Tài liệu

Firewall và NAT, thật đơn giản.

Hầu hết người dùng chẳng bao giờ phải chạm vào một thiết lập firewall nào để dùng Remio. Ứng dụng được xây trên cùng công nghệ kết nối giúp các app gọi video hoạt động sau router gia đình, Wi-Fi khách sạn và VPN doanh nghiệp — nó tự tìm ra đường đi. Nhưng với số ít người dùng trên các mạng bị khoá chặt nơi cấu hình mặc định cứ treo, trang này là tài liệu tham chiếu một-chỗ: Remio thực sự gửi gì qua đường truyền, cần cho phép gì trên firewall, đọc chẩn đoán trong phiên ra sao, và nói gì với đội IT.

Tổng quan

Remio dùng cách tiếp cận phân lớp để kết nối client với host. Nó thử đường nhanh nhất trước, rồi chuyển xuống mượt mà khi cần. Có ba đường khả dĩ, theo thứ tự ưu tiên:

  1. Trực tiếp trên cùng mạng — client và host cùng một Wi-Fi hoặc LAN. Khung hình đi thẳng điểm-tới-điểm. Độ trễ dưới 5 ms. Đây là những gì bạn có ở nhà, trong mạng văn phòng đơn lẻ, hoặc qua Tailscale/WireGuard.
  2. Trực tiếp qua internet (peer-to-peer) — client và host ở hai mạng khác nhau nhưng mỗi bên đều có thể tạo kết nối UDP hướng ra ngoài. Hai đầu trao đổi địa chỉ công khai của mình qua server kết nối của Remio, rồi gửi media trực tiếp cho nhau. Cộng thêm 10 đến 40 ms độ trễ tuỳ vị trí địa lý.
  3. Relay dự phòng — khi UDP bị chặn hoặc NAT quá hạn chế để đi đường trực tiếp, cả hai đầu kết nối hướng ra ngoài tới một node relay của Remio qua TLS port 443, và relay chuyển tiếp media đã mã hoá giữa chúng. Cộng thêm 30 đến 80 ms độ trễ. Hoạt động ở bất cứ đâu HTTPS hoạt động.

Bạn không tự chọn đường đi. Remio dò cả ba đồng thời ngay đầu mỗi phiên và dùng đường nhanh nhất thành công. Nếu mạng thay đổi giữa phiên (bạn đi từ Wi-Fi văn phòng sang LTE), Remio dò lại và chuyển đường mà không rớt phiên.

Điểm mấu chốt

Bạn không bao giờ phải mở port hướng vào (inbound) trên router hay firewall để chạy Remio. Cả client và host chỉ tạo kết nối hướng ra ngoài. Nếu mạng của bạn cho phép mở https://remio.net trong trình duyệt, server kết nối của Remio là truy cập được. Nếu nó tải được YouTube hay Zoom, đường media của Remio gần như chắc chắn cũng hoạt động.

Một phiên Remio vượt qua firewall như thế nào

Từ khoảnh khắc bạn chạm Connect trong client, đây là trình tự:

  1. TLS hướng ra ngoài tới server kết nối. Cả client và host mở một WebSocket dài hạn tới relay.remio.net trên port 443. Kênh này mang các bắt tay ghép cặp, trao đổi offer/answer và một lượng nhỏ lưu lượng điều khiển trong suốt phiên. Đây là HTTPS chuẩn — mọi firewall doanh nghiệp đều cho qua.
  2. Dò mạng. Mỗi đầu dùng dịch vụ STUN công khai để khám phá địa chỉ công khai của chính mình (địa chỉ mà phần còn lại của internet nhìn thấy). Sau đó nó xin server kết nối cấp thông tin đăng nhập ngắn hạn tới một node relay, phòng khi việc dò thất bại.
  3. Cuộc đua đường đi. Cả hai đầu đồng thời thử UDP trực tiếp, UDP trực tiếp qua địa chỉ do STUN khám phá, và relay TLS. Tổ hợp nào thành công và ping trả về trước sẽ thắng. Đa số mạng gia đình chọn UDP trực tiếp trong vòng 200 ms; mạng bị hạn chế rơi xuống relay TLS trong khoảng 2 giây.
  4. Luồng media mã hoá. Khi đã chọn đường, mọi khung hình, mọi phím gõ, mọi mẫu âm thanh đều được mã hoá đầu-cuối bằng AES-256-GCM và gửi qua đường đã chọn. Ngay cả trên đường relay, node relay chỉ thấy ciphertext.

