Soluciones para la videoconferencia con NAT

Zonas desmilitarizadas. Establecer un NAT implica, en cierta medida, colocar un firewall que protege a la red local, ya que al no saber los equipos externos la dirección privada de los sistemas internos, no solicita la conexión. Todo enlace hacia Internet debe generarse bajo petición de los equipos locales. En videoconferencia detrás de un NAT, es el equipo local el que debe iniciar la llamada: cuando el sistema remoto contesta, es el equipo NAT quien le responde, y al no tener capacidades de negociación H.323, la llamada se termina. Una solución que permiten algunos dispositivos NAT es la ubicación de un sistema en un apartado denominado Zona Desmilitarizada (DMZ) y que, generalmente, corresponde al sistema que responderá a todas las peticiones entrantes. En esa DMZ se debe dar de alta al equipo de videoconferencia.

Direccionamiento de puertos. Usar la DMZ parece una solución práctica, pero puede comprometer la seguridad de la red local y del equipo de videoconferencia, al quedar totalmente expuesto a ataques externos. Varios sistemas NAT incluyen redireccionamiento de puertos. En este modelo, un equipo externo hace una petición hacia la dirección IP pública; el NAT revisa el puerto que se solicita y lo compara con su tabla de redireccionamiento, enviando la solicitud hacia el equipo local cuya IP privada está definida como quien atiende a las solicitudes en ese puerto.

Desafortunadamente H.323 usa más de un puerto y no siempre los mismos, salvo contadas excepciones. Para solucionar la comunicación por videoconferencia mediante la ubicación de puertos, se deben efectuar dos procedimientos:

a) Configurar el equipo NAT para enviar las peticiones entrantes en ciertos puertos hacia la IP privada del equipo de videoconferencia. Los puertos fundamentales son

1720. Inicio de llamada H.323.

1719. Registro en gatekeeper H.323.

1503. Datos compartidos T.120.

3230 al 3235. Audio, video y control de llamada H.323.

Importante: los puertos deberán asignarse tanto en TCP como en UDP.

b) Configurar el equipo de videoconferencia indicándole que está detrás de un NAT, y cuál será el margen de puertos en donde deberá hacer las transferencias de audio, video y control de llamada.

La mayoría de los sistemas de videoconferencia tienen menús u opciones para definir estos puertos. Los sistemas más simples, como aquellos basados sólo en software y webcams, tienen menos opciones y generalmente no se pueden configurar detrás de un NAT para marcación por IP.

Servidores duales H.323/NAT. Esta solución, más sofisticada que las anteriores, involucra a otro sistema en la conexión de los servicios de videoconferencia. También conocidos como gatekeepers duales, registran la dirección IP privada de el o los

sistemas de videoconferencia en la red local y los homologan con otro gatekeeper con IP pública. La ventaja es una comunicación más transparente entre los puntos terminales, pero se debe hacer la inversión en al menos dos gatekeepers.

Recientemente, algunos fabricantes de dispositivos NAT han agregado funciones de compatibilidad con H.323, de conformidad con lo estipulado en el documento RFC 3103, para la presencia en la red global de sistemas dentro de una zona NAT.

Solucionar los problemas de la videoconferencia que se ubican detrás de un dispositivo NAT requiere configurar el sistema de audio y video interactivo, y el equipo que genera las direcciones IP privadas. No todos los usuarios tienen la facilidad de hacer esto, menos aún cuando están no detrás de una, sino varias traducciones de dirección IP. Otra alternativa que poco a poco gana terreno, consiste en el uso de servidores del Protocolo de Inicio de Sesión (SIP), donde la marcación de videoconferencia no es indispensable realizarla por medio de la dirección IP del equipo remoto, sino a través de la identificación del usuario. Los servicios de mensajería instantánea usan extensivamente SIP, y la aplicación de este protocolo a la ubicación no sólo de equipos, sino de personas, hará más omnipresente el servicio de videoconferencia.