Configurer un pare-feu Juniper

Ce guide explique comment configurer un pare-feu Juniper afin de permettre à Reemo d’utiliser une connexion optimale (direct/udp) et d’éviter tout passage inutile par des relais.
Une configuration correcte réduit la latence et améliore la qualité audio/vidéo des sessions.
Sans cette configuration, Reemo peut toujours fonctionner, mais les connexions passeront par des relais (relay/tcp, relay/udp, websocket) avec des performances réduites.
Avant de commencer, assurez-vous que votre pare-feu Juniper (SRX Series, Junos OS) est correctement installé et accessible via son interface d’administration web.
Connectez-vous ensuite à l’interface avec vos identifiants administrateur.

Note

Cette configuration est donnée à titre d’exemple.
Les écrans et intitulés peuvent varier légèrement selon la version de votre équipement (par ex. Junos OS SRX).
Les noms proposés pour les objets (Reemo_TURN1, Reemo_Protocol_in, etc.) sont indicatifs : vous pouvez utiliser vos propres conventions.

Étape 1 :Ajouter les serveurs Reemo

Dans Security > Policy Elements > Zone Address Book, ajoutez les adresses suivantes dans la zone Internet :

  • Reemo_TURN1 :

    • Type : FQDN

    • Domain Name : turn1.reemo.io

Ajout de l'adresse TURN1

Ajout de l’adresse TURN1 dans le Zone Address Book.

  • Reemo_TURN2 :

    • Type : FQDN

    • Domain Name : turn2.reemo.io

Ajout de l'adresse TURN2

Ajout de l’adresse TURN2 dans le Zone Address Book.

  • Reemo_Signal :

    • Type : FQDN

    • Domain Name : signal.reemo.io

Ajout de l'adresse Signal

Ajout de l’adresse Signal dans le Zone Address Book.

Aperçu des adresses

Aperçu des adresses Reemo

Récapitulatif des adresses configurées.

Étape 2 :Créer les applications (services) Reemo

Dans Security > Policy Elements > Applications, créez les applications personnalisées suivantes :

  • Reemo_TURN_UDP443 :

    • Protocole : udp

    • Destination Port : 443

Application UDP 443 pour TURN

Application personnalisée : TURN en UDP/443.

  • Reemo_Protocol_out :

    • Protocole : udp

    • Source Port : 58200-58400

Application Reemo Protocol Out

Application personnalisée : flux sortants de l’Agent Reemo.

  • Reemo_Protocol_in :

    • Protocole : udp

    • Destination Port : 58200-58400

Application Reemo Protocol In

Application personnalisée : flux entrants côté navigateur.

Aperçu des applications

Aperçu des applications Reemo

Récapitulatif des applications configurées.

Étape 3 :Créer les règles de sécurité

Dans Security > Security Policy, créez les règles suivantes :

Règles globales

  • Reemo_TURN :

    • From Zone : internal

    • To Zone : Internet

    • Destination Address : Reemo_TURN1, Reemo_TURN2

    • Applications : Reemo_TURN_UDP443, junos-https

    • Action : permit

Règle Juniper vers TURN (UDP/443)

Autoriser TURN (UDP/443) et HTTPS vers les serveurs TURN.

  • Reemo_Signal :

    • From Zone : internal

    • To Zone : Internet

    • Destination Address : Reemo_Signal

    • Applications : junos-https

    • Action : permit

Règle Juniper vers le serveur de signalisation

Autoriser HTTPS vers le serveur de signalisation.

Règles côté ordinateur distant (“Reemo Side”)

Ces règles concernent le trafic sortant généré par l’ordinateur distant équipé de l’Agent Reemo. Elles permettent à la machine de communiquer correctement avec le navigateur client via la plage UDP 58200–58400.

  • ReemoAgent_out :

    • From Zone : internal

    • To Zone : Internet

    • Source Address : LAN (ordinateur distant)

    • Destination Address : any

    • Applications : Reemo_Protocol_out

    • Action : permit

Règle Reemo Protocol Out

Autoriser les flux sortants de l’Agent Reemo.

Règles côté navigateur (“Browser Side”)

Ces règles concernent le trafic entrant côté navigateur (poste de l’utilisateur). Elles garantissent que les flux UDP 58200–58400 envoyés par l’Agent Reemo atteignent bien le navigateur.

  • ReemoAgent_in :

    • From Zone : internal

    • To Zone : Internet

    • Applications : Reemo_Protocol_in

    • Action : permit

Règle Reemo Protocol In

Autoriser les flux UDP entrants côté navigateur.

Aperçu des politiques

Aperçu des politiques de sécurité

Récapitulatif des politiques configurées.

Étape 4 :Configuration NAT (conseillée)

Pour préserver les performances en direct/udp, il est recommandé de

  • Désactiver la surcharge de port source (port overloading),

  • Activer un comportement persistant (persistent NAT).

  1. Ouvrez NAT > Source, puis Global Settings.

  2. Désactivez l’option Interface Port-Overloading.

  3. Ajoutez des règles spécifiques dans le Source Rule Set principal.

Aperçu des règles NAT

Exemple de configuration NAT.

Exemples de règles NAT

  • Reemo_NAT_TestPage_rule (Test vers UDP/443) :

    • Source : votre sous-réseau interne

    • Protocole : udp

    • Port : 443

    • Action : Do Source NAT With Egress Interface Address + Persistent

  • ReemoAgent_out (flux sortants Agent) :

    • Source : votre sous-réseau interne

    • Protocole : udp

    • Ports : 58200-58400

    • Action : Do Source NAT With Egress Interface Address + Persistent

  • ReemoAgent_in (flux entrants côté navigateur) :

    • Source : votre sous-réseau interne

    • Protocole : udp

    • Ports : 58200-58400

    • Action : Do Source NAT With Egress Interface Address + Persistent

Résumé :Ports et adresses à ouvrir

Pour référence rapide, voici un tableau récapitulatif des flux nécessaires au bon fonctionnement de Reemo en direct/udp :

Usage

Protocol

Ports

Destination

Signal server

TCP/UDP

443

signal.reemo.io

TURN servers

UDP

443

turn1.reemo.io, turn2.reemo.io

Reemo Protocol In

UDP

58200–58400

Navigateur (poste client)

Reemo Protocol Out

UDP

58200–58400 (src → dst dynamique)

Ordinateur distant (Agent Reemo)