Firewallguide
Info
Dieser Abschnitt richtet sich an Administrator:innen
Nachfolgend schildern wir die notwendigen Freigaben und Konfigurationen für Firewalls in Schulen und Unternehmen, die Dienste von infra.run einsetzen.
Freischalten von Ports
Um eine möglichst latenzarme Kommunikation zu gewährleisten, verwendet BigBlueButton RTP Streams auf den Ports 16384 - 32768 zur Übertragung von Ton und Video.
Folgende Ports müssen freigeschaltet sein:
- Ports 80/TCP und 443/TCP ausgehend (für HTTP/HTTPS)
Folgende Ports sollten für eine latenzärmere Erfahrung freigeschaltet sein:
- Ports 16384-32768/UDP ausgehend (für Audio- sowie Videoströme). Siehe unten.
Sollte die Freigabe aller UDP-Ports aus Policy-Gründen nicht möglich sein, so kommt das TURN-Verfahren zum Einsatz. Hierbei werden die Daten der Teilnehmer über einen TURN-Server geleitet. Zu diesem wird eine Verbindung auf Port 443 initiiert. Notfalls genügt also die Freigabe des Ports 443/TCP ausgehend. Dies erhöht jedoch die Latenz des Konferenzteilnehmers. Sollte hier ein HTTP-Proxy zum Einsatz kommen, beachten Sie bitte auch den nachfolgenden Abschnitt.
Freischalten von IP-Bereichen
Die BigBlueButton-Server von infra.run sind auf mehrere Rechenzentren verteilt und werden regelmäßig ergänzt und ausgetauscht. Daher ist es nicht empfohlen, IP-Bereiche pauschal nur gegenüber diesen IPs freizuschalten. Zur Minimierung Umweges über TCP via unseren TURN-Servern können Sie allerdings folgende IPs für UDP-Verkehr freischalten:
45.92.48.0/22
185.145.199.0/24
2001:678:f74::/48
2a00:c320:410::/48
So ist gewährleistet, dass im Normalfall für die Nutzung unserer BBB-Dienste nicht auf TURN-Server zurückgegriffen werden muss.
Einige Firewalls erlauben es, IPs dynamisch über ihre Reverse-DNS-Auflösung freizuschalten. Verwenden Sie hier die Namensräume *.bbb.infra.run
sowie *.turn.infra.run
, wenn sichergestellt ist, dass die Firewall die IPs der DNS-Einträge nach dem Ablauf ihrer TTL verwirft und neu lädt. Versuchen Sie keinesfalls, IPs einzeln freizuschalten!
Hinweise bei Einsatz von Proxyservern
Beim Einsatz von Proxies muss auf folgende Einstellungen geachtet werden:
- Es kann passieren, dass auf Port 443 plaintext HTTP gesprochen wird (Teil des TURN fallbacks, die Nutzdaten sind weiter verschlüsselt!). Dies muss die Firewall akzeptieren.
- Langlebige Verbindungen müssen erlaubt sein.