【Freeswitch】【媒体NAT穿越案例一】通过stun服务获取FS的公网IP

【Freeswitch】【媒体NAT穿越案例一】通过stun服务获取FS的公网IP,第1张

所有的通话,实质上是点对点的信息传输。(P2P, point to point)

这里的点是指网路上的点,每一个点是有公网IP的;但是实际情况是,很多节点隐藏在NAT之后,它们只有内网地址。那么之前点之前的连接是无法直连的。

为了能实现点对点的传输,所以内网地址的节点必须获取到它可以使用的公网地址。

下面的例子是讨论FS在NAT后的情况,如下图所示

那么FS怎么样才能获取到公网IP呢

有两种方案,

配置项都是一样,在external.xml中(因为作者只使用external.xml所以在此配置,各位根据实际需要)

配置项为 ext-rtp-ip

像上图样例中,可以配置

注意同样有一个项叫ext-sip-ip,它是走sip的,是信令层使用的。这里我们只讨论RTP,所以配置ext-rtp-ip。

同样,可以配置为stun服务器地址,如

配置完毕后,可以登陆FS控制台,输入 sofia status profile external 来查看配置情况

网路上有很多免费的stun server地址可以使用,那么是否可以工作呢?

有两个检查办法,

因为这个ext-rtp-ip是写入SDP中的,所以最直接的方式就是抓包,然后看信令中的SDP消息。下面是SDP样例如

前言    STUN,首先在RFC3489中定义,作为一个完整的NAT穿透解决方案,英文全称是Simple Traversal of UDP Through NATs,即简单的用UDP穿透NAT。     TURN,首先在RFC5766中定义,英文全称是Traversal Using Relays around NAT:Relay Extensions to Session Traversal Utilities for NAT,即使用中继穿透NAT:STUN的扩展       简单的说,TURN与STURN的共同点都是通过修改应用层中的私网地址达到NAT穿透的效果,异同点是TURN是通过两方通讯的“中间人”方式实现穿透。     ICE的全称Interactive Connectivity Establ.shment(互动式连接建立),由IETF的MMUSIC工作组开发出来的,它所提供的是一种框架,使各种NAT穿透技术可以实现统一。     STUN和TURN服务器和ICE可以参考阅读: P2P技术详解(三):P2P技术之STUN、TURN、ICE详解    本文介绍如何通过DOCKER搭建STUN和TURN服务器,步骤如下1:创建Dockerfile,内容如下:FROM      ubuntu:14.04 MAINTAINER Patxi Gortázar <patxi.gortazar@gmail.com> RUN apt-get update &&apt-get install -y \   curl \   libevent-core-2.0-5 \   libevent-extra-2.0-5 \   libevent-openssl-2.0-5 \   libevent-pthreads-2.0-5 \   libhiredis0.10 \   libmysqlclient18 \   libpq5 \   telnet \   wget RUN wget http://turnserver.open-sys.org/downloads/v4.4.2.2/turnserver-4.4.2.2-debian-wheezy-ubuntu-mint-x86-64bits.tar.gz \   &&tar xzf turnserver-4.4.2.2-debian-wheezy-ubuntu-mint-x86-64bits.tar.gz \   &&dpkg -i coturn_4.4.2.2-1_amd64.deb COPY ./turnserver.sh /turnserver.shENV TURN_USERNAME test ENV TURN_PASSWORD testENV REALM kurento.org ENV NAT true EXPOSE 3478 3478/udp ENTRYPOINT ["/turnserver.sh"]2:创建turnserver.sh,内容如下#!/bin/bash set-e if[$NAT="true"-a-z"$EXTERNAL_IP"]then #Try to get public IP PUBLIC_IP=$(curl http://169.254.169.254/latest/meta-data/public-ipv4)||echo"No public ip found on http://169.254.169.254/latest/meta-data/public-ipv4" if[-z"$PUBLIC_IP"]then PUBLIC_IP=$(curl http://icanhazip.com)||exit1 fi #Try to get private IP PRIVATE_IP=$(ifconfig|awk'/inet addr/{print substr($2,6)}'|grep -v 127.0.0.1)||exit1 exportEXTERNAL_IP="$PUBLIC_IP/$PRIVATE_IP" echo"Starting turn server with external IP:$EXTERNAL_IP" fi echo'min-port=49152'>/etc/turnserver.conf echo'max-port=65535'>>/etc/turnserver.conf echo'fingerprint'>>/etc/turnserver.conf echo'lt-cred-mech'>>/etc/turnserver.conf echo"realm=$REALM">>/etc/turnserver.conf echo'log-file stdout'>>/etc/turnserver.conf