Настройки сети и федерации, серверов STUN/TURN

Напоминаем минимальные шаги для получения работающей системы корпоративной связи:

1. Подобрать машину (ПК, физический или виртуальный сервер) с подходящим оборудованием.

2. Установить TrueConf Server.

3. Войти в панель управления.

4. Зарегистрировать сервер.

5. Настроить HTTPS (он используется для многих ключевых функций, например, интеграции с ИИ-сервером, планирования конференций и пр.) и указать внешний адрес сервера (гостевой страницы).

6. Настроить доступность сервера для пользователей внутри корпоративной и если надо, из внешней сети (снаружи КСПД). ◀️ Вы находитесь здесь!

7. Создать учётные записи пользователей или интегрировать сервер со службой каталогов по протоколу LDAP/LDAPS.

8. Установить пользователям клиентские приложения и научить их подключаться к вашему серверу (см. документацию десктопного приложения).

В разделе Сеть можно установить некоторые настройки TrueConf Server, связанные с сетью:

• подключение к нему клиентских приложений и сторонних устройств (SIP, H.323 и т. п.);

• email оповещения для пользователей и администратора;

• связь с другими экземплярами TrueConf Server.

Настройки сети

В разделе Сеть → Настройки сети можно указать IP-адреса и порты, по которым скачиваемые с TrueConf Server клиентские приложения будут пытаться с ним соединиться. По умолчанию для этого используется только IP-адрес машины, на которой установлен TrueConf Server.

Клиентские приложения всегда подключаются к TrueConf Server через единственный порт TCP — по умолчанию 4307. Только он используется для передачи сигналов, данных аутентификации и аудио- и видеопотоков. Для отображения планировщика, перехода в расширенное управление конференцией и вызовов API также используется HTTPS порт (по умолчанию 443), подробнее в статье нашей базы знаний.

Вы можете указать другой порт при редактировании списка используемых IP-адресов.

Никакой UDP порт не может быть использован для коммуникации между TrueConf Server и клиентским приложением.

В списке Внутренние адреса находятся адреса и порты, которые сервер будет просматривать на предмет подключения клиентских приложений к нему. Это должны быть адреса сетевых интерфейсов машины, на которую установлен TrueConf Server, или её внутреннее DNS-имя, которое резолвится на один из сетевых интерфейсов по IP. При выставленном флажке Использовать все IP-адреса (по умолчанию он отмечен) список составляется автоматически из всех таких адресов, в том числе и виртуальных.

Чтобы редактировать список Внутренние адреса:

1. Снимите флажок Использовать все IP-адреса.

2. Для изменения параметров конкретного соединения просто нажмите на строку с этим адресом.

3. Используйте кнопки внизу списка для добавления нового адреса, сохранения или сброса изменений.

Адреса из списка Внешние адреса в зашифрованном виде добавляются к названию установщика TrueConf для Windows который скачивается с гостевой страницы сервера (см. настройки приложений). Эти адреса и будут использованы при его первом запуске. Пользователи вашего сервера и гости которые подключаются в приложении к вебинару, не смогут подключиться к серверу если внешний адрес будет им не доступен (но если они укажут вручную корректный адрес в настройках приложения, то подключатся). Потому мы рекомендуем в списке Внешние адреса указывать адреса, доступные всем пользователям как внутри корпоративной сети, так и снаружи. В этот список можно включать адреса, с которых настроена переадресация на внутренние адреса, IP-адрес вашего NAT, DNS-имя, либо адреса, на которые в будущем планируется перенести TrueConf Server (чтобы после переноса скачанные ранее клиентские приложения могли подключиться к серверу через новый IP-адрес). Если сервер предназначен только для работы в локальной сети, то использовать данный список нет необходимости.

Например, если вы планируете в будущем миграцию сервера на другие IP-адреса, добавьте эти IP-адреса в список Внешние адреса. Это поможет клиентским приложения обнаружить новый адрес при первом же подключении после переноса сервера и использовать его далее.

Чтобы редактировать список Внешние адреса, отметьте флажок Указать.

После того, как вы поменяли адрес на внешний, перейдите в раздел Веб → Настройки панели управления сервера и измените внешний адрес веб-страницы на публичный IP (который вы указали в списке Внешние адреса), затем перезапустите сервер, чтобы внешние пользователи могли подключиться извне.

В данной документации не содержится инструкций, касающихся настройки переадресации TCP-портов или DNS-имён. Вы можете получить подобную информацию в документации к используемому сетевому оборудованию.

Федерация

Режим федерации позволяет пользователям TrueConf Server звонить и связываться в конференциях с пользователями других TrueConf Server, а также писать сообщения в чатах. Федерация доступна только в полной версии TrueConf Server (например, при покупке дополнительных лицензий любого типа). Количество серверов, которое можно объединить в федерацию, не ограничено. Ограничения на проведение групповых конференций будут соответствовать ограничениям на TrueConf Server, инициирующем соединение.

Требования для корректной работы федерации:

1. Сервер нужно зарегистрировать на существующее DNS имя, или указать реальный адрес сервера с помощью SRV записей DNS.

