STUN/TURN Server Topologien. Best Practice

Ähnliche Dokumente
estos STUN/TURN Server

estos STUN/TURN Server

ProCall 4+ Enterprise

Installationsanleitung DVAG ProCall One R2

ProCall 6 Enterprise Upgrade Verfahren. Best Practice

ProCall Enterprise. Best Practise. Betriebsrat

ESTOS ProCall 3.0 & ProCall One Standorteinstellungen richtig definieren Trouble

ProCall 4+ Enterprise und DATEV pro. Einrichtung von ProCall Enterprise und MetaDirectory für DATEV Telefonie Basis

ESTOS XMPP Proxy

ESTOS XMPP Proxy

ECSTA 4.0. Release Notes. Version

PhoneTools für Lync. Release Notes. Version

ECSTA 5 Release Notes Version

Router für BT-Professional MOBILE konfigurieren

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Portweiterleitung in der paedml 3.x

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Systemanforderungen ProCall go. Technische Dokumentation

NAT - und Firewall-Einstellungen am Beispiel eines Exposed Host zum IPv4-Zugriff aus dem WAN

Beispiel einer WebRTC-Lösung Kerninfrastrukturstandards (DTLS, ICE, Turn etc.) Lars Dietrichkeit innovaphone AG Head of Business Development

Port-Weiterleitung einrichten

Fernwartung mit IPX/S Geräten Konfiguration mit Fritz!Box 7270

ProCall Analytics. How To. Datenschutz

Kommunikation im lokalen Netz

Version Deutsch In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IACBOX beschrieben.

CallControlGateway 4.0

Erweiterte Konfiguration Agenda Anywhere

ProCall 5 Enterprise. Konfigurationsanleitung. Integration SPEXBOX in ProCall Enterprise

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

Nexinto Business Cloud - HAProxy Anleitung zum Aufsetzen eines HAProxy Images. Version: 1.0

UCServer Remote Office. Voraussetzungen und Analyse von Remote Office

Business Voice SIP. Kurzanleitung

estos SIP Proxy

Benutzerhandbuch. Workshops (Auszug) Sicherheits- und Administrations-Workshops. Benutzerhandbuch. bintec elmeg GmbH

Veröffentlichung UCServer Webservice. Best Practice

Übung - Mit Wireshark eine UDP-DNS-Aufzeichnung untersuchen

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

ISA 2004 Netzwerkerstellung von Marc Grote

Technical Note 30 Endian4eWON einrichten für VPN Verbindung

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains.

Broadway FAQ. Copyright 2017 Hauppauge Computer Works

OSITRON Kommunikationstechnik GmbH (C) 2008 OSITRON GmbH Frechen

HLx Management Console

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 5.1 vom Kassenärztliche Vereinigung Niedersachsen

Netzwerkinstallation von Win-CASA 2009 für Kunden einer Einzelplatzversion

estos XMPP Proxy

MetaDirectory 4 Enterprise

Routing und DHCP-Relayagent

CallControlGateway 4.0

Netzwerk Linux-Kurs der Unix-AG

Grundlagen Firewall und NAT

IPv6. Autor Valentin Lätt Datum Thema IPv6 Version V 1.0

Mindbreeze InSpire. Management Center ... Support : Tel.:

PPPoE Passthrough. Dokument-ID PPPoE Passthrough Version 2.0. Ausgabedatum Konfigurationsanleitung. Centro Business. Swisscom (Schweiz) AG

PPPoE Passthrough. Dokument-ID PPPoE Passthrough Version 2.0. Ausgabedatum Konfigurationsanleitung. Centro Business. Swisscom (Schweiz) AG

HowTo SoftEther Site-2-Site (Client-Bridge)

Installation und Einrichtung Anleitungen für Merlin Server ProjectWizards GmbH

Fernzugriff auf Heimnetz über IPv6

HowTo SoftEther VPN Server (global)

Anforderungen BauPlus

Installation von MS SQL-Server 2014 Express

ProCall 5 Enterprise

VPN Tracker für Mac OS X

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Firewall Einstellungen und weitere ggf. notwendige Grundeinstellungen für die Nutzung der Dienste der SIP-Tk-Anlage CentrexX bzw.

T-Online Speedport. Login. Sicherheit

Anbindung einem ALL-VPN20

PROJEKTIEREN DER HW UND DER VERBINDUNGEN...

