mal wieder ein Problem meinerseits.
Der Zugríff von Außerhalb via webRTC funktioniert noch nicht.
Alle Ports (laut Dokumentation) wurden zur Pascom weitergeleitet und ein Zugriff auf die Anlage ist generell möglich. Nach außen gibt es seitens der Firewall keine Einschränkungen. Jedoch bekomme ich die Meldungen, dass Audio und Video nicht zum Server übertragen werden können…
Der Kunde hat 2 Gateways, eines bei Unitymedia und eines bei der Deutschen Telekom. Die Schnittstellen der PBX (eine für extern und eine für intern) sind per Firewall an das Gateway der Telekom gebunden. Es wird für den Verkehr nach außen ausschließlich der Telekomanschluss verwendet.
Die Anlage:
Schnittstelle 1:
IP= x.x.x.50
FQDN=interne Adresse
ich habe das gleiche Problem. Wir wollen von der 17er auf 19er umsteigen, dafür habe ich die Anlage neu aufgesetzt.
Nachdem wir Probleme mit der Audioübertragung hatten haben wir das Netzwerk nach Howto eingerichtet, der Aufbau ist identisch mit dem von Flashtec. Intern funktioniert zwischen den Clients Audio und Video, sobald jedoch ein Client extern ist funktioniert nur noch Audio. Video über den Browser schlägt mit der Meldung wie von Flashtec gepostet fehl.
Firewall ist eine pfsense, es werden die TCP Ports 80, 443, 636, 5061, 5222, 19302 (inklusive UDP) und die UDP Ports 3478, 30000-35000 weitergeleitet.
Mir fällt schonmal auf habe Ports 35001…35500/udp für RTP offen. Da der Webclient aber 19302 nutzt ist das wohl in diesem Fall uninteressant.
Dann Sonderfall: Verwende den HAproxy der pfsense. Zertifikat ist von der pascom kopiert und im HAproxy hinterlegt (wenigestens Testweise). Der Browser meckert auch nicht und das Zertifikat ist jenes der pascom und gültig.
Diese Options werden zusätzlich vom HAproxy an pascom übergeben, andere Web-Apps funktionieren problemlos:
ich habe die Anlage heute hinter einen Lancom Router “gehängt”, leider zeigt sich hier das gleiche Fehlerbild. Meine Einstellungen scheinen, bis auf die RTP Ports, identisch zu sein. Vielleicht machen wir den gleichen Fehler?
Die Nat-Regeln sind alle “NAT Reflection = Use default”. Wir glauben, dass es vielleicht hier mit dem FF zu Problemen kommt, haben aber noch keine konkrete Idee.
STUN/TURN wird für den Webclient genutzt (Audio und Video, Port 3478/udp), die Streams werden als ChannelData TURN message übertragen.
Folgenden Ablauf habe ich beobachtet:
Webclient baut Verbindung zum Server auf (HTTPS@pascom) und lädt die App
Webclient öffnen einen Websocket (auf /api); Es werden Session-Daten übertragen (IPs usw.)
Webclient baut STUN-Session auf, es werden Audio und Video übertragen
Soweit so gut.
Nach 30 Sekunden wird die Verbindung vom Webclient geschlossen (STUN Refresh Request lifetime:0), pascom antwortet mit Success. Dies ist also kein Timeout auf STUN/TURN-Seite (evtl. mein HAproxy).
HAproxy “client timeout = 120000” (120s) eingestellt; Verbindung wird nach ~60 Sekunden sauber geschlossen (wie oben). Also eher client-seitiger Timeout (Webclient App?)
Was habe ich bis dahin gemacht? - NAT-Regel der Firewall geändert: 443/tcp -> IP der pascom vom 1. Interface (war 2. Interface) - NAT-Regel der Firewall geändert: 3478/udp -> IP der pascom vom 1. Interface (war 2. Interface)
@pascom
Ich wünsche mir ein Ping-Pong zwischen Webclient und pascom (evtl. im WebSocket, habe dies schon öfter so gesehen) um gewissen Server- und Client-Timeouts zu unterbinden. Wäre soetwas möglich?
Edit: Auf 19302/tcp oder /udp habe ich keine Daten gesehen (nur pascom Client?)
Edit: Im internen Netzwerk bleibt die Verbindung stabil (ohne NAT/Routing)
Edit: Im Gast-Netzwerk (via NAT-Reflection der pfsense) wird die Verbindung nach 60s abgebaut (ohne STUN/TURN timeout, wie oben)
Ich habe auch zwei Onsite Anlagen die das selbe Problem aufweisen.
Beide nutzen eine Kerio Firewall. Kein Proxy dazwischen. Genau das gleiche. Verbindung wird aufgebaut und nach ca. 30 Sekunden kommt die Fehlermeldung. Intern läuft alles auch über VPN.
Beide haben zwei Interfaces. 1 für intern (alte Snom Telefone) und eine für extern.
Habe bei einer Installation die ganze UDP Port Range aufgemacht. Seltsamerweise ging es dann mal kurz. Vermutlich ein Zufall . Hatte dann abgebrochen aus Zeitmangel.
ich habe heute das zweite Interface entfernt und die Anlage wieder auf die pfsense umgestellt. Seitdem funktioniert die Videotelefonie intern<->extern mittels pascom Client von Mobiltelefon und Notebook, den Webclient konnte ich noch nicht testen.
Gruß
Christian
Edit: mit dem neuen Edge erfolgreich getestet. Mit Firefox 68.9.0esr hatten wir kurz ein Bild, allerdings im späteren Testverlauf wurde der Gesprächspartner oder Desktop nicht mehr angezeigt sondern es war nur noch ein schwarzes Bild zu sehen.
Also seit dem Update auf 19.08 hat es bei unserer eigenen Pascom mit OPNSense keine Probleme mehr gegeben, nun geht auch FF als WEBRTC Browser.
Jedoch bei einem Kunden mit OPNSense und Pascom 19.08 Onsite klappt intern und extern mit dem Pascom Client (Video + Audio) aber von extern klappt WEBRTC nicht!
Wenn ich mich mit FF oder Chrome verbinde, sehe ich zwar das Video des Pascom Benutzers aber nach 10 Sekunden wird der Stream abgebrochen mit der Info, dass Audio nicht übertragen werden konnte. Was wir noch nicht verstehen, warum Video geht und Audio nicht?!
Randinfo:
Wenn wir uns mit WEBRTC verbinden und noch kein Pascom User hat die Session gestartet, hören wir auch nicht die Willkommensinfo sondern nur eine Rückkopplung.
Alle UDP und TCP Ports sind per DNAT offen und nach draußen blocken wir nix. Wir haben nur eine Schnitstelle.
Hier mal ein Vergleich
Blick auf dem Cluster wo die Pascom als VM läuft
Ich konnte das Problem mit einem DNS Eintrag auf dem lokalen Server lösen und arbeite somit nur noch mit einer Schnittstelle. Nach meiner Einschätzung wird der DNS-Name in der Konfiguration mit zwei Schnittstellen nicht sauber aufgelöst. Intern löst somit der interne DNS-Server auf, während extern bsw. Google-DNS verwendet wird. Seitdem gibt es bei mir keine Probleme mehr.