WebRTCの裏側にあるNATの話 / A talk on NAT behind WebRTC

Transcript

1. WebRTCの裏側にあるNATの話 - A talk on NAT behind WebRTC - @iwashi86

   / 岩瀬 義昌 2014/11/26 WebRTC Meetup Tokyo #5

2. •Attribute 　Name　Yoshimasa Iwase 　　　 　@iwashi86 　web 　iwashi.co •Work 　・Web Engineer@NTT

   Com 　・HTML5 Experts.jp Editor •Recently 　・HTML5 Experts.jpにてWebRTC特集掲載！ 　　

3. 本題 今日はNATの話 (WebRTCなので特にUDPのNAT)

4. https://flic.kr/p/4HKJE1 なぜ、いまさらNAT？

5. Internet NAT NAT WebRTCのクライアントは NAT配下に居ることが多い

6. Internet NAT NAT クライアント達は何の工夫も無しには 直接通信できない・・・ Dropped…

7. Internet NAT NAT そこで、WebRTCでは主にSTUN※ を使って なんとか穴あけしている Reached! ☺ STUN STUN

   ※UDP Hole Punchも

8. Internet NAT NAT でも、ダメなケースもある… (その場合はTURNで中継) STUN STUN Dropped…

9. そもそも

10. https://flic.kr/p/b6WaSP なんで通ったり 落ちたりするの？

11. https://flic.kr/p/oH1mPu 気になる！（技術者的な意味で） N A T

12. そんなあなたに良いRFC（4787）

13. UDP向けNATの振舞いについて 熱く語っているRFC

14. あと、Obsoleteだけど 3489(Classic STUN)も参考になる

15. Full Coneとか、Symmetric NATとか、 その辺りの用語はこのRFCで登場 （ただし、区分けがちょっと足りない）

16. 続きは RFCで！

17. https://flic.kr/p/6n5y3k が、RFC読むと1分で、こうなる↓

18. そこで本トークでは 特にWebRTCに関係するNAT振舞いの エッセンス(12章)を紹介 (＝RFC 4787をざっくりと) 免責：正確性はRFC原典の用語を参照のこと

19. https://flic.kr/p/p1Q8WT Requirement

20. RFCの抜粋です

21. None

22. マッピングの話から

23. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する

24. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1

25. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80

26. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80

27. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80

28. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：1.1.1.1:12345 先：1.1.1.200:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80

29. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：1.1.1.1:12345 先：1.1.1.200:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80 エンドポイント(宛先) に拘らないマッピング

30. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1

31. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80

32. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80

33. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.200:80 元：1.1.1.1:54321 先：1.1.1.200:80 今回は、同じマッピングじゃない（下図だ とPortが異なる）

34. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:8888 じゃあ、 同じホストの別ポートに送ると？？

35. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:8888 同じマッピング！ つまり、宛先にのみ依存している。 元：1.1.1.1:12345 先：1.1.1.100:8888 同じマッピング！ つまり、宛先にのみ依存している

36. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1

37. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:8888 ３つ目のケースで、同じホストで違うポー トに送ると？？？

38. 3 種類のマッピング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:8888 違うマッピングができる！ 元：1.1.1.1:54321 先：1.1.1.100:8888

39. https://flic.kr/p/kSFs6b WebRTC的にイケてるの はどれでしょう？ （正確には、P2P的にイケてるのはどれでしょう？）

40. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address

    and Port Dependent アドレスとポートに依存する

41. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address

    and Port Dependent アドレスとポートに依存する

42. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address

    and Port Dependent アドレスとポートに依存する 2と3は、STUNで自分のNATの外側のアドレス （= Server-Reflexive Address、Mapped-Address）を調べ ても、結局使えない…。

43. なのでRFCも・・・

44. MUSTになってる！

45. 次

46. NATはパブリック側(外側)のIPアドレスを複数貯めておける。 その貯めたアドレスを使う場合は、 「同じ宛先には同じ送信元アドレス」を使いましょう、ということ。

47. ポート多重　ダメ・ゼッタイ

48. ポート多重(Port Overloading) NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：192.168.1.2:10000 先：1.1.1.100:80