DHCP DY NA M I C H O S T C O NF I G UR AT I O N P R OTO C O L. A u t o m a t isc h e Ve r ga b e v o n I P - A d r e sse n a n C lie n t s

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

bintec Workshop Konfiguration von DynDNS Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

DSL-Highspeed Service-Plus Paket

6. Einrichtung einer Fernwartung

Fixe public IP 1:1 NAT ins LAN einrichten

Konfiguration Agenda Anywhere

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Ein buchner Unternehmen: Starke Software Gmbh Lise-Meitner-Str Schwentinental Tel.:

Abnahmeprotokoll Modul 123: Serverdienste in Betrieb nehmen IET-GIBB Jessica Dominguez Stevanovic, 2G

Port-Weiterleitung einrichten

EIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

Filius Simulation von Netzwerken

MERCUR Messaging Konfigurationsbeispiele

G DATA TechPaper. Update auf Version 14.1 der G DATA Unternehmenslösungen

[DNS & DNS SECURITY] 1. DNS & DNS Security

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!?

Docusnap X Discovery Service. Installation und Konfiguration

Installationsanleitung

Konfiguration Agenda Anywhere

(Dieses ist ein Beispiel anhand des Teledat Router 820, die Teledat Router 800/830 sind vergleichbar)

Installationsanleitung adsl Einwahl unter Windows 8

highsystem.net Clients importieren

GS-Office Mobile. Einrichtung & Konfiguration

Einrichten der Mindbreeze InSpire Appliance Setzen einer statischen Netzwerkadresse von einem Microsoft Windows PC. Version 2017 Summer Release

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

ESTOS EWS Kalender Replikator

ESTOS EWS Kalender Replikator

Fehler: [ ] Es konnte keine gültige Lizenz vom Network License Manager bezogen werden. Apr Support

NAT und Firewalls. Jörn Stuphorn Universität Bielefeld Technische Fakultät

Transkript:

STUN/TURN Server Topologien Best Practice

Rechtliche Hinweise / Impressum Die Angaben in diesem Dokument entsprechen dem Kenntnisstand zum Zeitpunkt der Erstellung. Irrtümer und spätere Änderungen sind vorbehalten. Die estos GmbH schließt jegliche Haftung für Schäden aus, die direkt oder indirekt aus der Verwendung dieses Dokumentes entstehen. Alle genannten Marken- und Produktbezeichnungen sind Warenzeichen oder Eigentum der entsprechenden Inhaber. Die derzeit gültigen Allgemeinen Geschäftsbedingungen finden Sie auf unserer Webseite unter http://www.estos.de/agb. Copyright estos GmbH. Alle Rechte vorbehalten. estos GmbH Petersbrunner Str. 3a D-82319 Starnberg info@estos.de www.estos.de Stand 27.01.2015 Dokumentenhistorie Version Datum Autor Änderungen 1 19.02.2015 DW Initiale Erstellung 2 20.02.2015 MB Überarbeitung STUN/TURN Server Topologien Seite 2 von 12

Inhalt Einführung... 4 1.1. Funktionsweise... 4 Beteiligte Komponenten und Begriffe... 4 Anwendungsfälle... 5 Installation und Konfiguration... 8 2.1. Installation... 8 2.2. Konfiguration... 8 2.3. Allgemein... 8 2.4. TURN Konfiguration... 8 Standard Topologien... 9 3.1. STUN/TURN Server im Internet... 9 Voraussetzungen... 9 Konfiguration Netzwerk Komponenten... 9 Konfiguration estos Komponeten... 9 Topologie... 10 3.2. STUN/TURN Server in der DMZ... 11 Voraussetzungen... 11 Konfiguration Netzwerk Komponenten... 11 Konfiguration estos Komponeten... 11 Topologie... 12 STUN/TURN Server Topologien Seite 3 von 12

