<div dir="ltr"><div>Hi Stuart,</div><div><br></div><div>I think so, yes. I'm pretty sure I didn't use internal methods, as I always referred to the documentation for how to do things in libnice.</div><div><br></div><div>As I mentioned, we typically ask users to tell us the public address themselves, if they want this nat-1-1 approach to be used. Anyway, if you knew nat-1-1 could be used wanted to know about the external address automatically, libnice comes with a StunAgent API that can be used for the purpose, meaning you can perform a single STUN request at startup: we use it in our code for debugging purposes, e.g., to figure out if you're behind a symmetric NAT or not. Apart from this, libnice doesn't really need to be involved via its APIs: you can keep on using it as usual, and all you need to do is put the public address instead of the private one when you advertise the candidates it gathered via trickle/SDP; we don't use the libnice SDP generation method, so this is something we do ourselves manually when crafting candidates, which isn't that complex either (NiceCandidate objects have all the info you need). Connectivity checks will work as usual: in face, even if libnice is bound to the private address and port, since in the nat-1-1 case the public address is mapped 1-1 to the private address, any STUN request addressed to port X would automatically reach the private address on the same port X, meaning libnice would receive and process it as expected. Again, this only works for those cloud providers that implement this behaviour (almost all of them, to my knowledge), and not when a _real_ NAT is in place (in that case, you'd indeed need libnice to open a port via STUN), but that's to be expected.</div><div><br></div><div>Filtering interfaces can be done with nice_agent_add_local_address(), which is also well documented. Per the documentation, if you don't call this method, libnice will automatically iterate on all interfaces for gathering. As such, if you want to, e.g., disable ipv6 or only use interfaces eth1 and eth2 of those available, all you need to do is use getifaddrs() to get the list of interfaces, and then decide which ones to keep and pass them to nice_agent_add_local_address(), which means libnice will only use those instead of them all. In our code, we use nice_address_init+nice_address_set_from_string to turn the interface address in the format nice_agent_add_local_address requires. It does require you perform some iteration on interfaces yourself (which would be system specific, I guess), but it's actually quite trivial, and I feel libnice provides a perfect primitive to be used here, and a great deal of flexibility.</div><div><br></div><div>Lorenzo</div><div><br></div><div dir="ltr"><br></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il giorno gio 22 ott 2020 alle ore 05:17 Stuart Marshall <<a href="mailto:stuart@seelye.net">stuart@seelye.net</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US" style="overflow-wrap: break-word;">
<div class="gmail-m_-2416938912256892648WordSection1">
<p class="MsoNormal">Lorenzo, are you saying that one can do these things with libnice by doing some of the work externally (e.g. determine external address, determine interfaces) and then passing them to the right libnice methods? Does this entail calling
 libnice methods that are normally considered internal and not intended for external use?<br>
<br>
<u></u><u></u></p>
<p class="MsoNormal">Stuart<br>
<br>
<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0in 0in">
<p class="MsoNormal"><b><span style="font-size:12pt;color:black">From: </span></b><span style="font-size:12pt;color:black">Lorenzo Miniero <<a href="mailto:lminiero@gmail.com" target="_blank">lminiero@gmail.com</a>><br>
<b>Date: </b>Tuesday, October 20, 2020 at 11:24 PM<br>
<b>To: </b>Stuart Marshall <<a href="mailto:stuart@seelye.net" target="_blank">stuart@seelye.net</a>><br>
<b>Cc: </b>Olivier Crête <<a href="mailto:olivier.crete@collabora.com" target="_blank">olivier.crete@collabora.com</a>>, Fabrice Bellet <<a href="mailto:fabrice@bellet.info" target="_blank">fabrice@bellet.info</a>>, Juan Navarro <<a href="mailto:juan.navarro@gmx.es" target="_blank">juan.navarro@gmx.es</a>>, nice <<a href="mailto:nice@lists.freedesktop.org" target="_blank">nice@lists.freedesktop.org</a>>, "<a href="mailto:I%27m@gmail.com" target="_blank">I'm@gmail.com</a>" <<a href="mailto:I%27m@gmail.com" target="_blank">I'm@gmail.com</a>><br>
<b>Subject: </b>Re: [libnice] Force an external address (srflx) candidate?<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Hi all,<u></u><u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">I'm not sure any change is needed in libnice, actually, as it can already take care of those scenarios quite nicely.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">If the main aim is avoiding using STUN on cloud services like AWS, where the instance runs with on a private address but it's also uniquely associated with a public one, then all you need to do is advertise the public address in the candidate
 you trickle or put in the SDP. In fact, those cloud providers use what we call a 1-to-1 NAT mapping: the public port used in the NAT is always the same as the private one, and if the port is open in the firewall it will also automatically forward packets addresses
 to a public port to the private one. This means that you don't need STUN to open a port and/or find it out: you just need to tell your peer about the public address, and everything will still work (connectivity checks will work just fine).<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">In Janus we let people configure which public address to use in that case, with the option of keeping the private ones as advertised candidates: which means we either always replace the private IP with the public one, or duplication the
 candidates we advertise where in one the private address is replaced and in another one it isn't (it's sometimes useful to have the private address advertised too). Some cloud providers expose the public IP of the instance as environment variables, which would
