BigBlueButton mit eigenem CoturnServer und Nextcloud

Hallo, Ihr alle!

Ich bin der Andreas, schon seit sehr langer Zeit Systembetreuer einer Schule und habe mir als neues Aufgabenfeld das Ersetzen von Microsoft Teams erklärt. So kurz als Hintergrundinfo: Ich bin selbst Lehrer an der Schule und wie viele von Euch auch natürlich erst mal überfahren worden von der Schulschließung. Um schnell eine einheitliche Lösung für unsere Schule zu schaffen, habe ich mich entschlossen, für die Übergangszeit Teams im Kollegium und bei den Schülern/Eltern einzuführen, zwar schmerzlich, aber gerade zu Anfangszeiten war mir jede ideologische Auseinandersetzung mit dem Thema erst mal egal, weil es einfach und ausschließlich nur darum ging, sehr schnell, sehr simpel, ohne Aufwand ein System für unsere Schule (übrigens ein Sonderpädagogisches Förderzentrum, darum war der Zeitfaktor sehr relevant, unsere Schule rutschen da schnell durch, wenn man sie nicht gleich wieder bei der Stange hält) zu finden. So! Nun, nach getaner Arbeit regt sich wieder mein „EigentlichmussjanichtwirklichallesmitMicrosoftgemachtwerden-Herz“. Mit meinem zuständigen Digitalisierungsbeauftragten unseres Sachaufwandträgers habe ich schon länger mit der Idee gesponnen, für den ganzen Landkreis eine Nextcloudlösung zu entwickeln. Nachdem wir in drei Jahren ein neues Schulgebäude erhalten, ein super Anlass, da eine „DickeKiste“ hinstellen zu lassen, die genügend dick ist damit das für den Landkreis läuft. Und so habe versuchsweise eine Nextcloud auf einem UbuntuServer 20.04 aufgesetzt, der flutscht auch ganz schön. Talk gefällt mir jetzt nicht so, darum die Idee, es mit Bigbluebutton zu versuchen. Der wiederum braucht aber einen Coturn Server, damit man auch extern das Mikrophon nutzen kann, wenn das ganze hinter der Fritzbox sitzt.

So nun kommt endlich meine Frage:

Sprich ich brauche dann doch eigentlich: Für die Nextcloud/UbuntuServer 20.04 DYNDNS, für den BigBluebutton/Ubuntu 16.04 DYNDNS und für den Coturn Server ja auch noch einen UbuntuServer mit DYNDNS. Nachdem ich jetzt kein so Linuxspezialist bin oute ich mich wohl als vollkommener Nullchecker, aber ich weiß nicht wie ich das der Fritzbox erzählen kann, dass da jetzt drei Servernamen extern über DYNDNS erreicht werden müssen. Oder liege ich in meinen Überlegungen vollkommen falsch?

Bis jetzt habe ich eine Nextcloud installiert, die ist extern gut zu erreichen, dahinter liegt kein Coturn, da ich Talk ja eh nicht nutze, ist ja noch zu schwach. Den habe ich im Schulnetz eingebunden, über die Fritzbox in den Einstellungen über DYNDNS ist dieser auch wunderbar erreichbar und schnurrt fröhlich vor sich hin.

Zu Hause liegt zu Versuchszwecken ein gerade ausreichend großer UbuntuServer 16.04, auf dem ich BigBlueButton installiert habe, funktioniert auch gut, mit der Einschränkung, dass ich extern kein Mikrofon aktivieren kann, weil ja der Coturn Server nicht installiert ist, der so mein Wissensstand ja auch noch mal auf eine extra Kiste laufen muss. Das habe ich auch schon vorbereitet, aber genau da hänge ich jetzt.

Jessas, jetzt ist das recht lange geworden, ich hoffe ein oder zwei kämpfen sich durch mein Geschreibsel durch und haben einen Vorschlag, Kritik (ja was machst denn Du für einen Schmarrn,) oder es entsteht sogar in Zusammenarbeit eine coole Anleitung, wie man das lösen könnte, das Digitalisierungsproblem ohne Teams!

Euch einen werten Gruß!!!

Andreas

Hallo Andreas,

das ist mal eine Informationsfülle

Denke, selbst noch NewBe, hier bist Du genau richtig.

