iChat AV und NAT und Firewalls und schlechte Laune

[derjoe]

so einfach wie apple das gerne beschreibt ist es wohl doch nicht. in einigen englisch-sprachigen foren wird iChat AV als "Killer.app" bezeichnet. ich habe seit september meine iSight und seit OS X 10.3.2 keinen videochat mehr hingekriegt.
es ändert auch nix wenn ich alle einstellungen auf meiner kiste so einstelle, wie es auf den apple seiten beschrieben steht.
je mehr ich mich mit dem thema auseinander setze deso länger wird mein gesicht. ich bin mittlerweile so weit, das ich router, firewall und meine kiste offen wie ein scheunentor habe. was natürlich nix nutz, wenn der chatpartner keine ahnung hat und nicht weiss wie er es anstellen soll.
Frage:
gibt es irgendwo im Internet eine kurze präziese deutschsprachige anleitung wie man welche kanäle und schleusen öffnet, damit iChat AV zu dem wird, was es sein soll?

vielen dank für eure hilfe.

 

[IceHouse]

Original geschrieben von derjoe
je mehr ich mich mit dem thema auseinander setze deso länger wird mein gesicht. ich bin mittlerweile so weit, das ich router, firewall und meine kiste offen wie ein scheunentor habe. was natürlich nix nutz, wenn der chatpartner keine ahnung hat und nicht weiss wie er es anstellen soll.

 

Ich kann nur soviel dazu sagen:

Ich nutze einen FreeBSD 5.2 Rechner mit 2 Ethernet Karten als DSl Router. Als Paketfilter kommt "ipfw" zum Einsatz. Auch ich war bis vor kurzem nicht in der Lage mit iChat Audio- oder Videoverbindungen herzustellen. Nachdem ich mit einem ebenfalls sehr versierten Kumpel auf der Shellebene "ipfw" Logfiles zerlegt habe, konnten wir einiges feststellen.

Ausser den Ports UDP 5060 und UDP 16384-16403 braucht iChat AV auch noch Ports (5678, 10000-10500) zur Kontaktaufnahme zu Apple, wenn man mit .Mac Usern telefonieren will. Bei AIM Usern wird ebenfalls innerhalb einer UDP Range eine willkuerliche Reihe von UDP Ports (28000-33000) benutzt. Wobei diese Ports nichts mit den sog. High Ports (49152-65535) zu tun haben, die bei http://www.iana.org/assignments/port-numbers eingetragen sind.

Weiterhin scheint es mit manchen SOHO Routern und deren NAT Probleme zu geben, das SIP SYN Flag der Pakete richtig zu erkennen. "ipfw" hat dafuer eine Rule (setup) die damit umgehen kann - laesst man sie weg, kann ich zumind. keine Audio- oder Videoverbindungen mehr herstellen.

Folgende "ipfw" Rules halfen mir bei iChat AV Audio- und Videoverbindungen mit .Mac Usern und AIM Usern herstellen zu koennen (das funktioniert bei mir nun auch in beide Richtungen - anrufen und angerufen werden):

# tun0 == DSL Interface
# Alle iChat AV Ports sind UDP

###
# setup rule matches packets have SYN bit or not
###
ipfw add allow udp from any to any 5060 setup
ipfw add allow udp from any to any 5678 setup
ipfw add allow udp from any to any 10000-10500 setup
ipfw add allow udp from any to any 16384-16403 setup
ipfw add allow udp from any to any 23000-33000 setup


###
# Erlaubt ausgehende Verbindungen fuer iChat
###
ipfw add allow udp from any to any 5060 out xmit tun0
ipfw add allow udp from any to any 5678 out xmit tun0
ipfw add allow udp from any to any 10000-10500 out xmit tun0
ipfw add allow udp from any to any 16384-16403 out xmit tun0
ipfw add allow udp from any to any 23000-33000 out xmit tun0

###
# Erlaubt eingehende Verbindungen fuer iChat
###
ipfw add allow udp from any 5060 to any in recv tun0
ipfw add allow udp from any 5678 to any in recv tun0
ipfw add allow udp from any 10000-10500 to any in recv tun0
ipfw add allow udp from any 16384-16403 to any in recv tun0
ipfw add allow udp from any 23000-33000 to any in recv tun0

Ich hatte letztes Jahr fuer eine kurze Zeit einen Longshine DSL Router mit eingebautem NAT - damit ging iChat AV in beide Richtungen ohne Probleme und ohne mein zutun im Setup des Routers.

Gruss
-=IceHouse=-