 make it easier to configure. You can also use libnice to do a STUN request at startup, which we do but for other reasons. At any rate, this means that libnice as it is is perfectly capable of handling these weird use cases. Of course, if this 1-1 NAT behaviour
 is not happening, and you can expect different ports being used privately and publicly then a STUN request will always be needed for each agent, or checks will just fail if you try to just replace the private address with the public one (exactly because of
 the different public and private ports, and then being closed in the NAT until opened by a previous STUN request).<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Only binding to some interfaces or skipping some (eg, programmatically disable ipv6) is also relatively easy, taking advantage of the libnice feature that allows you to manually choose which interfaces to use for gathering. You simply iterate
 on available interfaces yourself, prune the ones you don't want, and pass the others to libnice, which will then stick to those. A bit of a manual (and, for interface iteration, system specific) process, but not complex at all and quite flexible: you can check
 how we do it in Janus for an example.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Hope this helps with the discussion,<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Lorenzo<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<p class="MsoNormal" style="margin-bottom:12pt"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">On Wed, 21 Oct 2020, 06:06 Stuart Marshall, <<a href="mailto:stuart@seelye.net" target="_blank">stuart@seelye.net</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="MsoNormal">That’s a good point: that the port can be remapped.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">I’ve observed NAT routers commonly use the same external port as the internal host computer. Router manufacturers certainly should randomize the external port, but I wonder what
 the actual numbers are. If libnice guessed that the router would use the same port, and if it remembered its external address, it might be work a good amount of the time. If libnice had some degree of memory, it could even keep track of whether it seems to
 be behind a router that uses the same port externally as internally.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Another option would be to provide an API so that the host process could ask libnice to do the STUN request ahead of time. For example, as soon as a client app is launched it could
 ask libnice to allocate a port and make a stun request, knowing that the user is probably going to make a call soon. This is rather app dependent, but in many cases the app could correctly anticipate that port allocation and a stun request will not be wasted.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">I like the idea of using UPnP if that can streamline port discovery too.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0in 0in">
<p class="MsoNormal" style="margin-bottom:12pt"><b><span style="font-size:12pt;color:black">From:
</span></b><span style="font-size:12pt;color:black">Olivier Crête <<a href="mailto:olivier.crete@collabora.com" target="_blank">olivier.crete@collabora.com</a>><br>
<b>Date: </b>Tuesday, October 20, 2020 at 12:29 PM<br>
<b>To: </b>Stuart Marshall <<a href="mailto:stuart@seelye.net" target="_blank">stuart@seelye.net</a>>, Fabrice Bellet <<a href="mailto:fabrice@bellet.info" target="_blank">fabrice@bellet.info</a>>, Juan Navarro <<a href="mailto:juan.navarro@gmx.es" target="_blank">juan.navarro@gmx.es</a>>,
<a href="mailto:nice@lists.freedesktop.org" target="_blank">nice@lists.freedesktop.org</a> <<a href="mailto:nice@lists.freedesktop.org" target="_blank">nice@lists.freedesktop.org</a>><br>
<b>Subject: </b>Re: [libnice] Force an external address (srflx) candidate?</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Hi,<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">The thing is that the external address might be the same. But on very new connection, the port will be different. And we have no way what kind of mapping from internal to external
 port the router will chose. From what I understand, it is even recommended to router manufacturer that they randomize the external port to try to make it harder for attackers to guess the next port.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">So even if we remebered the external address, it wouldn't help so much.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">What can help, is to build libnice with UPnP support. This way, the external address can be retrieved over the LAN and this is very quick. We could also implement NAT-PMP, which
 is what Apple routers use. But I don't know if this is common anymore.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Olivier<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">On Tue, 2020-10-20 at 17:42 +0000, Stuart Marshall wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1.5pt solid rgb(114,159,207);padding:0in 0in 0in 6pt;margin:5pt 0in 5pt 4.8pt">
<p class="MsoNormal">I like the idea of doing just one STUN request to avoid the many semi-duplicate candidates.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Another interesting thing to think about is that in most cases (99.9% ish) the STUN query is going to return the same result as last time. In most cases the host computer has not
 moved networks and the external address has not changed.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">What if libnice could remember the previous external address and lead with that as a candidate. Libnice could still do one (or more) STUN queries to check if the external address
 has changed. But starting with the previously known external address could speed up connection a lot.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">The challenge is “how to remember the previous external address”. Libnice lives in somebody’s process and on some random host computer. Libnice might be completely shut down in-between