2. Каждый из федеративных серверов должен быть доступен по своему DNS (FQDN) имени, указываемому при регистрации, другому серверу по основному порту для протокола TrueConf (по умолчанию 4307) и по HTTPS порту, по умолчанию 443. Если же на стороне одного из серверов настроен другой HTTPS порт или другой порт для протокола связи, то в сторону этого сервера нужен доступ именно по этому порту вместо стандартного.

3. Каждый из федеративных серверов должен быть доступен по HTTPS порту (по умолчанию 443) всем пользователям обоих серверов (участие которых в звонках и конференциях предполагается) по своему доменному имени, совпадающему с внешним именем сервера, указываемом при его регистрации.

4. ВНИМАНИЕ! В случае использования сервера версии ниже 5.4.0 требуется также чтобы он был доступен всем федеративным пользователям по основному порту для протокола TrueConf (по умолчанию 4307).

Подробнее о том, как клиентское приложение может найти сервер, см. в разделе о настройке автоматического подключения.

Федерация должна быть настроена на обоих серверах, чтобы они были в итоге доступны друг другу в соответствии с указанными выше правилами. Для этого:

1. В выпадающем списке выберите режим работы федерации:

   • Отключена;

   • Разрешена для серверов из белого списка – то есть федерация доступна всем серверам, указанным в списке, и только им;

   • Разрешена, за исключением серверов из черного списка – федерация с сервером доступна любым серверам, не указанным в этом списке.

2. С помощью кнопки Добавить занесите доменные имена (FQDN) требуемых серверов в тот или иной список в зависимости от выбранного выше режима.

Для работы в федерации не надо указывать IP-адреса, только DNS (FQDN) имена. При этом поддерживаются маски с символом "звёздочки" *, например: *.example.com, v*.example.com, example.*, *.example.*.

3. Нажмите кнопку Применить для перезапуска TrueConf Server и сохранения изменений.

Примеры работы федерации

Доступ к чату виртуальной комнаты у федеративных пользователей сохраняется, если они были добавлены в неё как участники при её создании или редактировании, но не при добавлении "на лету" уже после начала мероприятия.

Рассмотрим несколько примеров.

Пример 1

Для настройки федерации с другим экземпляром TrueConf Server, например, videoserver.example.com, требуется:

1. Добавить videoserver.example.com в белый список.

2. Активировать федерацию на стороне videoserver.example.com одним из способов:

   • добавить в его белый список доменное имя вашего сервера;

   • разрешить федерацию со всеми серверами, не указанными в чёрном списке, и не добавлять туда ваш сервер.

3. Убедиться, что оба сервера и подключаемые к ним клиентские приложения доступны друг другу по доменным именам.

Пример 2

Если добавить в чёрный список сервер videoserver.example.com, то вы таким образом запретите все вызовы между абонентами вашего сервера и всеми пользователями с ID вида id@videoserver.example.com.

Как происходит подключение при федерации

Последовательность подключения к конференции, в том числе при использовании федерации, подробно описана далее в разделе "Страница конференции".

Настройки TURN/STUN серверов

Если требуется, в разделе Сеть → TURN/STUN укажите адреса STUN/TURN серверов для тонкой настройки обхода NAT.

Подробнее найти информацию о работе WebRTC можно в статье на сайте и в открытом курсе о ВКС в нашем центре сертификации.

При добавлении STUN/TURN нужно учитывать как это работает:

1. TrueConf Server выступает одновременно в качестве сервера авторизации и WebRTC-клиента (как участник конференции).

2. Для STUN либо TURN сервера можно задать разный параметр Назначение: для TrueConf Server, для браузера (WebRTC клиента), для клиентских приложений Труконф.

3. В зависимости от назначения STUN/TURN будет разный результат его применения:

   • если STUN/TURN назначен для TrueConf Server, то это позволит TrueConf Server получить внешний IP адрес;

   • если STUN/TURN назначен для WebRTC клиента, то участники с браузеров смогут получить внешний IP адрес;

   • если STUN/TURN назначен для нативного приложения Труконф, то участники с приложений (декстопных, мобильных, программного терминала TrueConf Room и приложения TrueConf Kiosk) смогут получить внешний IP адрес.

4. STUN/TURN может быть назначен одновременно для TrueConf Server и для WebRTC клиента (выбрано два пункта в выпадающем списке Назначение).

5. Может быть добавлена только 1 конфигурация с назначением на TrueConf Server.

6. Количество STUN/TURN серверов с назначением на браузер и клиентские приложения Труконф не ограничено.

Если роль STUN/TURN сервера назначена для пользователей (браузер либо нативное приложение), то такие пользователи подключаются к серверу по следующему алгоритму:

1. Сначала делается попытка подключиться по локальным адресам TrueConf Server.

2. Если не получается, то браузерное либо нативное приложение пробует использовать внешние адреса, которые получает с помощью STUN серверов.

3. Если и п.2 не работает, то приложение пробует установить соединение с использованием TURN серверов для проксирования защищенного DTLS-трафика.