Toàn bộ quá trình này vô hình với bạn — client chỉ hiển thị "Connected". Nhưng hiểu trình tự này sẽ giúp các quy tắc firewall ở phần sau trở nên dễ hiểu.

Cần cho phép gì trên firewall

Với đội IT đang viết chính sách firewall, đây là danh sách đầy đủ lưu lượng hướng ra ngoài mà Remio tạo ra. Không bao giờ cần quy tắc hướng vào (inbound).

# Outbound rules — Remio Client and Remio Host

# Required — connection setup and relay fallback
ALLOW  TCP/443    ->  relay.remio.net           (TLS, WebSocket + relay)
ALLOW  UDP/443    ->  relay.remio.net           (relay over UDP — optional, preferred)

# Strongly recommended — enables direct peer-to-peer (lower latency)
ALLOW  UDP        ->  any (high ports 32768-65535)
ALLOW  UDP/3478   ->  any                       (STUN, classic)

# Optional — used during initial address discovery only
ALLOW  UDP/3478   ->  stun.cloudflare.com
ALLOW  UDP/3478   ->  stun.l.google.com

# Not required, never used
DENY   any inbound                              (nothing inbound is ever needed)

Nếu bạn chỉ có thể cho phép một quy tắc, hãy cho phép TLS hướng ra ngoài trên port 443 tới relay.remio.net — chỉ một quy tắc đó là đủ để Remio hoạt động đầu-cuối, chỉ là qua đường relay thay vì trực tiếp. Phiên vẫn mã hoá và stream ở chất lượng đầy đủ; độ trễ là cái giá duy nhất.

Các kịch bản mạng doanh nghiệp thường gặp

Cấu hình firewall thực tế trải rộng nhiều kiểu. Đây là điều cần lường trước ở mỗi loại.

Mặc-định-cho-phép hướng ra ngoài (đa số văn phòng nhỏ, mạng gia đình)

Firewall cho ra mọi TCP và UDP hướng ra ngoài, chỉ chặn một số dải địa chỉ xấu cụ thể. Remio tìm được đường UDP trực tiếp trong vòng một giây và giữ ở đó. Độ trễ bằng đúng thời gian khứ hồi internet của bạn, cộng thêm 3 đến 5 ms overhead của Remio. Bạn thấy Direct trong chỉ báo loại kết nối.

UDP bị chặn hướng ra ngoài (doanh nghiệp cỡ vừa, trường học)

Firewall cho phép TLS và một ít giao thức phổ biến, nhưng chặn toàn bộ UDP hướng ra ngoài để ngăn lạm dụng peer-to-peer. Việc dò UDP trực tiếp của Remio thất bại, việc dò relay TLS-443 thành công, và phiên được thiết lập qua đường relay trong khoảng 2 giây. Chỉ báo loại kết nối hiển thị Relay. Độ trễ cộng thêm 30 đến 80 ms tuỳ khoảng cách của bạn tới node relay gần nhất. Streaming, âm thanh, bàn phím và nhập liệu đều hoạt động y như nhau.

Proxy soi TLS (doanh nghiệp lớn, tài chính, y tế)

Firewall giải mã mọi kết nối TLS hướng ra ngoài, soi nội dung, rồi mã hoá lại trước khi chuyển tiếp. Đây là trường hợp khó nhất. Có hai thứ có thể trục trặc:

Cách khắc phục là thêm relay.remio.net vào danh sách bỏ qua soi TLS của proxy. Mọi proxy doanh nghiệp lớn (Zscaler, Palo Alto, Cisco Umbrella, Check Point, Forcepoint) đều hỗ trợ bỏ qua theo từng domain. Lưu lượng vẫn đi qua firewall doanh nghiệp — chỉ là không bị giải mã trên đường đi. Đội IT thường thêm các mục bỏ qua cho app họp video (Zoom, Teams) vì cùng lý do; Remio thuộc cùng nhóm đó.

