Analyse „WLAN Call“

Ich habe mich gestern und heute mal mit dem Thema WLAN Call auseinandergesetzt. Diese „neue“ Feature wird von Telekom und Vodafone neuerdings auch in DE angeboten, in den USA gibt es das unter dem Begriff „WiFi Call“ schon wesentlich länger. Grundsätzlich interessierte mich dabei,
-wie funktioniert das tariflich / Endgeräte-technisch?
-wie wird WLAN Call eingerichtet?
-wie kann ich es testen?
-wie funktioniert das technisch?
-was muss getan werden, damit das ganze auch hinter einer Corporate-Firewall klappt?

Fangen wir also mit dem ersten Punkt an (Tarif und Endgeräte):
Was ist WLAN Call (magenta-gefärbter Marketing-Text)?
WLAN Call ist die perfekte Ergänzung zum Telekom Netz. Mit WLAN Call erweitern Sie die Erreichbarkeit mit Ihrem Smartphone z. B. an Orten, die baulich bedingt keinen ausreichenden Mobilfunkempfang ermöglichen. Wählen Sie sich einfach ins private/öffentliche WLAN ein und telefonieren und SMSen Sie wie gewohnt über Ihre Mobilfunknummer. Alle Gespräche und Nachrichten über WLAN Call werden so abgerechnet, als ob Sie sich in Deutschland befinden würden.

Weltweit mobil telefonieren zum Preis wie aus Deutschland: Aus dem Ausland Freunde, Familie oder Geschäftspartner anzurufen muss nicht mehr kosten als ein Gespräch wie aus Deutschland. Loggen Sie sich z.B. in Ihr Hotel-WLAN ein und telefonieren Sie wie gewohnt los.

Keine App – der Telefonbutton kann jetzt mehr: Sie benötigen für WLAN Call keine App, da die Funktion automatisch in den Telefonbutton Ihres Smartphones integriert ist.
So nutzen Sie wie gewohnt Ihre Mobilfunknummer. Je nach Smartphone-Modell müssen Sie als Nutzer hierfür einmalig die Software Ihres Gerätes aktualisieren.

Welche Voraussetzungen müssen erfüllt sein, um WLAN Call nutzen zu können?
Um über WLAN Call telefonieren oder SMS versenden zu können, benötigen Sie:
-ein Smartphone mit WLAN Call-fähiger Software (siehen unten)
-die kostenfreie VoLTE und WLAN Call Option (verfügbar in allen Magenta Mobil Tarifen)
-Aktiviertes WLAN Call im Smartphone (siehe Anleitung unten)
-eine funktionierende Internetverbindung über WLAN mit Ihrem Smartphone
-keine ausreichende Mobilfunkversorgung im Inland

Aktuell sind folgende Smartphones WLAN Call-fähig:
Samsung Galaxy S6, Galaxy S6 edge, und das IOS 10-fähige iPhone 6 und nachfolgende Modelle. Um WLAN Call nutzen zu können, müssen Sie gegebenenfalls noch die kostenfreie „VoLTE und WLAN Call“ Option buchen, einmalig die Software Ihres Smartphones aktualisieren sowie die Einstellung von WLAN Call auf Ihrem Samsung und iPhone überprüfen bzw. einstellen. Wie das geht erfahren Sie in der folgenden Anleitung:

WLAN Call einrichten – Tarifoption buchen (bei Geschäftskunden-Verträgen ggf. über zentralen Ansprechpartner buchen lassen):
-Klicken Sie unter Ihr Vertrag auf Tarifoptionen anzeigen/ändern.
-Wählen Sie den Reiter Handy-Dienste.
-Wenn Sie die kostenlose Option VoLTE und WLAN Call bereits gebucht haben, erkennen Sie das daran, dass ein Häkchen gesetzt ist.
-Sollte das nicht der Fall sein, setzen Sie das Häkchen mit einem Klick.
-Klicken Sie anschließend auf Zum Warenkorb.
-Im nachfolgenden Fenster klicken Sie auf Zur Kasse.
-Überprüfen Sie Ihre Kundendaten und bestätigen Sie durch Weiter.
-Zuletzt klicken Sie auf Zahlungspflichtig bestellen, um die kostenlose Option zu buchen.

