NAT und entspr. traversal ?

[cyrano]

HiHo,

nachdem ich mich schon einiges angelesen und gesucht habe.
Es schein die Kür zu sein, beliebige VoiP-Hardware hinter einem
Router im Intranet in Betrieb zu nehmen.
Wenn ich alle soweit verstanden habe muss man STUN aktivieren wenn man hinter einem Router sitzt der nicht-symmetrisches NAT macht. Bzw. einen outbound-proxy verwenden wenn man hinter einem symmetrischen NAT-Router sitzt ??? Passt das soweit ? Thanx.

 

[Carli]

NAbend,

müssen muss man zwar nicht, aber das wären mögliche Wege die nach Rom führen.

Im Normalfall nutzt JEDER Router asymmetrisches NAT und da ist die STUN-Erkennung mit "NAT Keep Alive" oder Port Mapping das Mittel der Wahl. Symmetrische NATs machen etwas ganz anderes (sie arbeiten genau anders herum als normale Router), weshalb niemand für den Hausgebrauch ein symmetrisches NAT haben wird.

Den Outbound Proxy kannst Du vergessen, der kommt erst in ganz eigenwilligen Netzen zum Einsatz, in der kein freies Routing nach draußen existiert.

Viele Grüße
C.

 

[RB]

Moin!

@cyrano
Wie <Carli> schon meinte: Radio Eriwan - Jein. So kann man es machen, geht aber auch anders.

Bei mir (Ich habe übrigens Symmetric NAT) muß ich halt Port-Weiterleitungen machen. Außerdem muß die VoIP-SW/-HW die eigene, externe IP-Adresse ermitteln und benutzen (Muß sie aber auch in allen anderen Fällen). Das sollte immer per STUN gehen. Eigentlich auch dann, wenn die STUN-Ports (typ. 3478+3479) keine Weiterleitung haben.

Setzt natürlich voraus, daß diese Funktionen korrekt implementiert sind. Bei mir klappt es problemlos, da ich erstens eine quasi-statische IP-Adresse habe und zweitens mein Cisco 7960 eine recht intelligente Methode hat, die externe IP-Adresse festzustellen (Schaut nämlich einfach in die Antwort-Telegramme bei der Registrierung. Dort ist die IP-Adresse enthalten, von der der Registrar das Telegramm empfangen hat).

 

[pfeffer]

@Carli:
cyrano hat schon weitgehend recht. Alle Linux-Router, die mit iptables arbeiten, machen symmetrisches NAT. Außerdem, oder zum beispiel machen die Fritz!Box und der Draytek 2500 symmetzrisches NAT. Und die Traversalmechanismen hat er auch zutreffend beschrieben.
"NAT Keep Alive" (auch sipping) braucht man immer, wenn man keine festen Portweiterleitungen einrichtet, egal ob symmetrisches oder nicht symmetrisches NAT.
Recht hast Du allerdings, dass man mit Portweiterleitungen (Port Mapping) immer das Problem lösen kann. Dazu ist natürlich Voraussetzung, dass man die Möglichkeit hat, die Routerkonfiguration zu ändern. Sitzt man hinter einem nicht symmetrischem NAT, so kommt man auch ohne Portweiterleitungen aus, STUN genügt in diesem Fall.
Wenn man hinter einem symmetrischem NAT sitzt und nicht die Serverkonfiguration verändern kann/will, dann hilft nur noch ein outbound-(rtp)-proxy, um Verbindungen aufbauen zu können zu anderen Teilnehmern, die auch hinter einem symmetrischem NAT sitzen.

Gruß,
Pfeffer.

 

[der_Gersthofer]

Also aus eigener Erfahrung kann ich sagen, dass meine Vorredner nur theoretisch Recht haben. Z.B. hat es m.W. noch niemand geschafft, mit einem SNOM mit neuester Firmware die Provider 1&1, GMX, blueSIP basic ohne das Problem der one qay Audio Kommunikation hinter einem nicht sip-aware Router zum Laufen zu bekommen. Habe da selbst stundenlang herumprobiert mit einem Linksys WRT54GS und es ging nur mit einem Outbound Proxy (Session Border Controller einer Drittfirma), DMZ, Portweiterleitung usw. brachten nichts.

 

[RB]

Mangels Snom kann ich das leider nicht ausprobieren. Aber mein Cisco funktioniert völlig problemlos mit GMX.

Wenn die öffentliche IP-Adresse bekannt ist und im REGISTER korrekt verwendet wurde (was wiederum ggf einen funktionierenden STUN-Mechanismus voraussetzt), _muß_ das funktionieren. So komplex ist das Protokoll (im Ggs zu H.323) ja nicht, daß das mit ein paar Port-Forwardings nicht zu erschlagen wäre.

Es gibt allerdings Provider, die _immer_ auf dem Absenderport (der ja meist "genattet" ist) antworten, obwohl sie eigentlich z.B. auf 5060 reinkommen sollen (bei mir anfangs z.B. PURtel). Das habe ich bei mir umgangen, indem ich auch abgehend die Ports festgelegt habe. Soll heißen, daß Zielport 5060 bei mir auch als Quellport 5060 hat. Damit habe ich beide Fliegen mit einer Klappe erschlagen.

 

[cyrano]

Habe gestern Abend mit meinem neuen Zyxel 2000W 2nd Edition hinter meinem "alten" Draytec (2200X) rumprobiert.
Es hat sich wieder mal alles als graue Therorie herausgestellt.
Trotz multipler Portfreigaben lange keine "Registered", dann mal die Zyxel Funktion "Fake-WAN" probiert und siehe da ein "Registered" aber nur bis zur nächsten DSL (Zwangs)trennung. STUN und Outbound-proxy keine Chance.
Im NAT Log festgestellet das das Zyxel auf wer-weiss-wie-vielen Ports "rumorgelt" so viele kann man unmöglich freigeben. Dann mal probehalber wieder eine DMZ auf die Zyxel IP eingerichtet und siehe da nach einigem rumspielen mit den Settings klappt es jetzt stabil mit der STUN Funktion.
Also von wegen STUN geht auch ohne Routing.

 

[der_Gersthofer]

@RB
theoretisch mag das so sein, praktisch ist es eben nicht mit jedem Client so. Lade dir mal das SNOM Softohone runter und versuch es.

 

[RB]

@cyrano
Mag gerne sein, daß das Zyxel da so seine Probleme hat. Von der Konzeption muß STUN eigentlich ohne Port-Weiterleitungen verwendet werden, weil sonst der Test, den STUN ja darstellt, ad absurdum geführt wird. Und die öffentliche IP auszulesen, sollte auch eine der leichtesten Übungen dabei sein.

Aber das ganze hängt natürlich sehr stark von einer sauberen Implementierung des Algorithmus ab. Und da hapert es wohl noch ziemlich.


Wie gerade in meiner Antwort an <cyrano> schon gesagt: Das mit den Client-Implementierungen ist schon klar. Da gibt es noch erheblichen Nachbesserungsbedarf. Ich wundere mich nur immer darüber, daß das anscheinend so schwer zu implementieren ist.

Für mich gilt halt die Prämisse: Wenn ein Gerät nicht mit meinem Router zurechtkommt, fliegt's wieder raus :twisted:
Aber wenn sich die Temperaturen wieder etwas gemäßigt haben (Bin Dachwohnungs-Bewohner, daher derzeit etwas gehandicapt - mache derzeit immer von 1000 bis 2300 CEST Zwangs-Urlaub im Freien), werde ich gerne das Softphone mal testen. Hatte ich eh vor...