Captive portal / Wi-Fi khách sạn

Nhiều khách sạn và sân bay dùng captive portal chặn mọi lưu lượng hướng ra ngoài cho đến khi bạn chấp nhận điều khoản. Sau khi xác thực, đa số cho phép HTTPS bình thường, nghĩa là đường relay của Remio hoạt động. UDP thì hên xui — một số portal vẫn tiếp tục chặn UDP kể cả sau khi đăng nhập. Nếu một phiên có cảm giác chậm chạp trên Wi-Fi khách sạn, hãy kiểm tra chỉ báo — nó gần như luôn hiển thị Relay. Không có gì để sửa cả; đó là chế độ dự kiến cho những mạng này.

Carrier-grade NAT trên mạng di động

Kết nối 4G/5G thường nằm sau nhiều lớp NAT do nhà mạng vận hành, khiến peer-to-peer trực tiếp trở nên khó khăn. Remio xử lý việc này trong suốt — UDP trực tiếp thường hoạt động cho một chiều (client di động với tới host), và đường relay luôn sẵn sàng làm phương án dự phòng. Hiệu năng qua LTE/5G thường rất tốt.

Kiểm tra đường kết nối

Mọi client Remio đều phơi bày đường kết nối đã chọn trong lớp phủ thống kê trong phiên (in-session stats overlay). Mở nó từ thanh công cụ — biểu tượng là một hình biểu đồ cột nhỏ. Bạn sẽ thấy:

Nếu bạn kỳ vọng Direct nhưng lại thấy Relay, mạng bạn đang dùng đang chặn UDP ở đâu đó trên đường đi. Phiên vẫn hoạt động, chỉ thêm chút độ trễ. Trên mạng bạn kiểm soát được (router ở nhà), hãy kiểm tra cài đặt QoS và mọi công tắc "gaming mode" đôi khi làm hỏng việc chuyển tiếp UDP.

Mẹo

Chạm vào chỉ báo đường kết nối để xem thêm chẩn đoán — IP công khai của mỗi đầu, thời gian khứ hồi hiện tại, và vùng relay nào (nếu có) đang được dùng. Đây là thứ đầu tiên cần kiểm tra khi báo cáo sự cố kết nối cho bộ phận hỗ trợ.

Relay thấy được và không thấy được những gì

Một mối lo thường gặp trên đường relay là quyền riêng tư: nếu màn hình của tôi đi qua server của Remio, Remio có thấy được không? Không. Đây là lý do:

Xem toàn bộ câu chuyện mã hoá tại Bảo mật & mã hoá.

Khắc phục sự cố kết nối

Nâng cao — khoá chặt hơn nữa

Nếu đội bảo mật của bạn cần danh sách cho phép (allowlist) chặt nhất có thể, dưới đây là mức tối thiểu vẫn cho phép Remio hoạt động đầu-cuối:

# Minimum-viable firewall allowlist
# Allows relay-mode operation only (~30-80 ms latency)

OUTBOUND TCP/443  ->  relay.remio.net           # connection setup + relay
OUTBOUND UDP/443  ->  relay.remio.net           # relay over UDP (optional)

# Adding these unlocks direct peer-to-peer (3-5 ms LAN, 10-40 ms WAN)
OUTBOUND UDP/3478 ->  stun.cloudflare.com       # public address discovery
OUTBOUND UDP/3478 ->  stun.l.google.com         # public address discovery (redundancy)
OUTBOUND UDP      ->  any (32768-65535)         # direct media path

Chỉ riêng hai dòng đầu là đủ để ứng dụng hoạt động — mọi dòng khác là một tối ưu độ trễ. Nếu bạn muốn cả bảo mật tối đa lẫn độ trễ thấp nhất, hãy cho phép cả năm dòng.

Câu hỏi về Firewall và NAT

Remio có cần mở port hướng vào (inbound) trên firewall không?

Không. Cả Remio Client và Remio Host chỉ tạo kết nối hướng ra ngoài. Không có gì phải mở trên router hay quy tắc inbound của firewall. Nếu mạng của bạn cho phép lưu lượng web hướng ra ngoài bình thường — tải website, dùng app nhắn tin — Remio hoạt động.