Willkommen!

Niemand zwingt Dich DYNDNS nur über deine Fritte zu machen.

Es gibt doch genug Clients für alle Betriebs-Systeme, so dass Du auf jedem einzelnen Server/Client/Dienst einen (oder mehrere) eigene DynDNS laufen lassen könntest.

„DickeKiste“ :

Das ist wirklich eine grosse Möglichkeit etwas zu bewegen.

Microsoft und andere kommerziellen „Lösungen“ stehen doch oft im Widerspruch zum Datenschutz. Und die nicht unerheblichen Lizenzgebühren etc.

OpenSource:
Freie Software für freie Bürger …

Ich habe mich durchgekämpft

VG Andre

Hallo Andreas und herzlich willkommen

Zu Hause liegt zu Versuchszwecken ein gerade ausreichend großer
UbuntuServer 16.04, auf dem ich BigBlueButton installiert habe,
funktioniert auch gut, mit der Einschränkung, dass ich extern kein
Mikrofon aktivieren kann, weil ja der Coturn Server nicht installiert
ist, der so mein Wissensstand ja auch noch mal auf eine extra Kiste
laufen muss. Das habe ich auch schon vorbereitet, aber genau da hänge
ich jetzt.

so wie ich das sehe hast du ja nicht das Problem mehrere dyndns Adressen
zu verwalten, sondern vornehmlich, dass du nur eine IP auf der externen
Seite der FritzBox hast: du müßtest also die Ports „moven“: die 443
kannst du nur für einen Server verwenden, es sei den du stellst einen
Reverseproxy ganz vorne an … aber wer will das schon machen.

Ich würde dir empfehlen: miet dir für den BBB einen hetznerserver für 30
EUR/Monat an: dann hast du da am wenigsten Stress.
Ich hab das in meinen Einrichtungen inzwischen auch so.
Vorher hatte ich sie auf meinen Servern in der Einrichtung hinter einer
Fritzbox und einem Cisco Router: das ging schon: aber extern auf dem
Blech ist schon viel unproblematischer.

LG

Holger

Hallo, Andre, hallo Holger!
Vielen Dank für Eure Nachrichten! Genau, DYNDNS Adressen kann ich so viele machen wie mir einfällt, ich hab einfach das Problem, eben nur zwei Ips extern ansprechn zu können. Wir laufen noch oldschol und haben die Verwaltung und das Schulnetz physiklaisch getrennt. Letzendlich geht es nur darum, eine Lösung zu finden, auch einen Coturn Server noch mit reinzupacken. Ich bin halt recht eigen was unsere Daten betrifft und würde, trotz gutem Ruf von Hetzner gerne Herr aller Daten bleiben. Vorausgesetzt es gibt eine Lösung dafür.
Ich werde mich weiter schlau machen.
Euch ein schönes Wochenende!
Andreas

Erstmal Herzlich Willkommen auf der guten Seite der Macht.

Ich fahre seit Beginn die Kombo NC / BBB und unsere Schule ist im gesamten doch sehr zufrieden mit der Lösung. (Keiner schreit nach MS)

Einen Stun und Coturn Server kannst du beispielsweise parallel zur NC auf deinem Ubuntu installieren, habe ich auch gemacht. Das ist kein Problem bei den default Ports, da gibt es einige Anleitungen im Internet dazu. Alternativ bzw. zusätzlich habe ich noch den STUN/TURN Server hier im Forum angegeben, der benutzt die Ports 443, falls ich es mal etwas strengere Firwalls am werkeln sind. (Ansprechpartner ist @ironiemix)

BBB und Talk haben einen anderen Ansatz und kann man so nicht vergleichen. Talk ist eher das datenschutzkonforme Whatsapp und BBB eher das datenschutzkonforme Zoom, leicht vereinfacht ausgedrückt.

Kurz zu NC Talk: Bitte nicht unterschätzen, es ist bei unseren Schülern und Lehrer bisher das meistgenutzte Modul, weil es ähnlich wie Whatsapp aufgebaut ist und gerade das Chatten in Gruppen wichtig ist. Fast immer werden mit dem Modul zu den Terminen in BBB eingeladen. Also daher, bei Fragen zu NC auch gerne mich anschreiben.