Einführung 1.1. Funktionsweise Der estos STUN/TURN Server ist als Systemdienst implementiert, welcher die STUN- und TURN-Server Funktionalität zur Verfügung stellt. Im Folgenden wird kurz beschrieben was ein STUN-/TURN-Dienst macht und welche Probleme er bei der Audio/Video Kommunikation zwischen zwei Clients beseitigt. Anschließend werden noch die Hauptanwendungsfälle aufgezeichnet. Diese Beschreibung soll dazu dienen ein grundlegendes Verständnis für die Thematik zu vermitteln und geht nicht auf genauere Details ein. Beteiligte Komponenten und Begriffe NAT - Network Address Translation (RFC 2663) NAT beschreibt die Umsetzung des "internen" IPv4-Adressraums eines LAN zu "externen" IPv4-Adressen (und Ports) im Internet. Das trägt zur Sicherheit des internen Netzes bei, da von außen kein direkter, ungewünschter Zugriff auf interne Adressen erfolgen kann. Ein NAT Device ist z.b. ein Router, der ein LAN mit dem Internet verbindet. Symmetric NAT Zusätzlich zum normalen NAT merken sich diese Router nicht nur die interne Client Adresse, sondern auch die von ihm angesprochene Zieladresse und lässt Daten nur von dieser in das interne Netz gelangen. Ein anderes Ziel kann also keine Daten an den internen Client senden, selbst wenn die IP-Adressen (und Ports) bekannt wären. Für eine Audio/Video Kommunikation ist in diesem Fall nur in Verbindung mit einem TURN-Server möglich. NAT Traversal "NAT Traversal" bezeichnet Techniken zum Aufbau und Halten von Verbindungen über NAT-Umsetzungsstellen hinweg. Zu diesen Techniken gehören STUN und TURN. STUN - Session Traversal Utilities for NAT (RFC5389) Dieses Protokoll ermöglicht es einem Client in einem LAN, seine eigene, öffentliche IPv4- Adresse zu ermitteln. Der rufende Client im LAN kann auf diese Weise dem angerufenen Client außerhalb des LAN mitteilen, welche IPv4-Adresse (und Portnummer) verwendet werden kann um eine direkte Kommunikation mit ihm zu ermöglichen ("Peer-to-Peer" Verbindung). TURN - Traversal Using Relays around NAT (RFC5766) Ein Server im Internet, der das TURN-Protokoll implementiert, ermöglicht es zwei Clients, STUN/TURN Server Topologien Seite 4 von 12

Daten ohne eine direkte Verbindung auszutauschen ("Relay Server"). Dies wird notwendig, wenn es keine Möglichkeit gibt eine direkte Client zu Client Verbindung aufzubauen. ICE - Interactive Connectivity Establishment (RFC5245) Zwei Clients können die mit Hilfe von STUN und TURN ermittelten Verbindungsinformationen (und andere Daten) mit Hilfe des ICE Protokolls austauschen. Die Übermittlung der Informationen muss dabei über einen eigenen Dienst erfolgen, einen sog. "Signaling Server". Dieser Dienst muss von beiden Clients erreichbar sein. Das Zusammenstellen einer ICE Informationen, sog. ICE Kandidaten, erfolgt durch beide Clients. Dazu sammeln beide die verschiedenen Kandidaten (mögliche Protokolle und dazugehörende IP-Adressen mit Ports) aus ihrem LAN heraus ein. Die beiden Clients tauschen diese Kandidaten anschließend über die Signaling Server aus und versuchen daraufhin den jeweils anderen mit Hilfe des passendsten Kandidaten zu erreichen. Signaling Server Signaling Server dienen zum indirekten Austausch von Daten zwischen zwei Clients. Dies kann ein Dienst sein, der von beiden Clients erreichbar ist (z.b. ein UCServer in einem Netzwerk) oder auch mehrere Dienste die mittels Federation miteinander verbunden sind (z.b. zwei UCServer zweier Firmen, die eine XMPP Federation eingegangen sind). Anwendungsfälle Im Folgenden werden die Hauptanwendungsfälle der STUN/TURN-Dienste etwas ausführlicher gezeigt. Direkte Kommunikation ist möglich (kein STUN/TURN-Dienst notwendig) Damit Client A die Medienströme von Client B empfangen kann, muss Client A zunächst Client B seine Kontaktdaten (IP-Adresse und Port) mitteilen. Dies geschieht in der Regel über einen Signaling-Server, zu dem beide Clients eine Verbindung haben. Solange sich beide Clients im gleichen LAN befinden ist dies problemlos möglich. Abb. 1 verdeutlicht dies. In Schritt 1 sendet Client A seine IP-Adresse und Port über den Signaling Server an Client B. Daraufhin kann Client B in Schritt 2 damit beginnen einen Medienstrom an Client A zu senden. Abbildung 1: Client A ist direkt erreichbar. Client B kann den Medienstrom direkt an Client A senden. STUN/TURN Server Topologien Seite 5 von 12

