SkypeToTeams: Direct Sip Routing TLS Issue



 

(English below)

La mise en place de la technologie Direct Sip routing impose de connecter des passerelles de communications comme Sonus Ribbon , ou Audiocode vers les services Cloud de Microsoft Teams.

Si Microsoft a correctement documenté les ports de communications dans son célèbre TechNet, vous pouvez vous trouver confronter à des problèmes de connexion depuis / vers vos passerelles de communications et les services Microsoft. Le problème majeur qui va donc se poser c’est d’obtenir des informations des deux cotés de l’environnement. Coté Microsoft et coté passerelle.

Avant de commencer cette introspection, il faut naturellement être certain que vos équipements de sécurité permettent le passage des flux réseaux nécessaires tant pour les flux temps réels que pour les flux de signalisation. (5061 TCP)

Dans certaines passerelles, les éditeurs, comme Ribbon ont pensé à mettre en place des outils de diagnostic qui vont vous permettre de vérifier que les ports de communication pour la signalisation sont bien ouverts vers les fameuses destinations : sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com, sip3.pstnhub.microsoft.com, sip-all.pstnhub.microsoft.com. La capture d’écran suivante montre l’outils de diagnostic présent sur les passerelles Ribbon Sonus 1000 et 2000.


Pour les ports UDP qui concernent les communications audio-vidéo, le seul test possible, du moins que j’ai trouvé, consiste à faire des tests avec un utilisateur migré.

Coté Microsoft, force est d’avouer que très peu d’informations sont disponibles. Dans le portail Teams, vous trouverez bien la présence de votre passerelle mais très peu d’informations.


Quant au Powershell mis à part sortir la configuration de la passerelle il ne vous aidera pas beaucoup.

Un récent incident de connectivité avec les services SIP de Microsoft m’a conduit à ouvrir un incident en mode Sev B mais face au peu de réactivé, nous avons investigué par nous-même. Le problème constaté est que les ports de communication étaient correctement ouverts mais que la connectivité SIP de la passerelle indiquait l’erreur suivante.


Dans l’environnement Direct Sip routing, la communication est chiffrée, par les deux certificats présents chez MS et sur la passerelle. L’intuition nous a amener à penser que le chiffrement entre les deux parties ne devait pas s’effectuer correctement.

En examinant les journaux de diagnostic de la passerelle sur la partie SIP, nous avons pu observer ceci


Bingo !

Le problème vient du fait que Microsoft utilise une autorité de certification qui n’est pas référencée dans la passerelle en question. En téléchargeant celle-ci et en l’installant dans la configuration de la passerelle, le dialogue Sip a pu s’établir.

 


The implementation of Direct Sip routing technology requires the connection of communication gateways such as Sonus Ribbon or Audiocode to Microsoft Teams Cloud services.

If Microsoft has correctly documented the communication ports in its famous TechNet, you may face problems connecting to and from your communication gateways and Microsoft services. The major problem that will therefore arise is getting information from both sides of the environment. Microsoft side and gateway side.

Before starting this introspection, it is naturally necessary to be sure that your security equipment allows the passage of the necessary network flows for both real-time and signaling flows. (5061 TCP)

In some gateways, editors such as Ribbon have thought of setting up diagnostic tools that will allow you to check that the communication ports for signaling are open to the famous destinations: sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com, sip3.pstnhub.microsoft.com, sip-all.pstnhub.microsoft.com. The following screenshot shows the diagnostic tools on the Ribbon Sonus 1000 and 2000 Gateways.


For UDP ports that concern audio-video communications, the only possible test, at least that I found, is to test with a migrated user.

On the Microsoft side, I have to admit that very little information is available. In the Teams portal, you will find the presence of your gateway but very little information.

As for the Powershell, apart from taking out the gateway configuration, it won’t help you much.

A recent connectivity incident with Microsoft’s SIP services led me to open an incident in Sev B mode but faced with the lack of reactivation, we investigated by ourselves. The problem we found was that the communication ports were properly opened but the SIP connectivity of the gateway indicated the following error.

In the Direct Sip routing environment, the communication is encrypted by the two certificates present at MS and at the gateway. Intuition led us to believe that the encryption between the two parties should not be done correctly.

By examining the diagnostic logs of the gateway on the SIP part, we could observe the following

Bingo!

The problem comes from the fact that Microsoft uses a certification authority that is not referenced in the gateway in question. By downloading this one and installing it in the gateway configuration, the Sip dialog could be established.

 

 

 

 


 

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s