echo"user=$TURN_USERNAME:$TURN_PASSWORD">>/etc/turnserver.conf [$NAT="true"]&&echo"external-ip=$EXTERNAL_IP">>/etc/turnserver.conf exec/usr/bin/turnserver"$@"3:使用docker build 创建镜像,执行结果如下[root@www]# docker build -t teststurn_1 . Sending build context to Docker daemon  4.096kB Step 1/11 : FROM      ubuntu:14.04 --->6e4f1fe62ff1 Step 2/11 : MAINTAINER Patxi Gortázar <patxi.gortazar@gmail.com> --->Using cache --->4460f9f84053 Step 3/11 : RUN apt-get update &&apt-get install -y  curl  libevent-core-2.0-5  libevent-extra-2.0-5  libevent-openssl-2.0-5  libevent-pthreads-2.0-5  libhiredis0.10  libmysqlclient18  libpq5  telnet  wget --->Using cache --->05ed9ced48a5 Step 4/11 : RUN wget http://turnserver.open-sys.org/downloads/v4.4.2.2/turnserver-4.4.2.2-debian-wheezy-ubuntu-mint-x86-64bits.tar.gz  &&tar xzf turnserver-4.4.2.2-debian-wheezy-ubuntu-mint-x86-64bits.tar.gz  &&dpkg -i coturn_4.4.2.2-1_amd64.deb --->Using cache --->d82ed28fdac9 Step 5/11 : COPY ./turnserver.sh /turnserver.sh --->Using cache --->1d37a488282c Step 6/11 : ENV TURN_USERNAME test --->Running in bfd88f08db42 Removing intermediate container bfd88f08db42 --->cf8af0504b95 Step 7/11 : ENV TURN_PASSWORD test --->Running in b8ef33b7c213 Removing intermediate container b8ef33b7c213 --->32a832f23169 Step 8/11 : ENV REALM kurento.org --->Running in bbe129edf5b3 Removing intermediate container bbe129edf5b3 --->21fdfe34689b Step 9/11 : ENV NAT true --->Running in 5bdfe8555d5e Removing intermediate container 5bdfe8555d5e --->dc7fc896841c Step 10/11 : EXPOSE 3478 3478/udp --->Running in 67aaa1966f68 Removing intermediate container 67aaa1966f68 --->a12646ed45ff Step 11/11 : ENTRYPOINT ["/turnserver.sh"] --->Running in b8fc2ff09265 Removing intermediate container b8fc2ff09265 --->f5e5acad0f81 Successfully built f5e5acad0f81 Successfully tagged teststurn_1:latest执行完后可以看到自己创建的镜像名称为teststurn_1 4:启动docker的镜像,并开启端口3478     docker run -d -p 3478:3478 -p 3478:3478/udp teststurn_1    启动后需要等待一两分钟才能测试顺畅 5:测试服务器效果    打开 https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/  并输入自己的本机IP和端口,分别测试两种协议服务是否生效

【原理】

内部主机----->私有地址----->NAT----公网地址----->外部主机

就是替换IP报文头部的地址信息

Network Address Translation,网络地址转换,用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信

NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发, 这就是NAT的工作原理。

RFC1918规定了三个保留地址段落:10.0.0.0-10.255.255.255;172.16.0.0-172.31.255.255;192.168.0.0-192.168.255.255。这三个范围分别处于A,B,C类的地址段,不向特定的用户分配,被IANA作为私有地址保留

【类别】

NAT(Network Address Translators):称为基本的NAT,这种转换的核心是地址而不是端口,基本很少见了

NAPT(Network Address/Port Translators):其实这种才是我们常说的 NAT

【实现方式】

① 静态转换(Static NAT)

将特定的公网地址和端口一对一的映射到特定的私网地址和端口,且每个私网地址都是确定的。

② 动态转换(Dynamic Nat)

