ich komme mit den Firewalleinstellungen am opnSense für BigBlueButton nicht weiter:
An der Firewall vorbei (Client in der noproxy-Group) funktioniert alles, aber im normalen LAN nicht. Der BBB hängt mit öffentlicher IP im Internet. Ich habe als Regel im LAN eingetragen:
IPv4 UDP, in, Quelle jeglich, Ziel WAN Netzwerk (auch mit „jeglich“ probiert), Zielportbereich von 16384 bis 32768.
Die Regel steht ganz unten in der LAN-Regel-Liste.
BBB meldet beim Echotest immer Websocket-Fehler 1002. Was ist da noch falsch in der opnSense eingetragen?
Du könntest eine Regel erstellen, welche zu Deinem BBB Server den Traffic direkt erlaubt. Diese Regel dann vor oder hinter die noproxy Regel eintragen. Also z.B. noproxy-bbb.
in OPNsense unter Firewall - Aliase einen Alias z.B. „noproxy-bbb“ erstellen. Dort dann die Hosts/Subnetze rein, welche BBB nutzen sollen. Also so wie im NoProxy Alias.
Unter Firewall - Regeln - LAN dann eine Regel einfügen vor oder nach der existierenden „NoProxy“ Regel:
Protokoll: any
Quelle: noproxy-bbb
Ziel: „IP-Adresse Deines BBB Servers“
OK, so funktioniert es. Warum auch immer, denn ich dachte, ich hätte schonmal (ohne Alias-Gruppe) alles für unsere BBB-IP freigegeben. Aber wie üblich, wenn man viel ausprobiert hat: Weiß es nicht mehr sicher und habe gerade keine Zeit, es vertieft nachzustellen.
gibt es keine andere Lösung als diese? Das hieße, ALLE IP-Adressen der *.lehrerfortbildung-bw.de, hier einzutragen, wenn man die Moodle-Belwue-Landeslösung für BBB nutzen möchte. Gibts dafür eine offizielle Liste? Und was wenn die sich ändert? Ich habe keinen Weg gefunden das auf der opnSense per wildcard-FQDN abzubilden.
vielleicht könntest Du versuchen mit einer URL mit Regular Expressions für die Wildcard Domains in einer Squid Whitelist das zu behandeln. Also statt einem OPNsense iptables Filter.
Das hab ich gemacht und es auch auch nicht funktioniert.
Ich habs anders gelöst (und mich dabei vom Prinzip der zweistufigen FW verabschiedet). Bei mir macht die opnSense jetzt nur noch Routing (externes NAT ist aus). Die Zugangsregeln werden jetzt (wieder) auf einer richtigen Firewall abgebildet (welche übrigens Wildcard-FQDN beherrscht). So bleibt der Proxy-Zwang (mit Ausnahme von allen lehrerfortbildung-bw.de BBB-, TURN-, und SCALE-Servern) auch erhalten.