VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Transcription

1 VoIP et "NAT" VoIP et "NAT" Traduction d'adresse dans un contexte de Voix sur IP 1/ La Traduction d'adresse réseau("nat") 3/ Problèmes dus à la présence de "NAT" 1/ La Traduction d'adresse réseau encore appéllée "NAT" (Network Address Translation). implantée dans certains routeurs ou firewalls. en général utilisé pour permettre à un réseau privé d'accéder à internet Sans, il faut pour accéder à Internet: une machine <=> publique unique sinon conflit possible sur Internet Avec, il faut pour accéder à Internet: adresse privé NAT > adresse publique 2 3 un ensemble de machine privées (RFC 1918)<=> petit ensemble publiques 4 Traduire une adresse privée (réseau interne) en une adresse publique (internet). Masquer la topologie du réseau interne. Être transparent pour les applications et les utilisateurs (niveau TCP/UDP) :t 5 6

2 VoIP et NAT fonction de niveau 3 et/ou 4 incluse dans un routeur ou un firewall modification des en tête: TCP/UDP IP rien d'autre 1/ Le NAT 3/ Problèmes dus à la présence de NAT Les applications ne savent pas qu'elles passent par un routeur NAT NAT: Traduction d'adresse bijective 2/Les différentes traductions 2.1 Traduction d'adresse bijective 2.2 Traduction d'adresse et de port bijective Traduction d'adresse et de port dynamique "full cone" 2.4 Traduction d'adresse et de port dynamique encore appelée traduction statique une seule IP privée < > une seule 1 IP publique. X machines d'un réseau privée > publiques Technique limitée à certains serveurs NAT: Traduction d'adresse et de port bijective 2/Les différentes traductions 2.1 Traduction d'adresse bijective 2.2 Traduction d'adresse et de port bijective technique de traduction d'adresse réseau et de port 2.3 Traduction d'adresse et de port "full cone" tous les ports sont rarement utilisés 2.4 Traduction d'adresse et de port "restricted cone" partage des ports entre plusieurs machines aussi appelé PAT ou NAPT(Network Address and Port Translation. 11 Évolution de la traduction d'adresse réseau: un couple IP privé,port < >un couple IP publique,port. 12

3 2.2 Traduction d'adresse et de port bijective 2 Les différents NAT 2.1 Traduction d'adresse bijective 2.2 Traduction d'adresse bijective NAT: traduction d'adresse et de port dynamique"full cone" 2.4 Traduction d'adresse et de port "restricted cone" Traduction d'adresse et de port "full cone" IP privé,port < > IP publique,port. indépendant de l'@ip destination du datagramme Pas de filtres sur la partie publique ne regarde pas l'ip ni le port de la machine publique accepte tous les datagramme entrant à destination de (@ip publique, port) utile pour un serveur accessible par le reste du monde Traduction d'adresse bijective 2.2 Traduction d'adresse et de port bijective 2.3 Traduction d'adresse et de port "full cone" 2.4 Traduction d'adresse et de port traduction d'adresse et de port 2 Les différentes traductions 2.3 Traduction d'adresse et de port "full cone" 17 correspondance dynamique prend en compte l'adresse IP destination mais pas le privée, n port,@ip destination < publique, n port datagrammes entrants filtrés sur leur adresse IP source mais pas le numéro de port => la machine publique peut changer son port d'émission. 18

4 2.4 Traduction d'adresse et de port VoIP et "NAT" 3/ Problèmes dûs à la présence de NAT 19 3 Problèmes dûs à la présence de NAT 3 Problèmes dus au NAT Les IP et ports envoyés dans les messages du protocoles de VoIP (SIP ou H323) ne seront pas valables. Les protocoles de signalisation SIP ou H323 peuvent annoncer en couche application (7) Au mieux: l'appel n'aboutit pas. les ports dynamiques des flux RTP/RTCP Au pire: Le flux rtp et établi avec un téléphone du même réseau local alors que l'on appelle un téléphone distant. l'adresse IP pour contacter un téléphone Or la traduction d'adresse ne travaille qu'en couche 3 et VoIP et "NAT" 22 4 Solutions 1/ La Traduction d'adresse réseau 4.1 Serveur STUN 4.2 Serveur TURN 3/ Problèmes dûs à la présence de NAT 4.3 Relais RTP

5 4.1 Solution: STUN Protocole STUN (Simple Tranversal of UDP through NATs, RFC 3489) Serveur public STUN dans l'internet Client STUN dans le téléphone IP 4.1 Solution: STUN téléphone "interroge" un serveur pour savoir si il y a traduction d'adresse Principe: Un téléphone veut annoncer et/ou un port envoi d'un requête aux serveur STUN (de l'autre coté du NAT) réponse du serveur STUN contenant l'@ip et le port traduit et visible sur l'internet Solution: STUN 4. Solution: STUN Oblige les téléphones IP à supporter le protocole STUN Ne fonctionne qu'avec les traductionindependant de l'adresse de destination ("full cone") Diffusion publiques 26 les appels entre téléphones internes passent toujours pas le routeur NAT. Nécessite peu de puissance Nécessite un serveur côté public 27 4 Solutions Solution: TURN 4.1 Serveur STUN Serveur TURN (Traversal Using Relay NAT) 4.2 Serveur TURN Serveur public TURN dans l'internet 4.3 relais RTP Client TURN dans le téléphone 29 30

6 4.2 Solution: TURN 4.2 Solution: TURN Principe: connexion TCP/IP permanente entre le serveur TURN et le téléphone privé le serveur TURN joue le rôle du téléphone privé La communication SIP ou H323 se fait entre l'autre téléphone et le serveur TURN Le serveur TURN relais dans la communication TCP cette communication vers le téléphone privé. Nécessite des terminaux sachant utiliser le protocole TURN. Marche avec tous les types des traductions. Risque d'être rapidement saturé. Nécessite un serveur coté public Solutions 4.1 Serveur STUN 4.2 Serveur TURN 4.3 Relais RTP 4.3 Solution: relais RTP Solution acceptant Tous type des traductions d'adresses Utilisation d'un relais dans l'internet pour tous les flux ce relais interprète le contenu des flux de signalisation pour 33 connaître les ports des flux RTP les modifié avant l'envoi au téléphone distant. 4.3 Solution: relais RTP Solution: relai RTP Comment connaître le port utilisé pour recevoir les paquets RTP du téléphone privé? 35 On suppose que c'est le même que le port source des paquet RTP sortant. Ne marche pas si le port d'émission et de réception sont différents 32 la quasi totalité des téléphone ip respecte ce principe 36

7 Solutions: résumé Solutions: résumé STUN : serveur sur Internet et client dans le téléphone retourne le résultat de la traduction besoin d'une traduction independante de l'adresse destination ( "full cone") TURN : serveur sur Internet et client dans le téléphone flux TCP/IP TURN < > téléphone IP flux VoIP TURN < > destinataire fonctionne avec toutes les traductions saturation rapide 37 Conclusion VoIP & NAT: vrai problème en Ipv4 il existe les solutions permettant le déploiement à grande échelle solutions pas forcément évidente à mettre en place pas de solutions miracles disparaîtrait avec Ipv6 car plus besoin d'utiliser de traduction d'adresse réseau(largement assez d'adresse disponibles). 39 Relais RTP: téléphone IP < > relais < > téléphone IP fonctionne avec toutes les traductions saturation rapide. 38