VoIP hinter einer NAT-Firewall

Eingeschränktes NAT

Zusätzlich zum „Full Cone NAT“ existieren noch „Restricted Cone NAT“ und „Port Restricted Cone NAT“. Beim Ersteren darf ein beliebiger externer Host nur dann den Port nutzen, wenn zuvor der interne Rechner ein Paket an den externen Host geschickt hat. Die zweite Variante ist zusätzlich dahingehend beschränkt, dass der interne Rechner zuvor ein Paket an den Port der Gegenstelle gesendet haben muss, den diese für ihr eigenes Paket genutzt hat.

Nur die letzten drei NAT-Varianten funktionieren mehr oder weniger gut mit STUN. Ein Problem ist beispielsweise, dass der NAT-Router den betreffenden Port nach einer Weile wieder schließt, wenn keine Daten mehr fließen. Der Client muss also regelmäßig Daten an den STUN-Server schicken, damit die beim SIP-Server angegebene „Kontakt-Adresse“ weiterhin korrekt bleibt.

Sitzen beide Seiten hinter NAT-Systemen, kann es trotz STUN zu Schwierigkeiten kommen, da gerade bei den eingeschränkten Varianten gegebenenfalls schon der Verbindungsaufbau verhindert oder die Sprachübertragung nach kurzer Zeit unterbrochen wird.