将内部地址与公网地址一对一的转换,但是动态地址是从合法的地址池中动态的选择未使用的公网地址,是随机的;当用户断开连接后,再次连接,可能外部地址就会切换成了另一个

③ 端口多路复用(Port address Translation,PAT)

这也算是一种动态的,将多个内部地址转换为同一个公网地址,用不同的端口来区别不同的主机,可以分为圆锥型NAT和对称性NAT

【NAPT分类】

① 全锥NAT(Full Cone NAT)

一个私有地址(addr)映射到公网地址(addr)后,内部地址(addr)可以收到任意外部主机(host)发到所映射公网地址(addr)的数据报

② 限制性锥NAT(Restricted Cone NAT)

一个私有地址(addr)映射到公网地址(addr)后,只有当内部主机(host)先给该(任意)外部主机(host)发送数据包后,内部主机才能通过(所映射的)公网地址接收到

该(任意)外部主机 发送到 公网地址的数据包(不限端口)[外部主机从任意端口发送到公网地址的报文将会被转发到私网地址]

③ 端口限制性锥NAT(PortRestricted Cone NAT)

这种实现方式与限制性锥NAT类似,只是多了端口的限制。一个私有地址(addr)映射到公网地址(addr)后,内部主机必须先向外部主机发过数据包之后,

外部主机才能够通过对应的端口发包到达内部地址(从"哪"进从"哪"出)

④ 对称NAT (Symmetric NAT)

这种实现方式不同于以上3种,就是不属于锥NAT(Cone NAT)。当同一台内部主机使用 相同的 端口与 不同的 外部主机通信时,对称NAT会重新建立一个会话,为这个会话分配不同的端口;

只有收到报文的外部主机从其对应的端口发送回应的报文,才能被转换(从"哪"来回"哪"去)。即使内部主机使用之前用过的地址端口去连接不同外部主机(或端口)时,NAT网关也会建立新的映射关系

【优缺点】

① 完美地解决了lP地址不足的问题

② NAT不仅实现地址转换,同时还起到防火墙的作用,隐藏内部网络的拓扑结构,有效地避免来自网络外部的攻击,因为对于外部主机来说,内部主机是不可见的,

NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP

③ 也对P2P这种端到端连接的应用造成了困扰

【NAT类型检测】

前提条件:有一个公网的Server并且绑定了两个公网IP(IP-1,IP-2)。这个Server做UDP监听(IP-1,Port-1),(IP-2,Port-2)并根据客户端的要求进行应答。

第一步:检测客户端是否有能力进行UDP通信以及客户端是否位于NAT后?

客户端向(IP-1,Port-1)发送UDP报文,要求服务器返回客户端的IP和Port。重复若干次,如果每次都超时,则客户端无法进行UDP通信。

如果服务器返回的客户端的IP和Port于发送UDP的localIP和Port相同,则客户端不在NAT后,否则位于NAT后

第二步:检测客户端NAT是否是Full Cone NAT?

客户端向服务器的(IP-1,Port-1)发送UDP报文,要求服务器用(IP-2,Port-2)响应客户端的请求。重复若干次,若每次都超时,则不是Full Cone NAT;否则是

第三步:检测客户端NAT是否是Symmetric NAT?

客户端向服务器(IP-1,Port-1)发送UDP报文,要求服务器返回客户端的IP和Port。客户端使用其他socket向服务器发送(IP-2,Port-2),要求服务器返回客户端的IP和Port。

如果两次返回的IP和Port有一对不一致,则为Symmetric NAT,这样的客户端无法进行UDP-P2P通信。否则为限制型NAT

第四步:检测客户端NAT是否是Restricted Cone NAT还是Port Restricted Cone NAT?

客户端向服务器(IP-1,Port-1)发送UDP报文,要求服务器用(IP-1,Port-x)发送UDP数据包响应。重复若干次,若每次都超时,则是端口限制。否则为限制型锥NAT。

