Telefonanlage und bestimmte Ports hinter HAProxy erreichen

[lfirewall1243]

Nein ich verwende keinen Stun-Server. Ich kann testweise einen Stun-Server von 3CX verwenden. Kann ich heute Abend mal testen.
Was mich aber dennoch verwirrt.
Ich gehe mit meinem Browser auf https://fq.dn:5001/webclient. Auf Port 5001 der OpnSense lauscht der HAProxy und leitet die Anfragen an 192.168.17.164:5001 weiter.
Da funktioniert auch alles. Ich sehe den Status von anderen Teilnehmern und so weiter.
Wenn ich dann einen Anruf tätige, zum Beispiel zu meinem Handy, klingelt mein Handy auch, dann gehe ich ran. und dann ist einfach kein Sound in alle Richtungen.
Da habe ich das Trace her, und was mich da wundert. Das er versucht unter 192.168.17.164 einen Stun-Server zu erreichen.

Ich weiß das ist doof zu erklären per Text.

achso bei dir hängt auch ein HAProxy davor, habe ich irgendwie überlesen.
Das wird dann auch nicht klappen.
Soweit ich weiß verwendet WebRTC zur Audioübertragung UDP, da kann der HAProxy nichts mit anfangen.

Dennoch wird STUN bei dir auch ein Thema sein...

[drh8ball]

Die benötigten UDP Ports sind genattet. auch die für WEBRTC.
Wenn ich ein VPN aufmache, kann ich dann auch was hören.

Wie kommt es dass der Webclient überhaupt diese IP mitgeteilt bekommt?

[lfirewall1243]

Die benötigten UDP Ports sind genattet. auch die für WEBRTC.
Wenn ich ein VPN aufmache, kann ich dann auch was hören.

Wie kommt es dass der Webclient überhaupt diese IP mitgeteilt bekommt?

Wenn die Ports genatted sind schonmal gut.


Also WebRTC selbst ist da meist nicht das Problem sonder RTP, gleiche bei SIP. Da läuft die Datenübertragung von Audio/Video drüber.

RTP ist so gedacht, dass die kommunzierenden Geräte sich untereinander direkt erreichen können (hat viele Vor- und Nachteile, daher wird bei der Portaushandlung die lokale IP des Clients mitgegeben.
Bei SIP scheint sie etwas besser zu funktionieren da wird meiner Erfahrung nach meist die öffentliche IP schon mit ausgehandelt, somit ist dort kein STUN nötig.

Bei WebRTC aber nicht. Da RTP also nur für direkten Traffic gedacht ist und die über das Internet mit NAT etc nicht klappt, kommt STUN ins Spiel.
Beim Stun Server fragt der Client sozusagen nach "Hey welche öffentliche IP habe ich hier" und gibt diese dann im RTP als Source Adresse an, bzw bei der Aushandlung.
Die Telefonanlage sieht nur die Adresse wo die Antwort hin soll, der ist egal ob die lokal, öffentlich, falsch oder richtig ist.

[drh8ball]

Danke für diese ausführliche Erklärung. Da kann ich was mit anfangen.
Also sollte ich einen eigenen STUN Server aufsetzen?!
Kann ich gerne machen.

[lfirewall1243]

Danke für diese ausführliche Erklärung. Da kann ich was mit anfangen.
Also sollte ich einen eigenen STUN Server aufsetzen?!
Kann ich gerne machen.

Du musst nicht unbedingt einen eigenen aufsetzen.

Entweder bietet 3xc selbst einen an oder im Internet gibt's zahlreiche kostenlose (glaube Google auch).
Musst halt testen welche damit laufen und am Ende natürlich die Datenschutzfrage.

Aber um erstmal zu schauen ob es mit STUN läuft kann man diese ja testweise nehmen.

[drh8ball]

3CX hat welche, die schreiben aber auch gleich dazu dass diese nicht in Produktiven System zu nutzen sind. Ich werde das heute Nacht noch mal testen. Ich hätte den Stun aber auch gerne für meine eigene Jitsi Instanz.


Dann danke ich jetzt erst mal recht herzlich, ich melde mich wenn ich mit STUN getestet habe

[drh8ball]

Ich musste heute Nacht leider was anderes machen. Ich denke aber am Wochenende wird es dann Neuigkeiten geben.

[drh8ball]

Entschuldigt die späte Antwort.

Weil der Druck so hoch war, die Telefonanlage nutzen zu können, hab ich mich dazu entschlossen die entsprechenden Ports weiterzuleiten, und habe dann das Zertifikat genommen was von 3CX bereitgestellt wird.

[lfirewall1243]

Entschuldigt die späte Antwort.

Weil der Druck so hoch war, die Telefonanlage nutzen zu können, hab ich mich dazu entschlossen die entsprechenden Ports weiterzuleiten, und habe dann das Zertifikat genommen was von 3CX bereitgestellt wird.

Telefonanlage direkt aus dem Internet erreichbar machen, ist nie eine gute Idee.

Gesendet von meinem M2012K11AG mit Tapatalk