在ref="/tag/438/" style="color:#EB6E00;font-weight:bold;">虚拟机里搭了个WebRTC视频聊天服务,本地测试好好的,一让同事从外网连就黑屏;或者用VirtualBox跑了个qBittorrent,种子能搜到,就是没人和你握手——八成是NAT在背后捣鬼。
不是防火墙,是NAT卡住了P2P
很多人第一反应关防火墙、开端口,结果没用。其实问题不在端口是否开放,而在NAT(网络地址转换)把你的虚拟机‘藏’得太深了。宿主机用的是家庭宽带,路由器做了双重NAT(运营商级+家用路由),虚拟机又套了一层NAT模式(比如VirtualBox默认的NAT网络),三层叠在一起,对方根本没法直接打洞连上来。
常见场景还原
比如你在VMware里装了个Ubuntu,用webrtc-samples跑了个pc1-to-pc2示例,自己浏览器两个标签页能通,但换台手机连WiFi访问宿主机IP+端口就一直pending。抓包一看:STUN服务器返回了srflx地址,但打过去超时——因为虚拟机根本没有公网可映射的端口,NAT类型是Symmetric,每次请求端口都变,对方根本没法反向建连。
怎么破?试试这几种路子
① 把虚拟机网络改成「桥接模式」:让虚拟机直接从路由器拿IP,和宿主机平起平坐。这时候它有自己的局域网IP(比如192.168.1.123),再在路由器里做一次端口转发(如TCP 8080 → 192.168.1.123:8080),P2P成功率立马提升。
② 宿主机当代理中转:如果实在不能改网络模式,可以在宿主机上跑个coturn服务器,强制WebRTC走TURN中继。虽然牺牲了P2P直连的低延迟,但至少能通。
docker run -d --name turn-server \
-p 3478:3478/tcp -p 3478:3478/udp \
-p 5349:5349/tcp \
-e TURN_SECRET=mysupersecret \
coturn/coturn③ 检查虚拟机NAT设置里的端口转发规则:VirtualBox的NAT设置里有「端口转发」选项,别只填主机端口,务必填对子系统IP(比如10.0.2.15)和子系统端口,协议选TCP/UDP都要勾上——很多同学只填了TCP,UDP被 silently drop,STUN/ICE就全废了。
顺手查一下你的NAT类型
进 https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/ 点「Gather candidates」,看返回的candidate里有没有typ srflx(说明STUN成功)和typ relay(说明TURN可用)。如果只有typ host,基本可以确定:你的虚拟机正困在NAT最里层,出不去。