VoIP hinter einer NAT-Firewall

STUN

Bei STUN (Simple Traversal of UDP Through NATs, RFC3489) handelt es sich um eine weitere Möglichkeit, mit der Endgeräte hinter einem NAT-Router die Netzwerkkonfiguration herausfinden können. Hierbei sendet das Endgerät eine Nachricht an einen außerhalb des LAN befindlichen STUN-Server. Dieser schickt dann ein Paket zurück, das Absenderadresse und -port enthält, also die tatsächlichen Informationen, die vom NAT-Router dort eingetragen wurden.

Verwendet ein Endgerät beispielsweise die lokale Adresse 192.168.80.5:8888, so schickt es mit dieser Adresse eine Anfrage an den STUN-Server. Dieser empfängt das Paket mit der Absenderadresse 134.96.249.10:8899 und antwortet an diese Adresse mit einem Paket, das diese IP/Port-Kombination enthält. Somit kann das hinter dem NAT befindliche Endgerät dann für alle folgenden Verbindungen diese Kombination in den SIP/SDP-Paketen verwenden, während es selbst weiterhin auf 192.168.80.5:8888 hört.

Durch die Verbindung zum STUN-Server ist automatisch ein Port im NAT geöffnet, der zum Endgerät weitergeleitet wird. Bei bestimmten NAT-Implementationen ist es allerdings so, dass nur der STUN-Server diesen Port nutzen darf („symmetrisches NAT“). Beim so genannten „Full Cone NAT“ darf ein beliebiger externer Host den Port nutzen.