Etablierung von SIP/RTP-Videokonferenzen trotz Firewall

Aus Wiki
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Besser die Firewall konfigurieren

Dieser Artikel ist primär interessant für den Fall, dass die Firewall nicht für Videokonferenzen konfiguriert werden kann (oder die vorgenommene Konfiguration in der Praxis nicht funktioniert).

Falls der Router zugänglich ist, genügt es, ihn geeignet zu konfigurieren, siehe Konfiguration einer Firewall für SIP/RTP-Videokonferenzen. Dies ist die zu bevorzugende Lösung, da sie die größtmögliche Bandbreite ermöglicht (wichtig für Videotelefonie). Jeder zwischengeschaltete Vermittler verbraucht wertvolle CPU-Leistung sowie noch wertvollere Internet-Bandbreite.

Sobald einer der beiden Teilnehmer hinter einer Firewall eingesperrt ist, muss ein Vermittler helfen

  • Client-to-Client-Kommunikation über einen dritten Server im Internet (Vermittler)
    • falls die Aushandlung gefiltert wird: SIP-Proxy
    • falls die Übertragung gefiltert wird: RTP-Proxy
  • oder gleich ein VPN, was ebenfalls auf einen Vermittler hinausläuft

Vertrauenswürdigkeit

  • Tunneling: http://www.revsys.com/writings/quicktips/ssh-tunnel.html
  • -> die Frage nach der Sicherheit von Aushandlung und Telefonat ?
    • am Vermittler besonders leicht abhörbar
    • jemand könnte z.B. einen Vermittler vorgaukeln, und könnte sich so das Telefonat durchleiten lassen
  • spätestens in diesem Szenario muss die Kommunikation also verschlüsselt ablaufen

Bandbreite

  • wenn es ein zentraler Vermittler sein soll, wird er u.U. eine Menge Verbindungen abwickeln müssen
  • das kann auf die Bandbreite schlagen, sowohl in Bezug auf die Geschwindigkeit, als auch die Kapazität (und Bandbreite kostet)
  • spätestens in einem öffentlichen Szenario mit breiter Verwendung wird eine andere Lösung fällig:
  • dezentrale Vermittler ?
    • wer seine Ports offen hat, teilt sie mit anderen Nutzern ?
    • so wie Skype das auch löst, die machen das allerdings intransparent, "knechten" ihre Clients also unfreiwillig
    • Belohnungssystem? wer fremde Gespräche durchleitet, kann Coins sammeln, die eine Priorität für schnellere Durchleitung erkaufen
    • aber was, wenn ein Vermittler während eines Gesprächs offline geht?

Ein VPN kann zwischen blockierten Teilnehmern vermitteln

  • der blockierte Teilnehmer verbindet sich in der Rolle des Client zu einem Vermittler im Internet
  • und etabliert ein virtuelles, privates Netzwerk (VPN)
  • der Vermittler hat seine Ports zum Internet ungefiltert
  • er allokiert einige seiner Internet-Ports für den VPN-Client und leitet sie diesem über das VPN auf die SIP/RTP-Standardports durch
  • der Client nutzt fortan das VPN-Socket anstelle der direkten Internet-Verbindung:
    • für STUN, SIP sowie RTP
    • unter Ausnutzung der beim Vermittler für ihn lauschenden Server-Ports

Am Einfachsten machen gleich die Internet-Router selbst das VPN

  • z.B. die FritzBox kann das

Es gibt auch Angebote für VoIP over VPN im Internet

SSH-Tunnel zum Port-Durchstellen verwenden

  • wenn nur einer von beiden blockiert ist, kann der Blockierte zur Gegenstelle einen SSH-Tunnel öffnen, auf dem er ungestört lauschen kann
    • dann muss die Gegenstelle ihren Traffic auch nicht verschlüsseln, weil er ohnehin über einen SSH-Tunnel läuft
  • wenn beide blockiert sind, kann ein SSH-Tunnel über einen Vermittler im Internet aufgebaut werden

Links

Meine Werkzeuge
Namensräume
Varianten
Aktionen
Navigation
Werkzeuge