Ein Client befindet sich hinter einem NAT-Router Befinden sich Client A und Client B in verschiedenen LANs, die durch einen NAT-Router getrennt sind, wird das obige Szenario fehlschlagen. Da Client A nicht weiß, dass er gegenüber Client B mit der öffentlichen IP-Adresse und Port des NAT-Routers erscheint, würde Client A in Schritt 1 seine lokale IP-Adresse und Port an Client B signalisieren. Da diese Adresse aber für Client B nicht erreichbar ist, schlägt das senden des Medienstroms (Schritt 2) fehl (siehe Abb. 2). Abbildung 2: Erfolgloser Verbindungsaufbau über einen NAT-Router hinweg. Das Nichterreichbarkeitsproblem kann mit Hilfe eines STUN-Servers gelöst werden wie in Abb. 3 dargestellt. Mit Hilfe des STUN-Servers kann Client A in Schritt 1 seine öffentliche IP- Adresse und Port ermitteln. Diese kann er dann in Schritt 2 an Client B übermitteln woraufhin dieser seinen Medienstrom an die öffentlich erreichbare Adresse des NAT-Routers senden kann. Der NAT-Router leitet den Medienstrom dann an Client A weiter. Abbildung 3: Erfolgreiche Kommunikation unter Zuhilfenahme eines STUN-Servers. Mindestens ein Client kann von außen gar nicht erreicht werden (Symmetric NAT-Router) Die vorherige Lösung funktioniert allerdings nicht für alle NAT Ausprägungen. Es gibt eine Klasse von NATs, die sog. "Symmetric NAT", die nicht nur einen öffentlichen Port für einen STUN/TURN Server Topologien Seite 6 von 12

LAN Client A öffnen, sondern für auch jede einzelne Verbindung nach aussen. Das hat zur Folge, dass Client A zwar nach wie vor seine öffentliche IP-Adresse/Port vom STUN-Server abfragen kann, diese wären dann aber für Verbindungen mit Client B nicht gültig. Abbildung 4: Erfolgloser Kommunikationsversuch über ein "Symmetric NAT". Da der korrekte öffentliche Port über den STUN-Server nicht ermittelt werden kann, schlägt das Senden eines Medienstroms von Client B fehl. Um dieses Problem mit dem "Symmetric NAT" zu lösen, benötigt man einen TURN-Server (siehe Abb. 5). Sobald Client A feststellt, dass direkte und STUN Verbindungen nicht möglich sind (Schritt 1), kann er Client B über den Signaling-Server mitteilen, dass er eine Verbindung zu einen gemeinsam bekannten TURN-Server (Schritt 2) aufbauen soll. In Schritt 3 haben beide Clients eine Verbindung zum TURN Server und können darüber nun Daten austauschen. Abbildung 5: Erfolgloser Kommunikationsversuch über ein "Symmetric NAT" durch Nutzung eines TURN-Servers. Da die Nutzdaten bei dieser Lösung direkt über den TURN-Server fließen hat ein TURN-Server insbesondere bei mehreren parallelen Verbindungen sehr hohe Anforderungen an die Bandbreite zu erfüllen. Deshalb wird diese Lösung nur dann gewählt, wenn es keine andere Möglichkeit für eine Datenübertragung gibt. STUN/TURN Server Topologien Seite 7 von 12

Installation und Konfiguration 2.1. Installation Die Installation und Einrichtung eines estos STUN/TURN Servers wird einfach durch Doppelklick auf das Installationspaket gestartet. Damit startet der Installationsassistent, der durch die Installation des Dienstes auf dem Computer führt. Anschließend startet der Konfigurationsassistent, der durch die einzelnen, notwendigen Einrichtungsschritte führt. Danach ist der Dienst einsatzbereit. 2.2. Konfiguration Für den Betrieb des estos STUN/TURN Servers sind einige Einstellungen notwendig. Um diese Einstellungen vorzunehmen wird das Administrationsprogramm des estos STUN/TURN Servers verwendet. 2.3. Allgemein Damit Clients Anfragen an den Dienst stellen können muss die Netzwerkschnittstelle eingerichtet werden. UDP IP Adresse IP Adresse und Port der Schnittstelle für Erreichbarkeit mittels UDP. Voreinstellung für den Port ist 3478. TCP IP Adresse IP Adresse und Port der Schnittstelle für Erreichbarkeit mittels TCP. Voreinstellung ist Port 3478. 2.4. TURN Konfiguration Der TURN Server benötigt noch weitere, nur für seine Aufgaben bestimmte Einstellungen. IP Adresse für die Datenvermittlung Definiert die IP-Adresse über die die Clients die eigentlichen Medianströme austauschen. Passwort Da der Transfer der Mediadaten zwischen den Clients eine hohe Bandbreitenanforderungen an die Schnittstelle stellt, ist der Zugriff durch ein Passwort geschützt. Dieses muss im UCServer ebenfalls eingegeben werden. STUN/TURN Server Topologien Seite 8 von 12

