Как правильно пользоваться stun?

Question

[beatsspam]

Интересует поверхностный алгоритм работы со stun udp для обхода Nat. Давайте без конкретного языка программирования. Я себе вижу это так:

1. С компа #1 обращаюсь к stun серверу, получаю свой внешний ip:port. Отключаюсь от stun сервера, закрываю сокет.
   
2. На компе #1 создаю сокет на прослушку только что полученного порта. +- добавляю опционально этот порт через UPnP в таблицу маршрутизации 1к1 .
   
3. С компа #2 могу теперь отправлять пакеты на ip:port компа #1 который тот получал через stun.
   

Теперь подтвердите или опровергните так или нет? Спрашиваю потому как такая схема не сработала на port restricted nat у двух провайдеров ростелеком и мтс (оба оптоволокно 100мбит/с).

Comments

[beatsspam]

Поправка: думаю в пункте 2 нужно слушать не внешний порт, а локальный который был выделен при обращении к stun серверу. Но проблему это не решило, все равно не работает(

[beatsspam]

Поправка 2: с учетом port restricted nat данного случая в пункте 3 порт компа #2 сделал равным порту stun сервера, не помогло(

[alex_fedorov]

В целом ход мыслей правильный. Первая поправка верная, а вот насчет второй если комп2 и комп1 сидят за одним натом такая штука может не прокатить. Посему:
1) Какие провайдер выдает адреса? (динамические или серые)
2) комп1 я так понимаю сидит за роутером?
3) где находится комп2? тоже за роутером? в той же сети провайдера? или совсем в другой сети?

[beatsspam]

alex_fedorov, спасибо. Адреса серые. Я это понимаю, тестировал в таких случаях когда комп1 и комп2 совершенно разных провайдеров и городов.
по пунктам
2) да за роутером
3) комп1 за роутером, тестировал как с компом2 за роутером (другим и другим провайдером) так и вариант комп2 с белым ip без роутера (выделенный виртуальный север купил)

[alex_fedorov]

Могу только предположить, что роутер их дропает, т.к. ничего не знает о комп2 (файерволл на роутерах по умолчанию обычно настроен так, что дропает приходящие извне пакеты, о которых ничего не знает) . Попробуйте словить пакеты на WAN роутера. Или добавить в белый список на роутере адрес комп2.

[beatsspam]

alex_fedorov, ip добавил в белый список. не помогло( А как я могу снифать WAN?

[alex_fedorov]

beatsspam, Обычно на роутерах стоит линукс, и большинство роутеров по умолчанию содержат правила iptables, которые дропают пакеты (на неустановленных соединениях) на INPUT и FORWARD цепочках. Т.е. эти правила ты вряд ли увидишь в WebUI роутера.
Для снифинга тебе понадобится свитч или хаб. Во многих свитчах есть функция зеркалирования. Хаб сам по себе дублирует все пакеты. Если нет девайсов - то просто попробуй еще раз напрямую (без роутера). Таким образом ты точно поймешь, проблема в роутере или нет

Answer 1

[Tyranron]

Ну, использовать сам STUN достаточно просто - обратиться к серверу и получить свой внешний IP + порт, о чём Вы и написали.

Вопрос, получается, больше заключается в том, как организовать пробивку NAT используя STUN, то есть, сигналинг (signaling).

Вообще, исчерпывающий ответ дан в RFC 5245 - Interactive Connectivity Establishment (ICE) (используется в WebRTC).
Более понятным языком у Mozilla.
Заметьте, что на диаграммах в первую очередь создаётся RTCPeerConnection, что у Caller, что у Callee. Я не совсем в курсе, что там под капотом при этом происходит, но могу предположить что сначала создается сокет на прослушку, потому уже идёт запрос на STUN-сервер, который и "пробивает" таблицу роутинга и возвращает "пробитый" внешний порт + адрес, который и отправляется другому узлу, и уже потом другой узел может подключиться на "пробитый" внешний порт.