Also mit den Domains würde ich das anders aufbauen. Hol dir ne richtige Domain, sieht auf jeden Fall besser aus. Falls du bei Belwue bist, hast du feste IPv4 Adressen und kannst Domain und Subdomains erstellen und auf die IP leiten. Falls du ne Fritzbox hast, kannst du bei den meisten Domainprovidern auch einen dynamisch IP Dienst nutzen. (Bei meinem is teiner kotenlos dabei).
Du hast uns jetzt nicht eure Firewalldienst an der Schule verraten, aber was du brauchst ist quasi ein Reverse Proxy, der wiederum die Anfragen über die Subdomain an den entsprechenden Server weiterleitet. Bei OpenSense wäe das das Modul HA Proxy, das diese Aufgabe übernimmt.

LG Sebastian

Servus Sebastian!
Auch dir ein dickes Dankeschöne, man fühlt sich gleich sehr wohl bei Euch! Das gefällt, oh ja!
Ich habe über strato eine richtige Domain, bei Strato ist die Möglichkeit, Subdomains zu erstellen und diese als DYNDNS auszuweisen ja recht einfach. Als Firewall sitzt auf den zwei Ubunt Servern (16.04 für den BBB, 20.04 für NC) klassisch ufw, ich hoffe das ist auch gut so (?) Ich habe mich auch brav an die Anweisungen aus dem Internet gehalten, alles läuft über HTTPS, Certifizierungen wurden über letsencrypt gemacht.
Wenn ich dich richtig verstehe, Sebastian, ist es kein Problem, einen Coturn Server parallel zum NC zu installieren, den ich dann auch für BBB verwenden könnte?
Zu deinem letzten Absatz, ja ich habe für beide Anschlüsse jeweils eine Fritzbox, hab das DYNDNS auch entsprechend eingestellt, mit allen Portfreigaben (toll, wenn die Anzahl auf 255 begrenzt ist, …)
NC finde ich persönlich genial, weil im Gegensatz zu Teams deutlich übersichtlicher und nicht mit unnötigem Schnickschnack wie es bei Teams der Fall ist überfrachtet wirkt. Ist in meinen Augen deutlich seriöser.

Jessas, hilf mir mal, bitte! Reverse Proxy? OpenSense? Einfach googeln und durchkämpfen, oder gibt es da auf Anhieb eine freundliche Anleitung für einen LinuxNeuling?
Werte Grüße! Und nochmals Danke für Eure Unterstützung!!! Wenn alles steht, werde ich einen braven Wiehabichsgemacht-Bericht schreiben!
Andreas

Ja, den Coturn parallel auf dem NC System installiert, war gar kein Problem. Aus Schönheitsgründen hat der bei mir sogar ne eigenen Subdomain bekommen, sieht einfach schnicke aus. Ich habe alles extern auf einem Root Server laufen, weil mir der IPv6 Support noch wichtig war /ist und unsere Netzanbindung an der Schule zu schwach ist.

Wenn ich das richtig sehe, ist eure Schule mit einer Fritzbox angebunden?
Folgendes Problem sehe ich: DynDNS zeigt ja nur auf die Box, damit weiß man zumindest an welchem Endanschluss die Pakete ankommen sollen. Aber zu welchem Server müssen die Pakete jetzt im internen Netz weitergeleitet werden, dass weiß die Fritzbox nicht. Die Fritzbox arbeitet mit Portfreigaben, d. h. du kannst ein Port an ein Endgerät im Netzwerk weiterleiten. Aber eigentlich müssten über die Subdomain alle Anfragen über sämtliche Ports an einen Server weiterleiten. (etwas so bei dem Bild: https://sysadms.de/2018/10/pfsense-haproxy-als-reverse-proxy/) Das kann die Fritzbox meines Wissens nicht.

1.mögliche Lösung (schnelle unsaubere Lösung)
Du erstellst auf der Fritzbox entsprechende Weiterleitungen an die Ports. Das führt aber früher oder später zu dem Problem, dass sowohl BBB als auch NC beispielsweise den Port 443 gerne hätten für die Weboberfläche. Dann muss man die Ports ändern. Extern bekommt 443 bekommt NC und BBB bekommt ein anderer Port, intern bleibts natürlich bei der 443. BBB muss dann halt mit Port aufgerufen werden, könnte aber zu Problemen führen beim generieren von Links etc… Ist technisch sehr unschön.

