 85%). Damit benötigt es für die Authentifizierung auch bei SIP weder ein Password noch UserID (z.B. nur anonymous@t-online.de), sie erfolgt "hardwaremäßig" über den Port am DSLAM, wo das Kupferkabel endet.

Früher (vor BNG) erfolgte die Authentifizierung gemäß einem SIP-RFC. Dabei verschickt der Server eine "nonce" (Einmalzahl), mit der der Client sein Passwort verschlüsselt und an den Server zur Authentifizierung zurück schickt.

Aus Kompatibilitätsgründen macht die Telekom nun Folgendes:
Sie beginnt mit dem Senden einer nonce für den Login von nicht-BNG-Usern. Der Vorgang schlägt natürlich fehl bei BNG-Usern. Dann wird ein zweiter Auth-Durchlauf gestartet mit einer leeren nonce (man braucht ja kein PW) und die BNG-User registrieren sich nur mit ihrer Telefonnummer.

Und genau das war der Knackpunkt, beim Erhalt einer leeren nonce ist Linphone mit einem segfault abgestürzt. Im Falle von Linphone ist das ein schlechtes error-handling. Mit dem Patch meckert linphone den Fehler zwar korrekterweise noch an, aber crasht nicht mehr sondern registriert sich im zweiten Zyclus ohne Auth - fertig.

Also zusammengefaßt ein Zusammentreffen von:
einer Spezialität der Telekom + schlechtem error-handling durch Linphone.

Ingo

[slu]

Die Telekom hat inzwischen einen Großteil der Kunden auf "BNG" (Broadband network gateway) umgestellt (ca. 85%). Damit benötigt es für die Authentifizierung auch bei SIP weder ein Password noch UserID (z.B. nur anonymous@t-online.de), sie erfolgt "hardwaremäßig" über den Port am DSLAM, wo das Kupferkabel endet.

Ich würde das immer sofort deaktivieren und die Authentifizierung verwenden.
Jeder der in deinem LAN/WLAN ist könnte sonst teure SIP Anrufe auslösen...!

[ingo2]

Ich würde das immer sofort deaktivieren und die Authentifizierung verwenden.
Jeder der in deinem LAN/WLAN ist könnte sonst teure SIP Anrufe auslösen...!

Tja, das Authentisierungsverfahren kannst du nicht selbst wählen. Die Telekom bietet beide Verfahren an und zwar direkt nacheinander. Erst die "Legacy-Art" für noch nicht umgestellte Clients (die können dann meines Wissens sich sogar an beliebigen alten Anschglüssen anmelden) und wenn das fehlschlägt, folgt automatisch die Hardware-Identifizierung für BNG-Anschlüsse über den DSLAM-Port. Und genau das war ja das, worüber Linphone gestolüpert ist. Fazit: eine Registrierungs-Variante klappt immer. Und da ist die "Hardware-Auth" wohl noch die etwas sicherere.

Einzige Möglichkeit, die mir sonst noch bleibt ist, die SIP-Ports in der Fritzbox von der LAN-Seite her sperren. Dann ist aber immer noch die Fritzbox selbst in der Lage Unfug zu treiben, oder falls ein Angreifer im LAN sitzt, könnte er auch die Fritzbox umkonfigurieren.

Auf der anderen Seite ist es eine schöne Sache, wenn ich aus der Ferne von überall her per VPN ins Heimnetz und von dort weiter ins Internet gehe, dann kann ich mit so einem Softphone auf dem Laptop meine Festnetz-Flat von daheim nutzen.

Ingo

[slu]

Tja, das Authentisierungsverfahren kannst du nicht selbst wählen.

Mir ist nicht ganz klar was Du damit meinst, hast Du im Kundencenter - Telefonie eingestellt das Du dich beim Telefon mit Nummer/Mailadresse/Passwort anmelden musst?

Etwas OT:
Wir hatten im Büro noch einen ISDN Anlagenanschluss mit einem 100er Block, wir haben den direkt von ISDN zu einem reinen SIP Anbieter (nicht Telekom) umgezogen.
Ich würde heute nie mehr einen Rufnummer an einen Internetanschluss binden, man ist einfach viel freier.

[debianoli]

@slu

Das steht alles weiter oben siehe viewtopic.php?f=29&t=172161#p1203294

[dirk11]

Tja, das Authentisierungsverfahren kannst du nicht selbst wählen.

Mir ist nicht ganz klar was Du damit meinst, hast Du im Kundencenter - Telefonie eingestellt das Du dich beim Telefon mit Nummer/Mailadresse/Passwort anmelden musst?

Er kann auswählen, was er will. Das serverseitige Verfahren wird davon nicht beeinflusst.

[slu]

Er kann auswählen, was er will. Das serverseitige Verfahren wird davon nicht beeinflusst.

Ich stehe auf dem Schlauch, war nicht das Problem das hier eine anonyme Anmeldung statt findet?
Genau das kann man abstellen, es wird dann mit Benutzername und Passwort authentifiziert.

[ingo2]

So, seit heute Morgen ist die gefixte version libbellesip0 als v1.6.3-5 in unstable/sid verfügbar.
Wer testen mag, einfach über die defekte Version in testing installieren - sonst nix.

Für User, die bereits auf Telekom-BNG umgestellt sind (also auf jeden Fall alle, die Vectoring nutzen) hier ein Beispiel für die Sysntax in der Konfigurationsdate ~/.linphonerc:

Code: Alles auswählen

[auth_info_0]
username=061234567818
userid=061234567818
passwd=anonymous
realm=tel.t-online.de

Als "username" und "userid" also nur "Vorwahl+Nummer" (og. Beispiel-Nummer existiert nicht wirklich),
und als "passwd" irgend was beliebiges, braucht kein echtes PW zu sein.

Gruß,
Ingo

[ingo2]

Ich stehe auf dem Schlauch, war nicht das Problem das hier eine anonyme Anmeldung statt findet?

Das Problem war, daß Linphone abgestürtzt ist, wenn es einer "leere nonce" vom Server erhalten hat.

[slu]

Ich hoffe Du hast keine Gäste oder "verseuchte" Rechner in deinem Netzwerk, ohne Authentifizierung können die beliebig Anrufe tätigen und Kosten verursachen...

Btw. ich freue mich auf die neue Linphone Version in Buster, wird Zeit