WLAN Call einrichten – Softwarestand auf Smartphone prüfen:
-Gehen Sie zur Startseite. Wählen Sie Einstellungen.
-Wählen Sie Allgemein.
-Wählen Sie Softwareaktualisierung.
-Wenn auf dieser Seite mindest Version iOS 10 angezeigt wird, ist auf Ihrem iPhone bereits die neueste Softwareversion vorhanden. Falls ein Update zur Verfügung steht, befolgen Sie bitte die angezeigte Anleitung auf ihrem Handy

WLAN Call auf dem iPhone 6 einschalten:
-Gehen Sie zur Startseite. Wählen Sie Einstellungen.
-Scrollen Sie bis zum Auswahlpunkt Telefon und klicken Sie darauf.
-Wählen Sie WLAN-Anrufe.
-Schalten Sie WLAN-Anrufe auf iPhone an und klicken Sie im folgenden Screen auf Aktivieren.

Zusammenfassung der Voraussetzungen:
Für WLAN Call wird der passende Tarif (Magenta Mobil), die Tarifoption VoLTE und WLAN Call, ein unterstütztes Handy (ab iPhone 6), eine aktuelle Betriebssystemversion (mindestens iOS10) und eine aktivierte WLAN Call Option am Handy (Einstellung > Telefon > WLAN-Anrufe) benötigt.

WLAN Call testen:
WLAN Call wird automatisch aktiviert, sobald eine zu geringe Mobilfunkversorgung durch das Telefon festgestellt wird und das Telefon in einem WLAN eingebucht ist, aus welchem heraus die WLAN Call Dienste der Telekom erreichbar sind. Um WLAN Call zu testen, empfiehlt es sich, zunächst den Flugmodus zu aktivieren und dann WLAN wieder anzuschalten. Das Telefon sollte nun nach ein paar Sekunden in der oberen linken Ecke statt dem Providernamen „Telekom.de“ den Text „WLAN Call“ anzeigen.

Am besten funktioniert das im Heimnetz oder an einem Telekom Hotspot (WLAN SSID „Telekom“). Falls keine Zugangsdaten zum Hotspot zur Verfügung stehen, einfach eine SMS an die Kurzwahl 9526 mit dem Wort „open“ schicken, Sie erhalten dann die Zugangsdaten per SMS.

Sollten die Option WLAN Call in einem anderen WLAN Netz nicht funktionieren, so wird das in erster Linie daran liegen, dass die für WLAN Call benötigt Ports (500 und 4500 UDP) an der Firewall blockiert werden. In diesem Fall ist es nicht möglich, WLAN Call zu verwenden.

Wie funktioniert WLAN Call im Detail?
-Aufbau der Verbindung per DNS Lookup, Beispiel: epdg.epc.mnc001.mcc262.pub.3gppnetwork.org

Dahinter steckt:
nslookup epdg.epc.mnc001.mcc262.pub.3gppnetwork.org
Non-authoritative answer:
Name: epdg.epc.mnc001.mcc262.pub.3gppnetwork.org
Address: 109.237.187.197
Name: epdg.epc.mnc001.mcc262.pub.3gppnetwork.org
Address: 109.237.187.198
Name: epdg.epc.mnc001.mcc262.pub.3gppnetwork.org
Address: 109.237.187.199

Name: epdg.epc.mnc001.mcc262.pub.3gppnetwork.org
Address: 109.237.187.195
Name: epdg.epc.mnc001.mcc262.pub.3gppnetwork.org
Address: 109.237.187.196

Registrar der Domain:
Domain Name 3GPPNETWORK.ORG
Domain ID D86606253-LROR
Registrant ID 20800479-NSI
Registrant Name GSM Association
Registrant Organization GSM Association
Registrant Street 2nd Floor
Registrant Street The Walbrook Building
Registrant City 25 Walbrook
Registrant State/Province:
Registrant Postal Code EC4N 8AF
Registrant Country GB

-Interessant: Das ganze Thema scheint nicht die Telekom selbst in der Hand zu haben, sondern die GSM Association regelt hier die Verbindung. Wer mehr dazu wissen möchte > http://www.gsma.com/newsroom/wp-content/uploads//IR.67-v10.0.pdf

-Nach dem Lookup wird per sog. Initiator-Request eine IKE-IPSec Verbindung zu UDP/500 aufgebaut. Sobald der Initiator durch ist, wechselt die Verbindung zu UDP/4500, ab hier ist die IPSec Verbindung gesichert und verschlüsselt, alle weiteren Pakete (auch VoIP-Daten) werden per ESP (Encapsulated Security Payload) übertragen, WLAN Call kann verwendet werden:

Nun interessierte mich aber noch, wie ein Gespräch dann im Dump aussieht:

Nicht sonderlich spektakulär, da die Daten allesamt verschlüsselt übertragen werden. Auch hier wird wieder UDP-Port 4500 verwendet. Ganz am Anfang sieht man noch ein NAT-Keep-Alive-Paket, welches wohl regelmäßig übertragen wird, damit WLAN-Call auch weiterhin zur Verfügung steht.

Kommen wir zur letzten Frage: Was muss getan werden, damit das ganze auch hinter einer Corporate Firewall funktioniert?

Eigentlich nicht viel, die UDP-Ports 500 und 4500 müssen ausgehend erlaubt werden. Je nach Geschmack für alle oder nur für dedizierte Geräte. Das ganze Firewall-Regelwerk, im Beispiel an einer Juniper SRX110, könnte dann so aussehen:

show applications application WLAN-Call  
term udp-4500 protocol udp destination-port 4500;
term udp-500 protocol udp destination-port 500;

show applications application WLAN-Call-ike
application-protocol ike-esp-nat;

show applications application-set WLAN-Call-Set
application WLAN-Call;
application WLAN-Call-ike;

show security policies from-zone trust to-zone untrust policy WLAN-Call
match {
    source-address any;
    destination-address any;
    application WLAN-Call-Set;
}
then {
    permit;
    log {
        session-init;
        session-close;
    }
}

Fazit: Alles in allem ein interessantes Thema, insbesondere, weil es unter Umständen richtig Geld einsparen kann (die Telekom verlangt Wahnsinns-Beträge, wenn man als Firma aufgrund schlechtem Mobilfunk-Empfangs eine Inhouse-GSM-Infrastruktur errichten lassen möchte).

Technisch gesehen an sich keine wilde Sache, nichts desto trotz spannend in der Analyse.

Randnotiz:
Der Vollständigkeit halber hier noch die Eckdaten zu den entstandenen Screenshots / PCAPs (gibts auch Nachfrage per Mail)
-Nachgestelltes Szenario mit MacBook und aktiviertem Internet Sharing
-Paket Capture mit Wireshark zwischen iPhone und WLAN-Adapter en0 des MacBooks

PCAP, Take 1:
192.168.2.1 = Macbook mit aktiviertem Internet Sharing
192.168.2.2 = iPhone
109.237.187.234 = IKE-Target (siehe oben)
Ergebniss: IKA_SA_Inits gehen raus, mehr passiert aber nicht

PCAP, Take 2 und 3:
192.168.2.1 = Macbook mit aktiviertem Internet Sharing
192.168.2.2 = iPhone
109.237.187.200 = IKE-Target (siehe oben)

Weitere Analye während Artikel-Rechere:
Port-Scan:
nmap -sU -Pn  -p 500 109.237.187.234
Starting Nmap 7.01 ( https://nmap.org ) at 2016-10-28 15:58 CEST
Nmap scan report for 109.237.187.234
Host is up.
PORT    STATE         SERVICE
500/udp open|filtered isakmp
Nmap done: 1 IP address (1 host up) scanned in 2.09 seconds

nmap -sU -Pn  -p 4500 109.237.187.234
Starting Nmap 7.01 ( https://nmap.org ) at 2016-10-28 15:59 CEST
Nmap scan report for 109.237.187.234
Host is up.
PORT     STATE         SERVICE
4500/udp open|filtered nat-t-ike
Nmap done: 1 IP address (1 host up) scanned in 2.08 seconds

4 Gedanken zu „Analyse „WLAN Call“

  1. Hi, schöne Analyse. Ich habe ziemliche Bedenken UDP/500 für "any" freizugeben. Damit könnten dann auch VPN-Tunnel zu anderen Zielen aufgebaut werden, was nicht erwünscht ist. Lässt sich das direkt auf diesen Host epdg.epc.mnc001.mcc262.pub.3gppnetwork.org Beschränken? Oder werden dann noch andere IP Adressen kontaktiert?

  2. Hallo, danke für die Blumen 🙂 Natürlich ist es möglich, das ganze auf epdg.epc.mnc001.mcc262.pub.3gppnetwork.org zu beschränken. Dazu muss lediglich ein (um bei Juniper zu bleiben) Adressbuch in der entsprechenden Zone angelegt und mit den IP-Adressen, welche sich hinter dem Namen epdg.epc.mnc001.mcc262.pub.3gppnetwork.org verbergen gefüttert werden, diese Adresse fasst man dann zu einem sog. "address-set" zusammen. Alsdann kann die Regel von destination-address any zu destination-address ADDRESS-SET-NAME geändert werden.

  3. Der Artikel ist zwar von 2016, hat mir aber heute gut geholfen, um reinzukommen. Vielen Dank!

Kommentare sind geschlossen.