    元：192.168.1.3:10000 先：1.1.1.200:80 192.168.1.3

49. ポート多重(Port Overloading) NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:10000 先：1.1.1.100:80

    元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.3:10000 先：1.1.1.200:80 元：1.1.1.1:10000 先：1.1.1.200:80 192.168.1.3

50. ポート多重(Port Overloading) NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:10000 先：1.1.1.100:80

    元：192.168.1.2:10000 先：1.1.1.100:80 元：192.168.1.3:10000 先：1.1.1.200:80 元：1.1.1.1:10000 先：1.1.1.200:80 192.168.1.3 同じの使っちゃうケース 同じの使っちゃうケース

51. ちなみに帰り道(復路)は、送信元が大事 NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:10000 先：1.1.1.100:80 元：192.168.1.2:10000

    先：1.1.1.100:80 元：192.168.1.3:10000 先：1.1.1.200:80 元：1.1.1.1:10000 先：1.1.1.200:80 192.168.1.3 NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.100:80 先：1.1.1.1:10000 元：192.168.1.2:10000 先：1.1.1.100:80 192.168.1.3 往路 復路 元：1.1.1.200:80 先：1.1.1.1:10000 このアドレスで復路を打ち分ける

52. 次

53. もともとの送信元ポートが0-1023ならNAT後も0-1023、 もともとの送信元ポートが1024-65535ならNAT後も1024-65535、 といったように同じレンジを使うのがRECOMMENDED

54. NATするときのポート番号は、 Before−＞Afterで奇数偶数を同じにしようね　ということ。 つまり、もともとのポートが偶数なら、NAT後も偶数ということ。

55. マッピングの保持時間は2分以下だとダメだよ。 5分以上がオススメで、自由に設定してOK。 ただし、0-1023のウェルノウンポートはIANAに従ってね。

56. マッピング更新するトラフィックの向きは アウトバウンド（外向き）のトラフィックがMUST。 インバウンドやってもいいけど、攻撃されちゃうかもね。

57. NATによっては、NAT前後のIPレンジが同じことも。 例えば、10.0.0.0/Xから10.0.0.0/XのNATもあり得る。 （ご家庭だとあんまり無いけど） そんなときはには、どっちかで対応すること： (1)内外でアドレスかぶらんように (2)アドレスがコンフリクト（衝突）してもよしなに翻訳転送してね

58. 大事！絵！

59. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する

60. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80

61. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 まず外側に送る

62. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 さっきと宛先が違う ホストから来ても通せる ＝エンドポイントに依存しない 元：1.1.1.200:80 先：1.1.1.1:12345

63. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1

64. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 まず外側に送る

65. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 最初に送ったホストと 違うから落ちる （＝アドレスに依存している） 元：1.1.1.200:80 先：1.1.1.1:12345

66. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：1.1.1.200:80 先：1.1.1.1:12345 同じホストからならOK （上図だと、同じホストで異なるPort)

67. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1

68. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 まず外側に送る

69. 3 種類のフィルタリング： 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する

    3. Address and Port Dependent アドレスとポートに依存する NAT 1.1.1.100 1.1.1.200 192.168.1.2 192.168.1.1 1.1.1.1 元：1.1.1.1:12345 先：1.1.1.100:80 元：192.168.1.2:10000 先：1.1.1.100:80 元：1.1.1.200:80 先：1.1.1.1:12345 同じホストでも、ポートが異なるとNG （かなり厳しいフィルタリング）

70. https://flic.kr/p/kSFs6b RFC的にイケてるのはど れでしょう？ （本日２回目）

71. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address

    and Port Dependent アドレスとポートに依存する

72. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address

    and Port Dependent アドレスとポートに依存する

73. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address

    and Port Dependent アドレスとポートに依存する ただし、RFC4787ではセキュリティを気にする場合は、 2. Address DependentもRECOMMENDEDとしている。

