BBB Server im Schulnetz nutzen

Infrastruktur BigBlueButton
21

Hej,
ich war/bin nun auch erst mal im Urlaub, habe es davor genauso liegen gelassen, wie oben geschrieben. Komme erst im Laufe der Woche dazu … und würde mich natürlich freuen, wenn Du Bescheid gibt’s, wenn es bei dir geht. :grin: Opensense ist bei mir derzeit noch trial-and-error…

Grüße
Michael

22

Hallo Michael,
ich geb alles :slight_smile: und geb dir Bescheid, wenn BBB bei uns läuft.
Dir einen schönen Urlaub.
Gruß,
Mathias

23

Hallo,
bei der Analyse des Netzwerktraffic einer BBB-Sitzung habe ich gefunden:

  • der BBB-Client baut über Port 443-TCP eine Verbindung zum BBB-Server auf
  • der BBB-Client baut meistens über Port 3478-UDP eine Verbindung zum TURN-Server auf (hängt vom eingesetztem TURN-Server ab)
  • Bei Verbindungsaufbau werden die UDP-Ports 16348 bis 32768 angesprochen
  • ansonsten wird der Port 443-TCP verwendet
  • falls die UDP-Ports nicht verfügbar sind, hat der Client einen Fallback auf TCP-Port 443, dann geht aber der Verbindungsaufbau langsamer und kann ggf. ganz abbrechen
  • auch führen Zertifikatsprobleme zu einem Verbindungsabbruch 1002

Bei den Regeln für die Firewall muss man unbedingt darauf achten, dass bei den entsprechenden Ports UDP freigeschaltet wird.
Grüße
Martin

1 „Gefällt mir“
24

Hallo Martin,

das würde bedeuten, dass man alle 32 BBB-Server von Belwue beim WebProxy als nicht abzufangende SSL-Seiten eintragen muss.
Danke für den Tipp.
Gruß,
Mathias

25

Hallo Mathias,
der Verbindungsaufbau zum BBB-Server ist ein normaler https-Request, da sollte man nichts extra eintragen müssen.
Grüße
Martin

26

Danke …
Leider klappt’s immer noch nicht… :frowning:

27

Hallo Mathias,

nur zur Klarstellung …

  • die BBB-Server sind nicht von BelWü und werde nicht von BelWü betrieben
  • es sind nicht 32 BBB-Server sondern im Prinzip über 1.000 Stück

Bist Du denn Mitglied im Support-Raum für die BBB-Schulen die diese Infrastruktur nutzen? Die IP’s (Anzahl, Netze, …) und freizuschaltendenen Ports sind dort in der Admin-Handreichung dokumentiert.

VG, Andreas

28

Hallo Andreas,

Ja, da bin ich. Und ich habe alle Server in die Aliase eingetragen. Ich vermute in der Zwischenzeit, dass das Problem irgendwo anders liegt:

Ich habe in /etc/profile.d/linuxmuster-proxy.sh in die Zeile export no_proxy=12...,.staufer-gymnasium.de am Schluss unsere domäne .staufer-gymnasium.de eingetragen. Somit sollte auch unsere mrbs-Seite mrbs.staufer-gymnasium.de nicht mehr über den Proxy laufen. Das tut sich auch nicht.
Aber sie ist gar nicht mehr erreichbar. Und das, obwohl ich den Zugriff auf die Gruppe BBB_Server uneingeschränkt freigegeben habe?!?

FWRegel
FWRegel1249×32 3.22 KB

Da muss ich was mit der Firewall-Regel falsch gemacht haben. Hast du da eine Idee?

Gruß,
Mathias

29

So, jetzt hab ich eine Lösung :star_struck:
Die Firewall muss ziemlich weit geöffnet werden, aber schaut’s euch mal an:

Für das BBB von Belwue müssen folgende Ports geöffnet werden:

UDP: 16384:32768, 5349, 3478
TCP: 1935, 5349, 3478, 443, 80

Für die UDP- und TCP-Ports legst du jeweils ein Ports-Alias an.

Jetzt erstellst du für UDP und TCP jeweils eine LAN-Firewallregel an, die diese Ports erlaubt.

Der Proxy ignoriert scheinbar Pakete, die nicht dem HTTP/HTTPS-Protokoll genügen aber durch den Port 80/443 gehen. daher müssen diese Ports im TCP-Alias enthalten sein.

Kleiner Haken: Rechner die im Schulnetz sind und nicht den Proxy nutzen, kommen unkontrolliert ins Internet. Wenn man alle BBB-Server von Belwue angeben könnte, könnte man diese Freigabe auf die BBB-Server eingrenzen. Kann ich leider nicht…

Wenn jemand einen Verbesserungsvorschlag hat, wäre ich dankbar.

Gruß,
Mathias

30

Hallo Michael,
es gibt eine bessere Lösung:

  • Lege einen Alias BBB-Server mit dem Inhalt .lehrerfortbildung-bw.de an. Da sind dann alle BBB-Server drin.
  • Lege einen Alias BBB-Turn mit allen Netzwerken aus der Belwue-Doku an.
    *Lege zwei Regeln, in denen du für Ziele aus BBB-Turn und BBB-Server alles erlaubst.

So hat’s bei mir funktioniert. Ganz ohne Änderungen am Client.

Gruß,
Mathias

1 „Gefällt mir“
31

Hej Mathias,
vielen lieben Dank für deine Dokumentation deiner Lösungen.
Ich bin erst jetzt dazu gekommen, das zu testen, nachdem sich ein anderes Problem nach vorn geschoben hat…

Mir gefällt die Lösung mit dem Domainnamen. Vorher hatte auch ich die BBB-Server mit ihren IPs als Alias angelegt. Mit Domainnamen muss man halt nicht nochmal ran, falls neue Server hinzukommen sollten.

Für diejenigen, die es brauchen können, hier noch zwei Bildchen zu den Opensense-Einstellungen.

Die Aliasse:

20200904-141347_ksnip
20200904-141347_ksnip1190×98 12.4 KB

Die Liste der Netzwerke findet man im Moodlekursraum der Lehrerfortbildung.

Und die Firewallregeln:

20200904-141003_ksnip
20200904-141003_ksnip1267×76 8.53 KB

So klappt es bei mir. Auch wenn, es ziemlich lange dauert, bis der Echo-Test erscheint. I.d.R so 15 Sekunden. Hat jemand eine Ahnung, woran das liegen könnte?

Grüße
Michael

32

Hi Michael,

Geht es schneller, wenn der Client im NoProxy-Alias ist?
Gruß,
Mathias

33

Hej,
gute Idee, das so zu testen. Hat zu Beginn zweimal schneller (ca 8 sek) funktioniert - ab da aber wieder nicht. Ich lande immer bei ±15 Sekunden.
Scheint also nicht an den Firewallregeln zu liegen. Needs further testing…
Geht es bei dir denn relevant schneller?

Grüße
Michael

34

Hi Michael,
ich habe den Eindruck, dass es unter der 6.2 schneller ging, aber 15 Sekunden halte ich für lange. Muss ich mal messen.
Gruß,
Mathias

35

Hallo,

ich habe den Eindruck, dass es unter der 6.2 schneller ging, aber 15
Sekunden halte ich für lange. Muss ich mal messen.

ich denke das liegt an Firefox.
Wenn ich mit chromium verbinde geht es viel schneller.
Ist mir aber wurscht: Geduld lernen ist auch keien schlechte Sache :slight_smile:

LG

Holger