Standard Topologien In diesem Bereich wird auf die zwei von estos empfohlenen Standard Topologien zur Installation des STUN/TURN Servers eingegangen. 3.1. STUN/TURN Server im Internet Voraussetzungen Der STUN/TURN Server auf einer Windows Instanz außerhalb der eigenen Organisation (z. B. von einem Hoster) installiert. Diese Instanz benötigt zwingend eine statische öffentliche IP-Adresse. Firewall Konfiguration Netzwerk Komponenten Port-Freigaben: Ausgehend Port 3478 UDP Konfiguration estos Komponenten STUN/TURN Server UDP IP-Adresse: Auf die öffentliche IP-Adresse binden. Als Port sollte 3478 verwendet werden. TCP IP-Adresse: Auf die öffentliche IP-Adresse binden. Als Port sollte 3478 verwendet werden. IP Adresse für die Datenvermittlung: Auf die öffentliche IP-Adresse binden. UCServer STUN Server: Öffentliche IP-Adresse oder DNS-Name des STUN/TURN Server TURN Server: Öffentliche IP-Adresse oder DNS-Name des STUN/TURN Server Passwort: Das im STUN/TURN Server konfigurierte Passwort STUN/TURN Server Topologien Seite 9 von 12

WAN Topologie Mobile App Turn-Server IP: 80.x.x.x UC Server STUN / TURN:80.x.x.x ProCall Client STUN/TURN Server Topologien Seite 10 von 12

3.2. STUN/TURN Server in der DMZ Voraussetzungen Der STUN/TURN Server wird auf einer Windows Instanz innerhalb der DMZ der eigenen Organisation installiert. Es wird eine statische öffentliche IP-Adresse benötigt. In der Unternehmens-Firewall müssen NAT-Regeln (Portforwarding) und Port-Freigaben erstellt werden. Weiterhin muss die Möglichkeit zu einer Split-Horizon-DNS Konfiguration vorliegen. Es ist notwendig DNS-Einträge zu hinterlegen. Info Sollte bei Ihnen keine Split-Horizon-DNS Konfiguration vorliegen, können Sie durch Erstellen einer eigenen Zone für die benötigte Sub-Domain in Ihrem Windows-DNS-Server einen Workaround schaffen. Konfiguration Netzwerk Komponenten DNS-Server Konfiguration Öffentlicher DNS-Server: Zur öffentlichen IP-Adresse muss ein öffentlicher DNS-Eintrag vorhanden sein. Interner DNS-Server: Zur internen IP-Adresse muss ein gleichlautender interner DNS-Eintrag vorliegen (split-horizon-dns). Beispiel Öffentlich: turn.ucsoftware.de / 80.79.78.77 Intern: turn.ucsoftware.de / 192.168.1.150 Firewall WAN Firewall: Alle Anfragen auf Port 3478 werden auf die lokale IP Adresse des STUN/TURN Servers weitergeleitet LAN Firewall: Ausgehend Port 3478 UDP öffnen Konfiguration estos Komponenten STUN/TURN Server UDP IP-Adresse: Auf die interne IP-Adresse binden. Als Port sollte 3478 verwendet werden. TCP IP-Adresse: Auf die interne IP-Adresse binden. Als Port sollte 3478 verwendet werden. IP Adresse für die Datenvermittlung: Auf die interne IP-Adresse binden. STUN/TURN Server Topologien Seite 11 von 12

LAN DMZ WAN UCServer STUN Server: DNS-Name des STUN/TURN Servers TURN Server: DNS-Name des STUN/TURN Servers Passwort: Das im STUN/TURN Server konfigurierte Passwort Achtung Der Test im UC Server wird in dieser Konstellation fehlschlagen. Deshalb muss ein A/V Testanruf von einem Gerät, welches sich in einem öffentlichen Netz befindet, zu einem ProCall Client durchgeführt werden. Topologie Mobile App Öffentliche IP Adresse 80.x.x.x Öffentlicher DNS: turn.domain.xx Port Fwd: 3478 UDP -> 192.168.x.x (IP des Turn-Servers) Turn-Server Interner DNS: turn.domain.xx IP: 192.168.x.x UC Server STUN / TURN: turn.domain.xx ProCall Client STUN/TURN Server Topologien Seite 12 von 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback