<div dir="auto">If you have the certs, sure you can decrypt it all. (And you must have, since FS can manage the traffic).</div><div dir="auto">Otherwise, look at the profile’s </div><div dir="auto"><br></div><div dir="auto"><div><a href="https://github.com/signalwire/freeswitch/blob/master/conf/vanilla/autoload_configs/sofia.conf.xml">https://github.com/signalwire/freeswitch/blob/master/conf/vanilla/autoload_configs/sofia.conf.xml</a></div><br></div><div dir="auto">Capture-server to some ip fs will</div><div dir="auto">Simply send there a copy of all messages. You can then catch them on that side.</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 9 Nov 2021 at 05:49, Gregor Maier <<a href="mailto:freeswitch13@mailbox.org">freeswitch13@mailbox.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><br>
Hello David!<br>
<br>
On 09.11.21 at 00:19 David Villasmil wrote:<br>
> Then why not just run tcpdump filtering for the signaling port and rotate<br>
> every N bytes or Mb or whatever? And then simply pushing those files<br>
> somewhere you can later use them?<br>
> <br>
> Maybe I misunderstood something<br>
<br>
Yes. See my initial post: SIP (and RTP) is TLS'd and I don't have any certificate <br>
because the VoIP provider owns it.<br>
<br>
> <br>
> If what you want is to go at some on-demand time to trace, then just do it<br>
> like that.<br>
<br>
That's exactly what I'm doing with Asterisk. Asterisk is able to write pcap files. <br>
Therefore no problem.<br>
<br>
Just out of curiosity, I tested the actual Homer version (with Asterisk). But I <br>
gave up, because:<br>
<br>
- correlation does work only partly (maybe an Asterisk problem)<br>
- correlation of ongoing calls doesn't work (~5 minutes e.g. and much more)<br>
- for me, the basic list of result is highly confusing (single call legs<br>
   aren't correlated. Even Invite and answer 401 isn't correlated)<br>
- registers aren't correlated<br>
- search for something like CID's doesn't work reliably (it's working 2 or 3 times<br>
   - afterwards no more - tested w/ FF and Chromium - I wasn't able to search for 2<br>
   CIDs at the same time)<br>
- The GUI makes the browser going crazy (-> one CPU is used 100% after some time)<br>
<br>
<br>
sngrep is able to correlate single call legs over hours *out of the box* - why <br>
can't homer do the same? I don't think, a result list based on single methods is a <br>
good solution - or did I miss something? This could be very possible, because I <br>
wasn't able to find any reliable and complete and actual documentation.<br>
<br>
If sngrep could safe regular pcap files based on HEP data, sngrep would be the way <br>
to go - unfortunately, sngrep writes broken pcap files if the input data stream is <br>
HEP. That's a known missing feature at this time. Even sngrep itself can't read <br>
those pcap files any more.<br>
<br>
<br>
Thanks<br>
Gregor<br>
</blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Regards,</div><div><br></div>David Villasmil<div>email: <a href="mailto:david.villasmil.work@gmail.com" target="_blank">david.villasmil.work@gmail.com</a></div><div>phone: +34669448337</div></div></div>