WebRTCの裏側にあるNATの話 - A talk on NAT behind WebRTC

1. WebRTCの裏側にあるNATの話 - A talk on NAT behind WebRTC - @iwashi86 2014/11/26 WebRTC Meetup Tokyo #5

2. ●Attribute Name Yoshimasa Iwase @iwashi86 web iwashi.co ●Work ・Web Engineer@NTT Com ・HTML5 Experts.jp Editor ●Recently ・HTML5 Experts.jpにてWebRTC特集掲載！

3. 本題今日はNATの話 (WebRTCなので特にUDPのNAT)

4. なぜ、いまさらNAT？ https://flic.kr/p/4HKJE1

5. WebRTCのクライアントは NAT配下に居ることが多い Internet NAT NAT

6. クライアント達は何の工夫も無しには直接通信できない・・・ Internet Dropped… NAT NAT

7. そこで、WebRTCでは主にSTUN※を使ってなんとか穴あけしている Internet STUN STUN NAT NAT Reached!  ※UDP Hole Punchも

8. でも、ダメなケースもある… (その場合はTURNで中継) Internet STUN STUN Dropped… NAT NAT

9. そもそも

10. なんで通ったり落ちたりするの？ https://flic.kr/p/b6WaSP

11. 気になる！（技術者的な意味で） https://flic.kr/p/oH1mPu N A T

12. そんなあなたに良いRFC（4787）

13. UDP向けNATの振舞いについて熱く語っているRFC

14. あと、Obsoleteだけど 3489(Classic STUN)も参考になる

15. Full Coneとか、Symmetric NATとか、その辺りの用語はこのRFCで登場（ただし、区分けがちょっと足りない）

16. 続きは RFCで！

17. が、RFC読むと1分で、こうなる↓ https://flic.kr/p/6n5y3k

18. そこで本トークでは特にWebRTCに関係するNAT振舞いのエッセンス(12章)を紹介 (＝RFC 4787をざっくりと) 免責：正確性はRFC原典の用語を参照のこと

19. https://flic.kr/p/p1Q8WT Requirement

20. RFCの抜粋です

21. マッピングの話から

22. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する

23. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1

24. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80

25. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80

26. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80

27. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.200:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80

28. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 エンドポイント(宛先) に拘らないマッピング 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.200:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80

30. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80

31. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80

32. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80 元：1.1.1.1:54321 先：1.1.1.200:80 今回は、同じマッピングじゃない（下図だとPortが異なる）

33. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する同じホストの別ポートに送ると？？ NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 じゃあ、元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:8888

34. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存するつまり、宛先にのみ依存している。 NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 同じマッピング！元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:8888 元：1.1.1.1:12345 先：1.1.1.100:8888 つまり、宛先にのみ依存している

36. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する３つ目のケースで、同じホストで違 NAT 1.1.1.100 1.1.1.200 うポートに送ると？？？ 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:8888

37. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 違うマッピングができる！ 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:8888 元：1.1.1.1:54321 先：1.1.1.100:8888

38. WebRTC的にイケてるのはどれでしょう？（正確には、P2P的にイケてるのはどれでしょう？） https://flic.kr/p/kSFs6b

39. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する

41. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する 2と3は、STUNで自分のNATの外側のアドレス（= Server-Reflexive Address、Mapped-Address）を調べても、結局使えない…。

42. なのでRFCも・・・

43. MUSTになってる！

44. 次

45. NATはパブリック側(外側)のIPアドレスを複数貯めておける。その貯めたアドレスを使う場合は、「同じ宛先には同じ送信元アドレス」を使いましょう、ということ。

46. ポート多重ダメ・ゼッタイ

47. ポート多重(Port Overloading) NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.3:10000 先：1.1.1.200:80 192.168.1.3

48. ポート多重(Port Overloading) NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:10000 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.3:10000 先：1.1.1.200:80 元：1.1.1.1:10000 先：1.1.1.200:80 192.168.1.3

49. ポート多重(Port Overloading) 同じの使っちゃうケース NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:10000 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.3:10000 先：1.1.1.200:80 元：1.1.1.1:10000 先：1.1.1.200:80 192.168.1.3

50. ちなみに帰り道(復路)は、送信元が大事 NAT 1.1.1.100 1.1.1.200 往路 192.168.1.2 元：1.1.1.1:10000 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.3:10000 先：1.1.1.200:80 元：1.1.1.1:10000 先：1.1.1.200:80 192.168.1.3 NAT 1.1.1.100 1.1.1.200 復路 192.168.1.2 元：1.1.1.100:80 先：1.1.1.1:10000 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 192.168.1.3 元：1.1.1.200:80 このアドレスで復路を打ち分ける先：1.1.1.1:10000

51. 次

52. もともとの送信元ポートが0-1023ならNAT後も0-1023、もともとの送信元ポートが1024-65535ならNAT後も1024-65535、といったように同じレンジを使うのがRECOMMENDED