 uses, even if the process keeps running.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">What if libnice remembered the previous external address somewhere in process space. If the process shuts down the knowledge is lost. But if the process keeps running (e.g. a server
 or a long running browser) then the external address is remembered. Is there a cross-platform place to stash data? Environment variables might work. A persistent background thread might work.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">The reason I suggest optimizations like this is customer experience. I see chrome to gstreamer establish connections in less than a second. Gstreamer to gstreamer often takes much
 more time – easily five seconds plus.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Stuart<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0in 0in">
<p class="MsoNormal" style="margin-bottom:12pt"><b><span style="font-size:12pt;color:black">From:
</span></b><span style="font-size:12pt;color:black">nice <<a href="mailto:nice-bounces@lists.freedesktop.org" target="_blank">nice-bounces@lists.freedesktop.org</a>><br>
<b>Date: </b>Monday, October 19, 2020 at 11:00 AM<br>
<b>To: </b>Stuart Marshall <<a href="mailto:stuart@seelye.net" target="_blank">stuart@seelye.net</a>><br>
<b>Cc: </b>Juan Navarro <<a href="mailto:juan.navarro@gmx.es" target="_blank">juan.navarro@gmx.es</a>>,
<a href="mailto:nice@lists.freedesktop.org" target="_blank">nice@lists.freedesktop.org</a> <<a href="mailto:nice@lists.freedesktop.org" target="_blank">nice@lists.freedesktop.org</a>><br>
<b>Subject: </b>Re: [libnice] Force an external address (srflx) candidate?</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Hi Stuart,<br>
<br>
On 10/14/20 at 09:22pm, Stuart Marshall wrote:<br>
> In contrast, the ICE candidates emitted by Chrome are stunningly few and precise. I understand that the ICE protocols and the libnice implementation were/are meant to be general case. But they miss obvious efficiencies that can be provided by additional external
 information. STUN servers facilitate some of that additional information, but introduce a dependency and more latency.<br>
> <br>
> My knowledge of libnice internals is not great, but I kind of wish we could<br>
> <br>
>   1.  Feed some particular IP candidate addresses to it,<br>
>   2.  Tell it to skip a bunch of other candidate generation and testing<br>
<br>
I think of some optimisations, that could help to limit the number of<br>
candidates, without weakening the versatility of the ice method overall<br>
(except in *rare* cases where the server running libnice uses source<br>
routing, ie chooses the default route based on the source IP address):<br>
<br>
We could use a single server reflexive candidate and relay local<br>
candidate, per stream/component.<br>
<br>
Generally, there's no gain to send a stun request from each local<br>
interface, because all packets will reach the same stun server by the<br>
same default route. <br>
<br>
The consequence is that we obtain <N> distinct server-reflexive<br>
candidates from <N> distinct source IP addresses. These<br>
server-reflexives candidates are distinct because their IP address will<br>
be the same (this is our public IP address), but the port mapping will<br>
be different. The same applies to turn relay candidates too (including<br>
unnecessary resources reservations on the turn servers BTW).<br>
<br>
To avoid that, we could for example:<br>
  1. discard these redundant candidates when we discover them (when<br>
  processing the discovery stun response).<br>
  2. or more radically, just send a single stun and turn discovery request.<br>
<br>
In case of 2. the choice of the local interface used as the base address<br>
to send this unique stun/turn discoevry request is normally not<br>
relevant, because the routing table will hopefully make these packets go<br>
out by the same default route again, whatever source interface they come<br>
from.<br>
<br>
To summarize, I think that sending a single stun request from a single<br>
network interface during gathering phase to obtain our server-reflexive<br>
address is normally a cheap operation (one RTT when the thr stun server<br>
is available), but what is expensive from libnice point of view is to<br>
deal with many identical reflexive/relay candidates during the<br>
connecting phase, because it creates many possibilities to be tested.<br>
And the more possibilities we have to test, the more time it takes to<br>
complete.<br>
<br>
Best wishes,<u></u><u></u></p>
<pre>_______________________________________________<u></u><u></u></pre>
<pre>nice mailing list<u></u><u></u></pre>
<pre><u><span style="color:blue"><a href="mailto:nice@lists.freedesktop.org" target="_blank">nice@lists.freedesktop.org</a></span></u><u></u><u></u></pre>
<p class="MsoNormal"> <u></u><u></u></p>
<pre> <u></u><u></u></pre>
<pre><u><span style="color:blue"><a href="https://lists.freedesktop.org/mailman/listinfo/nice" target="_blank">https://lists.freedesktop.org/mailman/listinfo/nice</a></span></u><u></u><u></u></pre>
<p class="MsoNormal"> <u></u><u></u></p>
<pre> <u></u><u></u></pre>
</div>
</blockquote>
<div>
<pre>-- <u></u><u></u></pre>
<div>
<p class="MsoNormal">Olivier Crête<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><a href="mailto:olivier.crete@collabora.com" target="_blank">olivier.crete@collabora.com</a><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
</div>
</div>
</div>
<p class="MsoNormal">_______________________________________________<br>
nice mailing list<br>
<a href="mailto:nice@lists.freedesktop.org" target="_blank">nice@lists.freedesktop.org</a><br>
<a href="https://lists.freedesktop.org/mailman/listinfo/nice" target="_blank">https://lists.freedesktop.org/mailman/listinfo/nice</a><u></u><u></u></p>
</blockquote>
</div>
</div>
</div>
</div>

</blockquote></div></div>