Remio dùng những port nào?

TLS trên port 443 hướng ra ngoài cho việc thiết lập kết nối và đường relay dự phòng, cộng với UDP hướng ra ngoài trên các port cao ngẫu nhiên cho media peer-to-peer trực tiếp. UDP/3478 được dùng ngắn gọn trong lúc thiết lập kết nối để khám phá địa chỉ công khai nhưng không bắt buộc. Không cần port inbound nào ở cả hai phía.

Remio có hoạt động trên mạng doanh nghiệp chặn UDP không?

Có. Khi UDP bị chặn, Remio tự động chuyển sang relay media qua TLS trên port 443 — cùng port trình duyệt của bạn dùng cho HTTPS. Kết nối mất thêm một phần giây để thiết lập và cộng thêm khoảng 30 đến 80 ms độ trễ, nhưng phiên vẫn hoạt động đầu-cuối. Không có cài đặt nào phải bật — việc dự phòng diễn ra trong suốt.

Đội IT của tôi có soi được lưu lượng Remio không?

Không. Mọi media trong phiên đều được mã hoá đầu-cuối bằng AES-256-GCM. Kể cả khi lưu lượng được relay qua server của Remio trên TLS port 443, relay chỉ chuyển tiếp các gói tin đã mã hoá — nó không thể đọc nội dung màn hình, phím gõ hay bất kỳ dữ liệu nào khác. Các proxy soi TLS doanh nghiệp cũng không thể nhìn vào trong luồng vì media được mã hoá ở một lớp trên TLS.

Vì sao kết nối của tôi chạy ở nhà nhưng hỏng ở văn phòng?

Mạng doanh nghiệp thường chặn hoàn toàn UDP và cũng có thể chặn TLS hướng ra ngoài tới các host không nằm trong allowlist. Hãy nhờ IT cho phép TLS hướng ra ngoài trên port 443 tới relay.remio.net. Chỉ một mục allowlist đó mở khoá cả việc thiết lập kết nối lẫn đường relay dự phòng, nên Remio hoạt động ngay cả khi UDP bị đóng.

Làm sao biết phiên của tôi là trực tiếp hay qua relay?

Mở lớp phủ thống kê trong phiên từ thanh công cụ. Mọi client Remio đều hiển thị một chỉ báo loại kết nối — Direct, LAN hoặc Relay — bên cạnh độ trễ và bitrate. Kết nối Direct cho cảm giác nhanh nhạy hơn; kết nối qua relay cộng thêm khoảng 30 đến 80 ms độ trễ tuỳ khoảng cách của bạn tới node relay gần nhất.

Remio có hoạt động sau VPN hay agent zero-trust không?

Có, gần như trong mọi trường hợp. Cả đường peer-to-peer lẫn relay đều dùng HTTPS hướng ra ngoài chuẩn, thứ mà VPN doanh nghiệp và agent zero-trust (Zscaler, Cloudflare WARP, Tailscale, Twingate) đều cho qua sạch sẽ. Một số middlebox soi gói sâu (deep-packet-inspection) hung hãn có thể làm hỏng luồng — xem phần khắc phục sự cố ở trên để biết cách xử lý.

Việc chặn/soi TLS của công ty tôi có làm hỏng Remio không?

Có thể. Các proxy soi gói sâu giải mã và mã hoá lại mọi kết nối TLS đôi khi lược bỏ phần bắt tay kết nối hoặc chặn tính chất dài hạn của các luồng media. Nếu bạn thấy Remio chỉ thất bại trên mạng doanh nghiệp, hãy nhờ IT thêm relay.remio.net vào danh sách bỏ qua soi TLS — đa số proxy doanh nghiệp (Zscaler, Palo Alto, Cisco Umbrella, Check Point) đều hỗ trợ bỏ qua theo từng domain.

Biểu tượng ứng dụng Remio

Sẵn sàng khi bạn sẵn sàng.

Miễn phí trọn đời, đủ mọi tính năng. Cài host, ghép một thiết bị, và bạn đã stream chỉ trong vài phút.

Miễn phí trọn đờiKhông tài khoảnGhép cặp trong 30 giây