53. NATするときのポート番号は、 Before−＞Afterで奇数偶数を同じにしようねということ。つまり、もともとのポートが偶数なら、NAT後も偶数ということ。

54. マッピングの保持時間は2分以下だとダメだよ。 5分以上がオススメで、自由に設定してOK。ただし、0-1023のウェルノウンポートはIANAに従ってね。

55. マッピング更新するトラフィックの向きはアウトバウンド（外向き）のトラフィックがMUST。インバウンドやってもいいけど、攻撃されちゃうかもね。

56. NATによっては、NAT前後のIPレンジが同じことも。例えば、10.0.0.0/Xから10.0.0.0/XのNATもあり得る。（ご家庭だとあんまり無いけど）そんなときはには、どっちかで対応すること： (1)内外でアドレスかぶらんように (2)アドレスがコンフリクト（衝突）してもよしなに翻訳転送してね

57. 大事！絵！

58. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する

59. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80

60. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存するまず外側に送る NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80

61. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 さっきと宛先が違うホストから来ても通せる＝エンドポイントに依存しない元：1.1.1.200:80 先：1.1.1.1:12345

62. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1

64. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 最初に送ったホストと違うから落ちる（＝アドレスに依存している）元：1.1.1.200:80 先：1.1.1.1:12345

65. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：1.1.1.200:80 先：1.1.1.1:12345 同じホストからならOK （上図だと、同じホストで異なるPort)

66. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1

68. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 元：1.1.1.1:12345 先：1.1.1.100:80 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80 元：1.1.1.200:80 先：1.1.1.1:12345 同じホストでも、ポートが異なるとNG （かなり厳しいフィルタリング）

69. RFC的にイケてるのは https://flic.kr/p/kSFs6b どれでしょう？（本日２回目）

72. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存するただし、RFC4787ではセキュリティを気にする場合は、 2. Address DependentもRECOMMENDEDとしている。

73. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address and Port Dependent アドレスとポートに依存する WebRTC的に言えば、Mappingとの組み合わせが需要で、「3. Address and Port Dependent」でもつながるはず

74. 次

75. ヘアピン接続もサポートしてね！

76. ヘアピン接続点線のマッピングができている状態で、 PC-Aから、PC-BのNAT後のアドレスを指定して、 NAT折り返しで接続すること NAT PC-A 192.168.1.1 1.1.1.1 PC-B 送信先アドレスとして外側のアドレスを指定するのがポイント

77. ALG(Application Level Gateway)の機能はOFFしてね (例：勝手にペイロードの中身も書き換えないでね)

78. 好き勝手に動作を変えないでね (deterministic behaviorしてね)

79. （力尽きたので）そこまでWebRTCに関係しないので省略

80. 14個おしまい！(一部ショートカット有り) https://flic.kr/p/4LXLZ2

81. ん？そもそも

82. なんで通ったり落ちたりするの？ https://flic.kr/p/b6WaSP

83. 答えの前にUDPホールパンチング NAT NAT PC-A PC-B

84. 答えの前にUDPホールパンチングマッピングが無いので落ちる NAT NAT PC-A PC-B

85. 答えの前にUDPホールパンチングマッピングが無いので落ちるだが、PC-B向けに穴が開いた (マッピングが NAT NAT 出来た) PC-A PC-B

86. 答えの前にUDPホールパンチング NAT 次に反対向きにNAT 打つと今度は疎通OK PC-A PC-B

87. 答えの前にUDPホールパンチングしかも、PC-A 向けの穴が開くということは、 NAT 次に反対向きにNAT 打つと今度は疎通OK PC-A PC-B

88. 答えの前にUDPホールパンチングいまなら NAT NAT 一発目の向きも疎通OK PC-A PC-B

89. 再掲：なんで通ったり落ちたりするの？ https://flic.kr/p/b6WaSP

90. Mapping × Filtering の特性で決まる (特にUDPホールパンチングで通す場合)

91. Mapping × Filtering の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering

92. Mapping × Filtering の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering

93. Mapping × Filtering の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Endpoint いIndependent つなんとき Mapping - Endpoint Independent Filtering 誰のでも挑戦を待つ猪木的NAT

94. Mapping × Filtering の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering

95. Mapping × Filtering の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering

96. Mapping × Filtering の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering 相手が狙うべきアドレスが変わっちゃうから通らない（STUNで調べたアドレスが NG）

97. おまけ Miscellaneous Topics

98. 古いRFCのNAT分類はマッピング×フィルタリングで説明できる http://www.netmanias.com/en/?m=view&id=techdocs&no=6065

99. 注今日の話はあくまでRFCの話！ホントの動作は装置依存です！

100. 参考資料 Further Study

101. 参考資料： P2P通信技術：NAT超え〜STUNとUPnPと、時々、TURN〜 http://homepage3.nifty.com/toremoro/study/voip2008/NATTraversal.p df NAT技術者にお勧めするRFCとドラフト http://toremoro.tea-nifty.com/tomos_hotline/2008/06/natrfc_e2f2.html P2Pとファイアウォール http://homepage3.nifty.com/toremoro/p2p/firewall.html ISPのNATには何が求められるか？ http://www.janog.gr.jp/meeting/janog22/program/day1/data/day1-5- 1_Nishitani.pdf 共存/移行技術とP2P対戦ゲームの相性 https://www.janog.gr.jp/meeting/janog30/doc/janog30-v64-pre-stun-ryosato- 02.pdf

SlideShare for iOS

Views

Actions

Embeds 81

Report content

Transcript