Appels FaceTime Apple ne fonctionne ne pas en raison de la faute de STUN requêtes
Resolution
Vue d’ensemble
Cet article traite des appels FaceTime d’Apple ne fonctionne ne pas à cause de la tombe en panne STUN (Session Traversal utilitaires pour NAT) demandes lorsque la connexion est traverser le pare-feu. Ce comportement peut être vu par intermittence. Les appels FaceTime peuvent être initié/reçus sur des appareils d’Apple comme l’iPhone, Mac, iPad et ainsi de suite. L’accent de cet article est sur le fait que les demandes STUN, qui sont perdus par le pare-feu en raison d’une mauvaise configuration.
Détails
En termes simples, STUN est un protocole utilisé pour permettre à un périphérique fonctionnant derrière un périphérique NAT de découvrir son IP et son port publics. Ce protocole est largement utilisé dans les communications VOIP pour atténuer les problèmes résultant de NAT mis en œuvre par les pare-feux et routeurs.
Le port standard et largement utilisé pour STUN est 3478/UDP. La mise en œuvre d'STUN d'Apple utilise le port UDP 3478 avec d'autres ports non standard (3478 à 3497/UDP). Ainsi, un client STUN Apple, tels que L'iPhone, Mac, iPad, et ainsi de suite,peut envoyer une demande d'ALlouer STUN sur L'un des ports, comme mentionné ci-dessus, et le serveur STUN serait répondre.
Remarque: veuillez vous référer à la documentation technique D'Apple pour tout changement dans les ports utilisés pour STUN.
Demande client
Les appels FaceTime ne pas connecter ou se connecter seulement par intermittence, d’avoir omis de STUN requêtes.
Lors de la configuration des stratégies de sécurité pour autoriser l'application FaceTime, les applications suivantes doivent être autorisées
en raison de la dépendance de FaceTime sur eux :
iChat-av, sip, ssl, étourdissement, navigation sur le web
UNE notion commune serait de permettre à toutes les applications requises ci-dessus avec le service comme application -default.
C'est là que le problème se pose avec STUN allouer des demandes à défaut. Il y a quelques scénarios à considérer:
| STUN requêtes sont envoyées sur le port 3478 | Fonctionne sans aucun problème puisque le comportement par défaut de l'application autorise le trafic sur le port 3478 |
| STUN requêtes sont envoyées sur un des ports, 3479 par le biais de 3497 | Échoue car le pare-feu limite l’application STUN au port 3478 et paralysant le trafic sur tous les autres ports n’est pas autorisé |
| STUN requêtes sont parfois envoyés sur 3478 et parfois envoyés sur 3479 par le biais de 3497 | Échoue par intermittence |
Solution
Il y a deux solutions qui peuvent atténuer le problème des demandes STUN une chute à l’utilisation du service comme application par défaut.
Créez une stratégie distincte pour l'application STUN avec service comme une application personnalisée, qui inclut tous les ports requis tels que UDP 3479 à 3497. Dans L'exemple suivant, un service personnalisé, STUN_Custom_Service, est configuré et ajouté dans la stratégie de sécurité .
- Configurer le service personnalisé.
- Ajouter le service personnalisé dans la politique.
Créer une stratégie pour permettre à l'application STUN avec le service avec Any, pour permettre à STUN d'utiliser n'importe quel port L4. Cette solution est moins sûre, car elle ouvre tous les ports pour STUN.
Remarque :
L’analyse qui précède est valable pour STUN mise en œuvre par Apple.
Veuillez vous reporter à la documentation technique d’Apple pour tout changement de ports utilisés pour l’étourdissement.