2. mögliche Lösung (saubere Lösung, aber schwieriger und langfristiger)
   OpenSense ist eine Firewall mit eigenem Betriebssystem, die sehr gut zu konfigurieren ist. Läuft auf einem Server (bei uns virtuell). Die Firewall kann mit Modulen etc. erweitert werden und übernimmt diverse Aufgaben. Möglich wäre, die Fritzbox als Modem zu nutzen und die Open Sense als Firwall zu nutzen. Und auf der Firwall kann man ein Reverse Proxy installieren. Die konfigueriert man dann so, wenn du die Domain nc.domain aufrufst, dass die Pakete zum NC Server weitergeleitet werden, wenn du die Domain bbb.domain aufrufst, dass die Pakete dann zum BBB Server müssen. (Das kann die Fritzbox meines Wissens nicht.)

3. Lösung: (und auch meiner Meinung nach am besten)
   Hol dir für BBB einen externen root Server. Keine Probleme mit Paket Forwarding, ipV6 ohne Problem nutzbar (auch noch mehr Fehlermöglichkeiten eleminiert, deutlich bessere Anbindung ans Internet) Die paar € im Monat sind gut investiert wenn die Nutzung entsprechend gegeben ist.

Wie gesagt, Lösung 2 ist recht aufwendig, das bekommt man nicht in ein paar Minuten hin, dafür ist ab dem Zeitpunkt quasi alles möglich. Bei uns an der Schule läuft hinter der PF Sense dank dem HA Proxy mehrere unterschiedliche Server ohne Probleme. Wenn die Internetanbindung stimmt, werde ich unsere NC und Homepage Auf Schulservern betreiben, katuell geht das leider noch nicht. Die Fritzbox ist halt eine aufgeblasener Router im Heimanwenderbereich und kommt daher, auch prozessortechnisch gesehen, an seine Grenzen. (Meine FB daheim darf nur noch die Telefonie und TV machen, alles andere haben andere Geräte übernommen.)

So, schon wieder so ein langer Post. Aber du hast die Qual der Wahl jetzt…

Servus Sebastian!
Danke für die ausführliche Anleitung. Ich sehe schon, das wird ncoh spannend. Aber ein langweiliges Windows Netzwerk das schon seit ewigen Zeiten läuft bringt ja auch keinen Spaß mehr! Von wegen „Never touch a running system“, …
Heute quäle ich mich nicht mehr, aber morgen ist ein weiterer Tag!
Werte Grüße
Andreas

Nochmals Hallo!
Was ich vergessen habe zu erwähnen und wohl auch wichtig ist, dass natürlich sowohl im Schul- als auch Verwaltungsnetz jeweils ein WindowsServer (2012 r2) sitzt.
Eine gute Zeit!
Andreas

So,
je mehr man eintaucht in Euer Forum um so mehr lernt man und um so mehr merkt man wie viel man noch zu lernen hat. Jessas. Ich schließe mal das ganze hier und mache einen neuen Beitrag auf, mit der Hoffnung, dass ich wieder euere Hilfe in Anspruch nehmen kann. Es geht doch mehr ums Grundsätzliche!
Beste Grüße
Andreas

Hallo!
Weil ich das erst jetzt lese (sorry).
Ganz wichtig für BBB ist eine Dicke Upstream-Leitung. Da Du von einer Fritzbox sprichst, glaube ich nicht, dass das gegeben ist.
Wir hatten bei einer (allerdings Jitsi) Konferenz mit etwa 30 Lehrern (alle mit Bild) die Leitung von 40MBit hochzus dicht.
Ich würde auch (gerade wenn Du das für mehrere Schulen gleichzeitig machst) einen Server mit starker Anbindung mieten.
LG Max

Das, Max ist auch der Plan. Ich denke, nachdem eine Firma ja schon öfters genannt wurde, werde ich diese auch nutze. Ich muss jedoch noch ein bisschen Ordnung reinbringen, weil der ganze Spaß ja eigentlich mehrer Server benötigt, sofern ich das richtig verstanden habe. Danke für den erneuten Hinweis!
Beste Grüße
Andreas