innovaphone Forum

You are here

Help with Search (new window)
Picture of Rudolf 3853
Registered 6 years 292 days
Rudolf 3853 Wednesday, 16 February 2022, 06:41 PM
STUN/TURN Frage...
Hallo Zusammen

Für einen Kunden setzen wir einen STUN/TURN Server auf, er hat einen RP/SBC in Betrieb. Es gibt zwar ein Budget für einen isolierten Linux-coturn, aber bei rund 25-30 Nebenstellen könnte man doch den STUN/TURN auf dem RP (der ohnehin schon in der DMZ steht) laufen lassen. Bin mir aber nicht sicher und wollte dazu mal Eure Meinung/Erfahrung "hören".

Danke schon mal für Euer Feedback.

GeTURNte Grüsse
Rudi

Picture of Muschelpuster
Registered 7 years 344 days
Muschelpuster Wednesday, 16 February 2022, 08:13 PM
Re: STUN/TURN Frage...
Moin Rudi,

der STUN macht keinen Sinn auf dem RP. STUN prüft ja den Weg in‘s Internet. Das funktioniert ja in die DMZ nicht wirklich. Hier sollte auf einen öffentlichen STUN gesetzt werden. Ob dieser nun vom Provider kommt oder von woanders ist egal.
Beim TURN geht das in gewissen Grenzen. Hardwardwarephones sind unkritisch, Softclients sind da bei Split-DNS sensibler. Ursache ist, dass das ICE-Protokoll IP-Adressen austauscht und keine DNS-Namen. Hier sollte der TURN auch von intern über die öffentliche IP erreicht werden (Hairpinning-NAT).
Aber vielleicht geht das auch einfacher, aber ich sehe das nicht, bin aber gespannt auf weitere Antworten.

teilweise Grüße
Niels
Picture of Uwe 172
Registered 12 years 265 days
Uwe 172 Thursday, 17 February 2022, 07:29 AM in response to Rudolf 3853
Re: STUN/TURN Frage...
Hallo Rudi,

das ist ein "sensibles" Thema.
Sensibel deswegen, weil darin soviel Wenn und Abers stecken und soviel Teilwissen, dass sich daran schnell die Gemüter in Diskussionen erhitzen.

Genau wie Nils, gebe ich mal meine Gedanken dazu:

Grundsätzliches in kurzen Worten zur Ausgangslage:
STUN und TURN sind an SIP drangebastelt worden, um NAT Problemen auszuweichen.
NAT Probleme entstehen durch die beteiligten Grenzrouter/Firewalls und deren Betriebsmodi oder besser gesagt, deren Verhaltensweisen.

Die derzeitigen SIP-Stacks setzen i.d.R. noch ein älteres RFC um, welches nicht alle inzwischen bekannten Verhaltensweisen abdeckt (ein neues RFC ist im Aufbau).
Die Verhaltensweisen werden darin in Kategorien eingeteilt (Full-Cone usw.).

Eine DMZ (eine irreführende typische amerikanische Betitelung wie ich finde), ist von "Außen" direkt erreichbar und hat damit an der Außengrenze kein NAT.

Viele sprechen von DMZ und haben im Grunde nur eine explizite weiter Sicherheitszone in Ihren Grenzroutern/Firewalls eingerichtet, die nur diesen Namen trägt, aber eigentlich nur ein weiteres Netz hinter NAT ist.

Und da fangen dann die Fehler in den Lösungsansätzen zu STUN und TURN meistens an.

Mag der STUN noch damit umgehen können, gehört ein TURN Dienst dort nicht hin, denn er bringt dich keinen Schritt weiter.

Der TURN Dienst gehört nach "Draußen" und ist von "Innen" betrachtet, ohne ein eingehendes NAT erreichbar.
"Innen" und "Außen" sind aus Sicht beider Parteien zu beurteilen, wobei "Außen" der gemeinsame Bereich ohne weiteres NAT in den Leitwegen ist, also in unserer Welt im Allgemeinen derzeit das Internet.

(Anm.: Wobei dies bei komplexen Netzen auch sein kann, dass man eine eigene Ebene zwischen Internet und Intranet schafft und dort für interne Belange bewusst einen TURN einsetzt. nennen wir es an dieser Stelle mal Transportnetz und hat dann aber nichts mit der "echten Außenwelt" zu schaffen.)

Aber weiter zum vorherigen Absatz:
Wobei das auch schon wieder schwierig ist, wenn wir an IPv4 festhalten.

Provider haben für Ihre Kunden nicht mehr genügend IP Adressen zur Verfügung und bauen Ihre Kundenzugangsnetze ebenfalls hinter eigenen NAT Grenzen auf. Mir ist da z.B. das Kabel-TV Netz für bekannt.

Aber auch das ist egal, wenn der TURN Server für alle im Internet direkt erreichbar ist, dann sollte es mit den Medienkanälen klappen.

Für mich gehört in 99% der Fälle auf den RP kein TURN Dienst.

Betrachtende Grüße
Uwe
Picture of Muschelpuster
Registered 7 years 344 days
Muschelpuster Thursday, 17 February 2022, 10:11 PM
Re: STUN/TURN Frage...
>Wobei das auch schon wieder schwierig ist, wenn wir an IPv4 festhalten.
Mein Reden! Aber leider ist das Thema IPV6 sehr zäh, einfach zu viele klammern an ihren V4-Adressen und auch Innovaphone unterstützt nicht durchgängig IPV6.