【NAT穿透】

在不同NAT后面的两个客户端A和B,如果知道对方的NAT映射后的外网地址,就有可能直接发送UDP包给对方外网地址进行通讯。

但客户端不能直接获取自身的NAT外网地址,解决的办法就是引入一个服务器S来协助客户端获取自身的外网地址。

NAT的类型有多种,类型两两组合有很多种,不是每种组合都可以被穿越的,我们来分析两个典型的组合。

① 锥型VS锥型

S

A--NAT A(e)====NAT B(e)--B

B发送数据包给S询问自身地址,S把B的外网地址eB返回给B

S把B的外网地址eB发送给A

S把A的外网地址eA发送给B

A发送数据包给eB,B发送数据包给eA,建立P2P通道

② 端口限制锥型 vs 对称型

【STUN】

Simple Traversal of User Datagram Protocol Through Network Address Translators),即简单的用UDP穿透NAT,是个轻量级的协议,是基于UDP的完整的穿透NAT的解决方案

它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,

查出自己位于哪种类型的NAT之后以及NAT为某客户端的一个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT路由器之后的主机之间创建UDP通信。

该协议由RFC 3489定义,RFC 5389 RFC 7350

STUN是一种Client/Server的协议,也是一种Request/Response的协议,默认端口号是3478

// 协议改变

STUN协议在RFC5389中被重新命名为Session Traversal Utilities for NAT,即NAT会话穿透效用。

在这里,NAT会话穿透效用被定位为一个用于其他解决NAT穿透问题协议的协议。它可以用于终端设备检查由NAT分配给终端的IP地址和端口号。

同时,它也被用来检查两个终端之间的连接性,好比是一种维持NAT绑定表项的保活协议

STUN本身不再是一种完整的NAT穿透解决方案,它相当于是一种NAT穿透解决方案中的工具。这是与RFC3489/STUN版本相比最重要的改变。

RFC5389与RFC3489除了名称变化外,最大的区别是支持TCP穿透。

【STUN用途】

① Interactive Connectivity Establishment(ICE)[MMUSIC-ICE],交互式连接建立

② Client-initiated connections for SIP [SIP-OUTBOUND],用于SIP的客户端初始化连接

③ NAT Behavior Discovery [BEHAVE-NAT],NAT行为发现

国内免费使用的STUN服务器

stun:stun1.l.google.com:19302

stun:stun2.l.google.com:19302

stun:stun3.l.google.com:19302

stun:stun4.l.google.com:19302

stun:23.21.150.121

stun:stun01.sipphone.com

stun:stun.ekiga.net

stun:stun.fwdnet.net

stun:stun.ideasip.com

stun:stun.iptel.org

stun:stun.rixtelecom.se

stun:stun.schlund.de

stun:stunserver.org

stun:stun.softjoys.com

stun:stun.voiparound.com

stun:stun.voipbuster.com

stun:stun.voipstunt.com

stun:stun.voxgratia.org

stun:stun.xten.com

【TURN】

RFC5766

Traversal Using Relays around NAT(TURN):Relay Extensions to Session Traversal Utilities for NAT(STUN),即使用中继穿透NAT:STUN的中继扩展

TURN与STUN的共同点都是通过修改应用层中的私网地址达到NAT穿透的效果,异同点是TURN是通过两方通讯的“中间人”方式实现穿透。

TURN协议就是用来允许主机控制中继的操作并且使用中继与对端交换数据。TURN与其他中继控制协议不同的是它能够允许一个客户端使用一个中继地址与多个对端连接。

TURN协议被设计为ICE的一部分,用于NAT穿越,虽然如此,它也可以在没有ICE的地方单独使用。

【ICE】

Interactive Connectivity Establishment(互动式连接建立),由IETF的MMUSIC工作组开发出来的,它所提供的是一种框架,使各种NAT穿透技术可以实现统一。

ICE跟STUN和TURN不一样,ICE不是一种协议,而是一个框架(Framework),它整合了STUN和TURN。

如果A想与B通信,那么其过程如下:

1)A收集所有的IP地址,并找出其中可以从STUN服务器和TURN服务器收到流量的地址;

2)A向STUN服务器发送一份地址列表,然后按照排序的地址列表向B发送启动信息,目的是实现节点间的通信;

3)B向启动信息中的每一个地址发送一条STUN请求;

4)A将第一条接收到的STUN请求的回复信息发送给B;

5)B接到STUN回复后,从中找出那些可在A和B之间实现通信的地址;

6)利用列表中的排序列最高的地址进一步的设备间通信。

ICE协议下NAT穿越的实现(STUN&TURN):


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/497941.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-15
下一篇2023-06-15

发表评论

登录后才能评论

评论列表(0条)

    保存