Grundlegende Informationen zu STUN und NAT bei SIP-Anschlüssen der Deutschen Telekom (DeutschlandLAN)

Aus bintec elmeg Support-Wiki / FAQ

Version vom 14. März 2018, 14:52 Uhr von Klaus Stavemann (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Grundlegende Informationen zu STUN und NAT bei SIP-Anschlüssen der Deutschen Telekom (DeutschlandLAN)
Hinweise zur Konfiguration von SIP-Anschlüssen der DTAG (DeutschlandLAN) bezüglich STUN und NAT an vorgeschalteten Routern - für Einzelregistrierung (DIPVD) und SIP-Trunk (DSIPT).

Geltungsbereich und Szenario

Die hier gegebenen Hinweise beziehen sich auf den Betrieb einer IP-fähigen Telefonanlage im LAN hinter einem (Grenz-)Router, der den Internetzugang zur Deutschen Telekom (DTAG) und damit den Zugang zur SIP-Plattform der DTAG herstellt. Die SIP-Registrierung an der Plattform der DTAG erfolgt mittels IP-Kommunikation und sozusagen durch den Grenzrouter hindurch.

Erklärung NAT und STUN

NAT ist die Network Address Translation und wird benötigt, um mehreren IP-fähigen Endgeräten im LAN mit einer sog. privaten IP Adresse (nach RFC 1918) den Zugang ins Internet über eine öffentliche IP-Adresse (geroutet im Internet) zu ermöglichen. Ausgehend wird die eigentliche Quelladresse (privat) durch die öffentliche Quelladresse des Grenzrouters ersetzt und ein Kontext erstellt. Der Grenzrouter kann damit das aus dem Internet an ihn gerichtete Antwortpaket zuordnen und durch eine Ersetzung der Zieladresse (Rückübersetzung) im Antwortpaket das Paket im eigenen LAN zustellen.

Symmetrisches NAT oder auch Hiding NAT / Masquerading ändert ebenso die Quellports der portfähigen Protokolle (UDP & TCP) und lässt nur „symmetrische Antworten“ (Ziel- und Quelladresse sowie Ziel- und Quellport im Antwortpaket symmetrisch vertauscht) passieren.

(Full) Cone NAT verändert normalerweise keine Quellports und achtet bei UDP (Protokoll 17) nur auf  das ausgehende Protokoll. Es stellt eingehende UDP-Antwortpakete aus dem Internet ohne Port- und Quell-IP Bezug einem Endgerät zu, das einen Kontext im NAT „verursacht“ hat. Dies ist ohne entsprechende Firewall aus Sicherheitsgründen bedenklich, auch ist der gesamte Portrange damit für andere ausgehende Anfragen von Geräten aus dem LAN „blockiert“. Für größere Netzwerke „hinter“ dem NAT also eine Funktionseinschränkung.

STUN ist die Abkürzung für Session Traversal Utilities for NAT (RFC 5389) und bezeichnet einen Dienst auf UDP Port 3478, der bei einer entsprechenden Anfrage eines Clients aus dem LAN an einen Server im Internet dem anfragenden Client in der Antwort mitteilt, von welcher öffentlichen IP-Adresse die Anfrage initiiert wurde. Dies wird bei Clients aus dem LAN (die ihre öffentliche IP nicht kennen) verwendet, um innerhalb der SIP-Kommunikation dem SIP-Server der DTAG die öffentliche IP-Adresse des Grenzrouters mitteilen zu können.

DeutschlandLAN IP Voice & Data (DIPVD) – Einzelregistrierung der MSNs

Bei dieser Anschlussart, die UDP (Protokoll 17) für die SIP-Kommunikation verwendet, sollte grundsätzlich in der IP-fähigen TK-Anlage im LAN ein STUN-Server eingetragen sein.

Die NAT-Variante des Grenzrouters muss auf (Full) CONE NAT gesetzt sein.

Bei der be.IP plus im Modus „MGW“ und allen anderen bintec elmeg Geräten im Grenzrouterbetrieb sollte der Assistent „VoIP PBX im LAN“ ausgeführt werden.

Hierdurch wird für die IP-Adresse der IP-fähigen TK-Anlage als Quelladresse ein „Full Cone NAT“, ein STUN-Handler in der Firewall (zur Verlängerung der SIF-Sessions) und eine QoS-Priorisierung für die Telefoniepakete mit den binären DSCP-Werten „101110“ und „110000“ (RTP und SIP) ausgehend auf der WAN-Schnittstelle vorgenommen.

DeutschlandLAN SIP-Trunk – SIP-Trunk Registrierung

DeutschlandLAN SIP-Trunk benutzt zur SIP-Kommunikation TCP (Protokoll 6), welches ebenso eine verschlüsselte Kommunikation via TLS ermöglicht (SIP-S). Der RTP-Datenstrom erfolgt aber weiterhin über UDP (Protokoll 17, verschlüsselt und unverschlüsselt), so dass hier auch ggf. weitere Maßnahmen am Grenzrouter für UDP (Protokoll 17) erforderlich sind: (Full) Cone NAT.

Eine Besonderheit der Plattform des SIP-Trunks der DTAG ermöglicht in diesem Fall eine differente Problemlösung des Setups des Grenzrouters:

Erfolgt die SIP-Kommunikation der IP-fähigen TK-Anlage mit privaten IP-Adressen (nach RFC1918) schaltet die Plattform der DTAG in den sog. „symmetrischen RTP-Modus“, d. h. die IP-Kommunikation wird nicht auf Basis der SIP-Daten etabliert, sondern auf Basis der IP-Header.

Der RTP-Kanal (Gesprächsdaten) wird symmetrisch aufgebaut, so dass der Antwortport dem Port der Anfrage entspricht. -> Symmetrisches RTP!

Somit sind bei Geräten mit „symmetrischem NAT / Hiding NAT“ keine weiteren Maßnahmen erforderlich, um die Antwortpakete „passieren“ zu lassen!

Basis dieser Art der Kommunikation ist hier das Fehlen der STUN-Abfrage, so dass die SIP-Kommunikation der IP-fähigen TK-Anlage mit privaten IP-Adressen (nach RFC 1918) durchgeführt wird. Das Fehlen eines STUN-Servers sollte bei IP-fähigen TK-Anlagen in diesem Szenario daher ohne weitere Anpassung zur gewünschten Funktion führen.

Weitere Anforderungen an einen Grenzrouter

Der vorgelagerte Grenzrouter muss außerhalb dieser Beschreibung selbstverständlich noch weitere Kriterien erfüllen:

  • NAPTR/SRV DNS-Auflösung gegenüber internen LAN-Clients
  • Auswertung der DNS-Antworten mit Priorität
  • Priorisierung des SIP- & RTP- Traffics gegenüber anderem Traffic

Basis

Erstellt: 25.10.2017
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27
KW: 47/2017
wschwarz/kst