Hallo Michael,
ich bin zur Zeit nicht an der Schule. Daher kann ich dir nur eine ungetestete Idee schreiben.
Leg eine Gruppe mit den Belwue-BBB-Servern an.
Erzeuge eine Firewall-Regel, die, beim Zugriff auf die Server der Gruppe, alles erlaubt.
Wie schon erwähnt, ich hab das noch nicht getestet. Und ich werde in 8 Tagen das gleiche Problem haben…
Ich bin gespannt, wie’s hier weiter geht
Gruß,
Mathias
Hi,
per Mail wurde meine Antwort leider geschluckt, daher hier nochmal:
Das hat so geklappt wie hier von mir zu Beginn beschrieben. Auf der Firewall die Routen zu den Videoservern komplett freigeben, bei den Proxyausnahmen diese eintragen, sodass die Verbindung direkt hergestellt wird.
Auf den Schulrechnern allerdings (die in der Domäne sind, Kerberos-Anmeldung) hat es auch ohne diese Maßnahme geklappt. Andere Rechner, die „einfach so“ ins Netz gehen, also insbesondere private Lehrerrechner, gingen aber nicht, daher die Sache mit den Proxy Ausnahmen.
Die Maßnahme ist rehct wichtig, denn dann kann man aus dem Klassenraum heraus eine BBB starten und „hybridunterricht“ machen!
Gruß,
Andreas
Danke schon mal Mathias und Andreas für eure Antworten.
Ich habe versucht, den Ansatz von Mathias umzusetzen und habe analog zum noProxy-Alias eine BBB-Serverliste angelegt und eine FW-Regel eingerichtet.
Vgl. hier (Firewall > Aliase):
Firewall > Regeln > LAN):Das hat aber nicht funktioniert. Wahrscheinlich habe ich das einfach falsch verstanden.
Ich muss zugeben, ich fremdle noch mit der Funktionsfülle der Opensense (Euphemismus für „Ich checks nicht“…) 
Kannst Du die beiden Schritte nochmal genauer erklären?
Die Proxyausnahmen vermute ich der Opensense unter:
Dienste > Web-Proxy > Verwaltung > Weiterleitungsproxy >Zugangskontrollliste, da gibt es ein Whitelist-Feld für Zieldomains. Meinst Du das?
Danke und Grüße
Michael
Hallo Michael,
ausprobieren kann ich es selbst erst nächste Wochen. Und in den Screenshots sehe ich nicht viel. Aber wenn ich die Antworten von Andreas lese, läuft es so.
Mehr kann ich im Augenblick leider nicht sagen.
Ach ja, was natürlich wichtig ist, ist die Reihenfolge der Regeln. Die NAT-Regel des Proxy darf natürlich erst nach deiner BBB-Regel angewandt werden.
Gruß,
Mathias
Hallo Michael,
ich hab mir eben deine Screen-Shots doch nochmal angeschaut. So, wie ich das sehe, sind deine BBB-Server als Quelle eingetragen. Die sind aber das Ziel.
Ich werde mich jetzt auch ab Montag an die BBB-Aufgabe machen. Mal seh’n, ob’s klappt.
Läuft’s in der Zwischenzeit bei dir?
Gruß,
Mathias
Hej,
ich war/bin nun auch erst mal im Urlaub, habe es davor genauso liegen gelassen, wie oben geschrieben. Komme erst im Laufe der Woche dazu … und würde mich natürlich freuen, wenn Du Bescheid gibt’s, wenn es bei dir geht. 
Opensense ist bei mir derzeit noch trial-and-error…
Grüße
Michael
Hallo Michael,
ich geb alles 
und geb dir Bescheid, wenn BBB bei uns läuft.
Dir einen schönen Urlaub.
Gruß,
Mathias
Hallo,
bei der Analyse des Netzwerktraffic einer BBB-Sitzung habe ich gefunden:
Bei den Regeln für die Firewall muss man unbedingt darauf achten, dass bei den entsprechenden Ports UDP freigeschaltet wird.
Grüße
Martin
Hallo Martin,
das würde bedeuten, dass man alle 32 BBB-Server von Belwue beim WebProxy als nicht abzufangende SSL-Seiten eintragen muss.
Danke für den Tipp.
Gruß,
Mathias
Hallo Mathias,
der Verbindungsaufbau zum BBB-Server ist ein normaler https-Request, da sollte man nichts extra eintragen müssen.
