Nabend,
immer wieder stelle ich mir eine Frage... Wie funktioniert STUN, bzw. wie schafft es Hamachi zwei Clients die beide hinter einem handelsüblichen NAT Router sitzen direkt zu verbinden?

Ich gehe in meiner Annahme davon aus, dass der verwendete NAT Router ein "Port Restricted Cone" NAT Router ist. Das bedeutet, er nimmt eingehende Pakete nur entgegen, wenn zuvor Daten vom jetzt eingehenden Port an die Quelle der Daten gesendet wurden. Ausserdem gehe ich davon aus, dass die vom NAT verwendeten Ports zufällig gewählt werden.

Sind diese Annahmen realistisch? Würde mir aus Sicherheitsgründen schonmal logisch erscheinen, aber deswegen muss es ja noch lange nicht sein...

Jedenfalls sehe ich in soeinem Szenario keinerlei Möglichkeit wie ein STUN Server eine Client-Client-Verbindung vermitteln könnte. Der STUN Server kennst ja nur die IP/Port Kombination die es ihm selbst erlaubt, Daten an den Client zurück zu schicken. Weder andere Geräte können über diesen Port durch das NAT, noch kann er mit diesen Daten auf den als nächstes verwendeten Port schließen.

Wo liegt mein Denkfehler? Und wieso schafft es z.B. Hamachi trotzdem durch NAT zu tunneln?

Ich kann mir nur vorstellen, dass STUN funktioniert, wenn der NAT Router entweder die Quelladresse beim zurückübersetzen ignoriert (fänd ich sicherheitstechnisch nich so doll) oder wenn der Router die Ports in einem erkennbaren Muster vergibt... aber ganz allgemein?

greetz RFZ