> я то в курсе, а вот создатели WebRTC в курсе? Вы лучше им задайте этот вопрос :)))

Мне не надо никому задавать вопросы, я просто в курсе этой темы.
Была попытка создать "альтернативный" протокол ORTC, эдакая форма NIH, проталкиваемая в первую очередь со стороны MS и их старым Edge. Основная идея была как раз в максимальной вебдванольности и независимости от мультимедийных стандартов VoIP, сложившихся вокруг в первую очередь SIP. Ясно-понятно ICE/STUN/TURN переизобрести вообще безумие, они и не пытались, но попытались избавиться от классического SDP (Session Description Protocol) и RTP. Кончилась она похоронами как их Object API for RTC (ORTC), так и самого Edge.

То что лично ты понавоображал себе про WebRTC имеет отношении к ныне покойному ORTC. WebRTC же наоборот оно от всего остального VoIP отличается только одной вещью, нет стандарта на сигнальный траффик и есть обязательное требование к шифрованию этого сигнального траффика, который пойдёт по 443-му порту.
Из-за этого сетевик будет писать глупости вроде этой:
> Пофиг что там внутри него, все равно крутится внутри L3/L4 :))))

Как я и писал выше, это и было одной из целей этого стандарта. Не дать сетевому оборудованию вмешиваться в построение мультимедийной сети.

> Так и будет, когда L7 недопротокол внутри себя строит свою OSI.

Вот, ты это так пишешь, будто в этом есть что-то плохое... И не важно в каком учебнике, на какой странице это написано, оно в реальности не работает. Смирись.

> ага полный пиринг, я посмотрю как товарищ майор вам это позволит. С другой стороны IPv6 избавил вас от NAT-а, дерзайте.

Телефония существовала сильно раньше интернетов, и у современного VoIP нету никаких проблем с законом, а наоборот. Тот же самый SIP и его применение в VoLTE - это стандарты принятые Россвязью и Роскомнадзором...

Возможно, поправь меня, если я ошибаюсь, ты просто услышал слово "пиринговая сеть" и поэтому у тебя возникла ассоциация с "тов. майором" и запретами. Пиринговая сеть (peering network) - это сеть, которая порождается P2P-протоколом (peer-to-peer). SIP - это P2P-протокол, равно как и торренты, ослы, кадемлии и прочее, просто он заточен для передачи мультимедиа-потоков в реальном времени, а не вареза и ворованного кинца. Хотя, опять же, тот же торрент не виноват в том, что его так любят пираты.
Просто телефония исторически пиринговая технология. Она соединяет друг с другом АБОНЕНТОВ, прикинь. Логично, что SIP, который в первую очередь используется именно для телефонии порождает пиринговую сеть и является P2P-протоколом. Твой тов. майор, если такое запретит, свои следующие запреты уже не по телефону будет выдавать, а по почте. =)

> ага в ядро это еще пихните и будет радости, хотя чему удивляться, пихают уже.

А в чем претензия? Linux - ОС с монолитным ядром. Там всё в ядро пихают, и, да, в ядре Linux есть Crypto API в том числе для сети. https://www.kernel.org/doc/html/latest/networking/tls.html

> суть сей дискуссии такова, каким боком L3/L4 должен что-либо знать за L7

Я не разделяю твою веру в OSI. С тем же успехом можешь спорить со мной о строках из Библии или Корана, я вообще не религиозен. Ты _веришь_, в то что все протоколы делятся на 7 волшебных уровней, как 7 чудес света или 7 кругов ада или  7 небесных сводов, а, по-факту, в реальности этого нету. Ты пытаешься спорить со мной в рамках ТВОЕЙ религии, веры к которой я не принадлежу. Если верить в модель OSI, как будто бы она применялась бы в реальности, то, наверное, ты был бы прав, хотя и тут я не уверен. В любом варианте, спорить в рамках несуществующей воображаемой модели, как минимум, контрпродуктивно.

Для меня эта дискуссия выглядит так: Очередной сетевой администратор, который всю жизнь файрвол настраивал, обороняет свои религиозные чувства. Как любой истинно верующий, он ехидно и лицемерно пропускает мимо ушей всё что идет в разрез с его верой. Например, самый болезненный вопрос: "Если все сетевые протоколы делятся на 7 уровней, то на каком уровне находится NAT?" настолько неудобен, что пропускается при любом удобном случае, потому что:
а) NAT не является протоколом
б) NAT не имеет единого стандарта
в) NAT объективно существует и обязателен в сетях IPv4 по гуманитарным причинам, а не по техническим.
г) Параметрами NAT можно похерить реальные сетевые стандарты.
Все протоколы, которые так или иначе имеют проблемы с NAT разработали свои решения борьбы с этой дрянью, в виду обязательности работы с ним в сетях IPv4.