Grüße
Martin
Danke …
Leider klappt’s immer noch nicht… 
Hallo Mathias,
nur zur Klarstellung …
Bist Du denn Mitglied im Support-Raum für die BBB-Schulen die diese Infrastruktur nutzen? Die IP’s (Anzahl, Netze, …) und freizuschaltendenen Ports sind dort in der Admin-Handreichung dokumentiert.
VG, Andreas
Hallo Andreas,
Ja, da bin ich. Und ich habe alle Server in die Aliase eingetragen. Ich vermute in der Zwischenzeit, dass das Problem irgendwo anders liegt:
Ich habe in /etc/profile.d/linuxmuster-proxy.sh in die Zeile export no_proxy=12...,.staufer-gymnasium.de am Schluss unsere domäne .staufer-gymnasium.de eingetragen. Somit sollte auch unsere mrbs-Seite mrbs.staufer-gymnasium.de nicht mehr über den Proxy laufen. Das tut sich auch nicht.
Aber sie ist gar nicht mehr erreichbar. Und das, obwohl ich den Zugriff auf die Gruppe BBB_Server uneingeschränkt freigegeben habe?!?
Gruß,
Mathias
So, jetzt hab ich eine Lösung 
Die Firewall muss ziemlich weit geöffnet werden, aber schaut’s euch mal an:
Für das BBB von Belwue müssen folgende Ports geöffnet werden:
UDP: 16384:32768, 5349, 3478
TCP: 1935, 5349, 3478, 443, 80
Für die UDP- und TCP-Ports legst du jeweils ein Ports-Alias an.
Jetzt erstellst du für UDP und TCP jeweils eine LAN-Firewallregel an, die diese Ports erlaubt.
Der Proxy ignoriert scheinbar Pakete, die nicht dem HTTP/HTTPS-Protokoll genügen aber durch den Port 80/443 gehen. daher müssen diese Ports im TCP-Alias enthalten sein.
Kleiner Haken: Rechner die im Schulnetz sind und nicht den Proxy nutzen, kommen unkontrolliert ins Internet. Wenn man alle BBB-Server von Belwue angeben könnte, könnte man diese Freigabe auf die BBB-Server eingrenzen. Kann ich leider nicht…
Wenn jemand einen Verbesserungsvorschlag hat, wäre ich dankbar.
Gruß,
Mathias
Hallo Michael,
es gibt eine bessere Lösung:
So hat’s bei mir funktioniert. Ganz ohne Änderungen am Client.
Gruß,
Mathias
Hej Mathias,
vielen lieben Dank für deine Dokumentation deiner Lösungen.
Ich bin erst jetzt dazu gekommen, das zu testen, nachdem sich ein anderes Problem nach vorn geschoben hat…
Mir gefällt die Lösung mit dem Domainnamen. Vorher hatte auch ich die BBB-Server mit ihren IPs als Alias angelegt. Mit Domainnamen muss man halt nicht nochmal ran, falls neue Server hinzukommen sollten.
Für diejenigen, die es brauchen können, hier noch zwei Bildchen zu den Opensense-Einstellungen.
Die Aliasse:
Und die Firewallregeln:
So klappt es bei mir. Auch wenn, es ziemlich lange dauert, bis der Echo-Test erscheint. I.d.R so 15 Sekunden. Hat jemand eine Ahnung, woran das liegen könnte?
Grüße
Michael
Hi Michael,
Geht es schneller, wenn der Client im NoProxy-Alias ist?
Gruß,
Mathias
Hej,
gute Idee, das so zu testen. Hat zu Beginn zweimal schneller (ca 8 sek) funktioniert - ab da aber wieder nicht. Ich lande immer bei ±15 Sekunden.
Scheint also nicht an den Firewallregeln zu liegen. Needs further testing…
Geht es bei dir denn relevant schneller?
Grüße
Michael
Hi Michael,
ich habe den Eindruck, dass es unter der 6.2 schneller ging, aber 15 Sekunden halte ich für lange. Muss ich mal messen.
Gruß,
Mathias
Hallo,
ich habe den Eindruck, dass es unter der 6.2 schneller ging, aber 15
Sekunden halte ich für lange. Muss ich mal messen.
ich denke das liegt an Firefox.
Wenn ich mit chromium verbinde geht es viel schneller.
Ist mir aber wurscht: Geduld lernen ist auch keien schlechte Sache 
LG
Holger