74. 1. Endpoint independent エンドポイントに依存しない 2. Address Dependent アドレスに依存する 3. Address

    and Port Dependent アドレスとポートに依存する WebRTC的に言えば、Mappingとの組み合わせが需要で、 「3. Address and Port Dependent」でもつながるはず

75. 次

76. ヘアピン接続も サポートしてね！

77. ヘアピン接続 　点線のマッピングができている状態で、 　PC-Aから、PC-BのNAT後のアドレスを指定して、 　NAT折り返しで接続すること NAT PC-A 192.168.1.1 1.1.1.1 PC-B 送信先アドレスとして

    外側のアドレスを指定するのが ポイント

78. ALG(Application Level Gateway)の機能はOFFしてね (例：勝手にペイロードの中身も書き換えないでね)

79. 好き勝手に動作を変えないでね (deterministic behaviorしてね)

80. （力尽きたので）そこまでWebRTCに関係しないので 省略

81. https://flic.kr/p/4LXLZ2 14個おしまい！ (一部ショートカット有り)

82. ん？そもそも

83. https://flic.kr/p/b6WaSP なんで通ったり 落ちたりするの？

84. 答えの前にUDPホールパンチング PC-A PC-B NAT NAT

85. 答えの前にUDPホールパンチング PC-A PC-B NAT NAT マッピングが無い ので落ちる

86. 答えの前にUDPホールパンチング PC-A PC-B NAT NAT マッピングが無い ので落ちる だが、PC-B向け に穴が開いた (マッピングが出

    来た)

87. 答えの前にUDPホールパンチング PC-A PC-B NAT NAT 次に反対向きに 打つと今度は 疎通OK

88. 答えの前にUDPホールパンチング PC-A PC-B NAT NAT 次に反対向きに 打つと今度は 疎通OK しかも、PC-A向 けの穴が開く

    ということは、

89. 答えの前にUDPホールパンチング PC-A PC-B NAT NAT いまなら 一発目の向きも 疎通OK

90. https://flic.kr/p/b6WaSP 再掲：なんで通ったり 落ちたりするの？

91. Mapping × Filtering　の特性で決まる (特にUDPホールパンチングで通す場合)

92. Mapping × Filtering　の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping -

    Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering

93. Mapping × Filtering　の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping -

    Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering

94. Mapping × Filtering　の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping -

    Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering いつなんとき 誰のでも挑戦を待つ 猪木的NAT

95. Mapping × Filtering　の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping -

    Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering

96. Mapping × Filtering　の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping -

    Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering

97. Mapping × Filtering　の特性で決まる (特にUDPホールパンチングで通す場合) NAT - Endpoint Independent Mapping -

    Endpoint Independent Filtering NAT - Endpoint Independent Mapping - Endpoint Independent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering NAT - Address Dependent Mapping - Address Dependent Filtering 相手が狙うべきアドレスが 変わっちゃうから通らない （STUNで調べたアドレスがNG）

98. おまけ Miscellaneous Topics

99. http://www.netmanias.com/en/?m=view&id=techdocs&no=6065 古いRFCのNAT分類は マッピング×フィルタリングで説明できる

100. 注 今日の話はあくまでRFCの話！ ホントの動作は装置依存です！

101. 参考資料 Further Study

102. P2P通信技術：NAT超え　〜STUNとUPnPと、時々、TURN〜 http://homepage3.nifty.com/toremoro/study/voip2008/NATTrave rsal.pdf NAT技術者にお勧めするRFCとドラフト http://toremoro.tea-nifty.com/tomos_hotline/2008/06/natrfc_e2f2.html P2Pとファイアウォール http://homepage3.nifty.com/toremoro/p2p/firewall.html ISPのNATには何が求められるか？ http://www.janog.gr.jp/meeting/janog22/program/day1/data/day1-5- 1_Nishitani.pdf

     参考資料： 共存/移行技術とP2P対戦ゲームの相性 https://www.janog.gr.jp/meeting/janog30/doc/janog30-v64-pre-stun -ryosato-02.pdf