>Für mich gehört in 99% der Fälle auf den RP kein TURN Dienst.
Dafür spricht natürlich, dass die Standardinstallation den TURN auf der PBX einrichtet Teufel

philosophierende Grüße
Niels
Picture of Uwe 172
Registered 12 years 265 days
Uwe 172 Friday, 18 February 2022, 07:08 AM
Re: STUN/TURN Frage...
Hallo Niels,

> Dafür spricht natürlich, dass die Standardinstallation den TURN auf der PBX einrichtet.

Manches in den Wizards dieser Welt ist einfach sinnfrei.
Wie es so schön heißt: Gut gemeint ist nicht immer gut gemacht.
Aber es schadet ja nicht wenn er eingeschaltet ist, man braucht ihn ja nicht zu verwenden. smile

Angewandte Grüße
Uwe
Picture of Rudolf 3853
Registered 6 years 292 days
Rudolf 3853 Friday, 18 February 2022, 09:02 AM
Re: STUN/TURN Frage...
Guten Morgen Zusammen

Herzlichen Dank für Eure ausführlichen Antworten und Diskussion. Es ist wirklich eine Freude!

STUN/TURN wäre tatsächlich eher die Aufgabe des Providers, es gibt aber tatsächlich welche, die nicht mal wissen, was das ist und auf diesen - ich zitiere - Schnick-Schnack verzichten. Aber DNS-Einträge dafür haben (die Ziel-IP dann selbstredend nicht erreichbar sind). Lachen oder Weinen?

Ich habe mich für Lachen entschieden.

Wenn ich Euch richtig verstehe: Demnach macht STUN/TURN auf dem RP keinen Sinn. Auf der PBX gibt man durch die Portweiterleitungen wohl etwas zu viel dem Internet preis und es ist problematisch bei Smartphones bezgl. DNS. Das Problem kenne ich auch, mit NAT würde sich das schon lösen lassen - aber auch nicht wirklich schön.

Mein (vorsichtiges) Fazit: Am Besten ist es also, einen COTURN aufzusetzen und direkt ins Internet zu stellen. Geht das nicht, dann wenigstens in ein separates Subnetz, das zum Rest der LANdschaft keinen Zugriff hat, aber zum Internet hin offen ist.

Ist das dann die richtige Schlussfolgerung?

Dankbare Grüsse
Rudi
Picture of Christoph 291
Registered 12 years 266 days
Christoph 291 Friday, 18 February 2022, 12:13 PM
Re: STUN/TURN Frage...
Hallo Rudi

Genau, das ist richtig.
Ich habe das so gemacht. Mein TURN befindet sich auf einer virtuellen PBX (ipva), welche sich in einem separaten VLAN befindet. Es führen nur die beiden Ports UPD3478+3479 vom richtigen NEtzwerk in das VLAN und das VLAN kann von extern ebenfalls über diese Port mit DNS (puplic-turn.domain.xx) erreicht werden.
Funktioniert absolut perfekt und der TURN kann auch für andere Systeme genutz werden.
Das heisst, hat ein Kunde ein Problem mit TURN, kann ich einfach meinen mit DNS angeben und es funktioniert.
Mittlerweile gibt es sogar schon drei mit öffentlichen DNS für die ausgeglichene Verteilung.

Gruss
Christoph
Picture of Muschelpuster
Registered 7 years 344 days
Muschelpuster Monday, 21 February 2022, 10:48 AM in response to Rudolf 3853
Re: STUN/TURN Frage...
Wobei TURN mit Hairpinning NAT schon auf dem RP laufen kann. Hier klemmt es eher an der sauberen Konfiguration vom Hairpinning NAT auf den Firewalls.
Aber ansonsten haben wir auch eigene TURNs auf die wir Kundensysteme konfigurieren. Das ist aber immer schwierig mit der Abrechnung. Zumeist wird es vorne vergessen und man macht das hinten gratis, was ja nicht das Ziel sein kann. Bei uns ist da aber nicht viel los. Es werden deutlich weniger als 10% der angemeldeten Sessions auch wirklich benutzt. Wobei ich noch nicht weiß, wie die Zahl der angemeldetenSessions zu interpretieren ist - mein Post dazu folgt wink

mögliche Grüße
Niels
Picture of Rudolf 3853
Registered 6 years 292 days
Rudolf 3853 Monday, 21 February 2022, 07:37 PM
Re: STUN/TURN Frage...
Hallo Zusammen

Ein paar Dinge waren jetzt wirklich interessant von Euch zu hören. Und ja "DMZ" ist halt nichts anderes als eine Zone, die könnte auch "UKR" heissen...

Das Hairpinning-NAT muss sehr sauber definiert sein, das stimmt, und ist von FW-Hersteller zu FW-Hersteller anders zu definieren. Fast schon eleganter ist Split DNS. Hier scheiden sich die Geister, die einen so, die anderen so. Aber beides führt dann zum Ziel.

Generell tendiere ich zum Ansatz von Christoph. Und ähnlich wie Nils sollen mehrere Kundensysteme danach diesen STUN/TURN (Debian11, VMWare 7) verwenden mit den eigenen DNS-Einträgen, die auf die ein und dieselbe Public IP zeigen.

Ich sehe grad keinen Grund, warum das nicht klappen sollte, ausser die Domain-Namen im TURN-Config spielen eine doch deutlich grössere Rolle als ich das vermute.

Aber auf RP bzw PBX lege ich wohl besser kein STUN/TURN.

Geturnte Grüsse
Rudi

Picture of Muschelpuster
Registered 7 years 344 days
Muschelpuster Tuesday, 22 February 2022, 06:48 AM
Re: STUN/TURN Frage...
Split-DNS kann gerade für den TURN nicht genutzt werden! Dann hat das ICE vermeintlich 2 unterschiedliche TURNs, aber keinen den beide Seiten erreichen.

unbrauchbare Grüße
Niels
← You can define your color theme preference here