На практике, работа SIP совместно с NAT, если там вообще есть проблема, то это не проблема двух протоколов "разных уровней". Это проблема работы международного принятого и подробно описанного сетевого и телефонного стандарта, поверх конкретного вендороспецифичного решения, применяемого на конкретном предприятии и управляемого сетевым администратором с ограниченными возможностями, который почему-то не может привести в порядок своё сетевое барахло.

> А кто по вашему ALG придумал? - да да вендора сетевики как вы выше указали, так они открыли ваш же "стандарт" протокола и по нему же реализовали логику ALG, за вас работу сделали, а вы в зубы коню?

То что они открыли стандарт, не значит что они умеют читать (7 извилин слишком мало для когнитивной деятельности). Сравни реализацию ALG от каждого вендора между собой и со Стандартом и ты поймешь, что ровным счетом НИКТО из них ему не следует, а наоборот портит жизнь.

Одно радует, что ты хотя бы поинтересовался и увидел, что ALG и костыли придумывали не телефонисты, и не ради себя. Значит не всё потеряно. Вот тебе еще информация к размышлению:
1) телефонисты не хотят от сетевика, чтобы он вмешивался в работу своим оборудованием. Они требуют обратного, чтобы его оборудование прекратило заниматься диверсионной деятельностью (ALG) и чтобы он сам договорился о том как будет работать его оборудование (NAT), потому что отсутствие стандартизации и вендорозависимость - это проблема, причем на ЕГО стороне.
2) Прекратил заниматься религиозным лицемерием. Вот ты сам пишешь "L3/L4", а почему вдруг нужно 2 уровня сразу, чтобы описать твою работу? А почему в твоей же догме нельзя считать SIP за "L3/L4/L5/L6/L7" одновременно?

А то современный VoIP, по-факту, начинает свою работу с выбора кандидатов в SDP для второй сессии, начиная с выбора протокола IPv4/IPv6, дальше под ВСЕ адреса сетёвки подбирает порты, далее включает NAT-PNP/UPnP и если удалось так поговорить с вышестоящим железом, то добавляет туда IP:port-ы кандидатов проброшенные таким способом. Потом обращается к STUN и вычисляет реальные внешние IP:port для всех локальных кандидатов и проверяет типы NAT, которые сетевик настроил, чтобы понять как можно стучаться на автопроброшенный временный порт в таблице NAT. Есть варианты:
1) Можно всё (Full или DST NAT)
2) Можно только с того IP на который клиент изначально соединялся, но порт любой
3) Можно с любого IP но порт источника должен совпадать
4) Только тот IP:port, на который устанавливалось изначальное соединение, которое привело к созданию динамического правила в таблице NAT, имеет право слать ответы (Симметричный NAT)
Далее добавляются адреса TURN-релеев в список кандидатов, с которыми работает этот клиент. И вот после этого нужно вычислить 2 вещи:
1) Можно ли соединить двух клиентов напрямую по локальным IP, вдруг они внутри одной сети (несмотря на наличие полностью внешного SIP/WebRTC-сервера)
2) При наличии прямого коннекта выяснить, где задержка лучше, напрямую или через TURN-релей (это умеют только "умные" клиенты)
Кроме того нужно учитывать, что клиент с симметричным натом не может принимать ничего "входящего", соответственно соединения для второй сессии должны быть иницированы с его стороны, чтобы победить сраный файрвол. Если нужно соединять двух таких вот клиентов, то TURN-релей в такой сессии - единственный кандидат.

Вот примерно так работает ICE. И это стандарт. Ты знал, что это так работает? Ну как, сложно?
А всё потому что есть как минимум 4 варианта работы NAT и нет гарантии, что устройство ответит на запрос временной фиксации порта через UPnP, среди прочего есть симметричный NAT, который вынуждает клиентов инициировать вторую сессию всегда, даже если реально не они её инициировали. И вот скажи мне, умник, где конкретно в этом вина SIP/WebRTC (ICE применяется в обоих) и иже с ними. Эту сложность порождает отсутствие стандартов на заполнение таблицы NAT на файрволе и возможность загнать пользователей гетто (симметричный NAT), целесообразность которого близка к нулю, потому что файрволы на клиентов всё равно придется ставить.

И вот когда вот в эту топологию влазит ALG и начинает "помогать", подменять IP:port в SIP/SDP-пакетах приходится шифровать всё через TLS/DTLS. Не столько ради конфеденциальности, сколько ради обхода того идиотизма, который применяется на роутерах и файрволах. Мало того что NAT свой в порядок привести не способны, так еще и усложняют работу с тем что есть.

Как я и говорил раньше "Сетевикам нельзя лезть в телефонию, она от них тупеет". В корпоративном мире, их задача отказаться от своей религиозной бредятины и сделать так как приказали, потому что как международные стандарты, так и государственные, как видишь, явно не в пользу NAT и свидетелей модели OSI.