概要
この資料では、接続はファイアウォールを通過するとき、失敗したスタンガン (NAT トラバーサル ユーティリティ セッション) 要求により動作していないアップル FaceTime の呼び出しについて説明します。この動作は断続的に見ることができます。 FaceTime の呼び出し開始/受信できるアップル iPhone、Mac、Ipad のようなデバイスのように。 この記事の重点は、設定ミスによりファイアウォールによって破棄された STUN 要求の失敗です。
詳細
簡単に言うと、スタンは、NAT デバイスの背後で実行されているデバイスを有効にして、パブリック IP とポートを検出するためのプロトコルです。このプロトコルは、NAT ファイアウォールやルータによって実装される為に生じた問題を軽減するために VOIP 通信で広く使用します。
スタンガンの標準と広く使用されているポートは 3478/UDP です。スタンのアップルの実装は、他の非標準ポート (3478 を介して 3497/udp) と一緒に UDP ポート3478を使用しています。したがって、アップルは、iPhone、マック、iPad などのようなクライアントを気絶させるように、上記のように、ポートのいずれかに要求を割り当てるスタンを送信することができます、と気絶サーバーが応答します。
メモ: スタンに使用されるポートの変更については、Apple のテクニカルドキュメントを参照してください。
問題
接続したり STUN 要求を失敗と断続的にしか接続しないで FaceTime の呼び出し。
アプリケーションの facetime を許可するようにセキュリティポリシーを構成するときに、次のアプリケーションを許可する必要があります 。
それらの FaceTime の依存関係: のため
ichat av、sip、ssl、スタンガン、web ブラウジング
共通の概念は、アプリケーションのデフォルトとしてサービスを持つすべての上記の必要なアプリケーションを許可することです。
これは、問題が発生した場合、要求が失敗した割り当てを気絶させる。考慮すべきいくつかのシナリオがあります。
STUN 要求の送信先ポート 3478 | アプリケーションのデフォルトの動作は、ポート3478上のトラフィックを許可するので、何の問題もなく動作 |
STUN 要求が 3497 を通じて 3479 ポートのいずれかに送信されます。 | ポート 3478 に気絶させるアプリケーションをファイアウォールで制限し、他のポートで気絶させるトラフィックが許可されないために失敗します。
|
STUN 要求が時々 3478 に送信され、時々 3479 3497 経由で送信 | 断続的に失敗します。 |
ソリューション
STUN 要求をサービスのアプリケーション既定値として使用するため廃棄の問題を軽減することができます 2 つのソリューションがあります。
UDP 3479 ~ 3497 などの必要なすべてのポートを含むカスタムアプリケーションとして、サービスを使用してアプリケーションを気絶させるための別個のポリシーを作成します。次の例では、カスタムサービス STUN_Custom_Service が構成され、 セキュリティポリシーに追加されています。
任意のサービスでアプリケーションを気絶させるためのポリシーを作成し、任意の L4 ポートを使用できるようにします。 この代替は、スタンガンのすべてのポートを開くときに、安全性の低いです。
注:
上記の議論は、アップルによって気絶させる実装に対して有効です。
スタンガンに使用するポートの変更アップル テクニカル マニュアルを参照してください。