Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Coturn hinter pfSense (NAT)

    Deutsch
    4
    16
    149
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pixel24 last edited by

      Hallo zusammen,

      ich verbringe bereits Tage damit den eigenen Turn-Server (für Kopano Meet) hinter der pfSense erreichbar zu machen. Der Turn-Server soll von extern erreichbar sein damit Verbindungen der Clients. Egal ob diese im LAN und/oder im LAN sind funktionieren.

      Mein allererstes Problem ist dass ich unterschiedliche Infos im Web finde welche Ports denn genau in welcher Richtung benötigt werden. Somit stocher ich hier nur im Trüben.

      Kurz zur Umgebung. Zwischen WAN (feste IP=10.20.30.40) und LAN (192.168.24.0(24) hängt die pfSense und macht die Einwahl (Glasfaser). Ich nutze den HA-Proxy für HTTPS-Offloading mit ein shared frontend um eben mehere Server hinter der pfSense unter 443 zu erreichen. Dies ist nicht relevant sondern lediglich ein Randinfo.

      Im LAN steht der Server 192.168.24.6 auf dem meine Video-Konverenzsoftware (Kopano Meet) wie auch der Turn-Server (COTURN) installiert ist. Meine externe Domain (bei All-Inkl) ist externaldomain.de. Damit ich den Dienst direkt ansprechen kann habe ich beim Profider einen A-Record gesetzt:

      turn.externaldomain.de -> 10.20.30.40

      Die /etc/turnserver.conf

      listening-ip=192.168.24.6
relay-ip=192.168.24.6
external-ip=10.20.30.40
listening-port=3478
fingerprint
use-auth-secret
static-auth-secret=237e*****************************************f1
realm=turn.externaldomain.de
total-quota=100
bps-capacity=0
cert=/etc/univention/ssl/turn.externaldomain.de/cert.pem
pkey=/etc/univention/ssl/turn.externaldomain.de/private.key
CA-file=/etc/univention/ssl/ucsCA/CAcert.pem
cipher-list="ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384"
no-loopback-peers
no-multicast-peers

      In meinem Kopano-Meet habe ich entsprechend den Turn-Server konfiguriert:

      18ab13e3-7876-4851-b987-9a3844f4a23d-grafik.png

      In der pfSense habe ich eigentlich nur herum probiert da ich wie Eingangs erwähnt nichts sicher bin was dieser Dienst für den Betrieb hinter einer Firewall benötigt.

      Im HA-Proxy habe ich ein Backend angelegt:

      e6aac1ae-8858-4396-b97f-92be7f6ea49b-grafik.png

      Und ein Frontend:

      39af29a2-d5c5-40e8-97de-096a4ad2b479-grafik.png
      c9a50fa0-c89e-4411-b9ee-b74cb539cdde-grafik.png

      Weiter habe ich einen Port-Alias angelegt:

      bba1689e-4a4e-4923-ae3c-14fa0b20e759-grafik.png

      Und ausgehend:

      f24d9485-98ff-412e-89a9-84208d67f781-grafik.png

      Wenn ich nun einen externen User (Handy über 4G) in Meet mit einem internen Benutzer (Browser im LAN) verbinde kommt kein und kein Ton was auf den nicht erreichbaren Turn-Server schließen lässt.

      Hat jemand Erfahrung mit solch einem Setup?

      Viele Grüße
      pixel24

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @pixel24 last edited by

        @pixel24 said in Coturn hinter pfSense (NAT):

        Damit ich den Dienst direkt ansprechen kann habe ich beim Profider einen A-Record gesetzt:
        turn.externaldomain.de -> 10.20.30.40

        Dies ist eine private IP-Adresse (RFC 1918). Diese wird im Internet nicht geroutet.

        Habe Zweifel, dass irgendwelche anderen Dienste über diese IP von außen erreichbar sind.

        Bekommt die pfSense direkt deine "WAN"-IP, oder ist da noch ein Router des ISP vorgeschaltet?

        JeGr 1 Reply Last reply Reply Quote 0
        • JeGr
          JeGr LAYER 8 Moderator @viragomann last edited by

          @viragomann said in Coturn hinter pfSense (NAT):

          @pixel24 said in Coturn hinter pfSense (NAT):

          Damit ich den Dienst direkt ansprechen kann habe ich beim Profider einen A-Record gesetzt:
          turn.externaldomain.de -> 10.20.30.40

          Dies ist eine private IP-Adresse (RFC 1918). Diese wird im Internet nicht geroutet.

          Habe Zweifel, dass irgendwelche anderen Dienste über diese IP von außen erreichbar sind.

          Bekommt die pfSense direkt deine "WAN"-IP, oder ist da noch ein Router des ISP vorgeschaltet?

          Da ich die Vermutung habe, dass 10.20.30.40 einfach ein Platzhalter statt der externen public IPv4 ist:

          könnten wir statt dessen bitte eine davon verwenden:

           The blocks 192.0.2.0/24 (TEST-NET-1), 198.51.100.0/24 (TEST-NET-2),
 and 203.0.113.0/24 (TEST-NET-3) are provided for use in documentation.

          Ich muss das mal anpinnen in nem Beitrag. Wenn ihr eure externe IPv4 unkenntlich machen wollt in der Fehlerbeschreibung, dann lasst am Einfachsten die letzte Stelle intakt (bspw. bei 45.123.213.194 eben die .194) und schreibt einfach eins der TEST-NETs davor. Also bspw. 203.0.113.194. Das "sieht" dann nach echter public IP aus, macht uns das Debugging einfacher (weil wir wissen was gemeint ist) und wenn ein Troll meint "ja looool dann häck0r ich dich" - landet er im Nirvana 😁

          Wenns natürlich ne private IP sein sollte, dann bitte sagen :)

          P 1 Reply Last reply Reply Quote 0
          • P
            pixel24 @JeGr last edited by

            ja, die 10.20.30.40 ist ein Platzhalter. Also würde die Angabe korrekt lauten:

            203.0.113.207

            Oder habe ich das falsch verstanden? Meine feste IP hier endet mit 207

            JeGr 1 Reply Last reply Reply Quote 0
            • JeGr
              JeGr LAYER 8 Moderator @pixel24 last edited by

              @pixel24 Fürs Beispiel ja, aber jetzt wissen wir ja, dass die 10.20.30.40 ein Platzhalter und eigentlich public ist :) Und ja ich hab das gerade nochmal in meinem "Hilfe" Thread der gepinnt ist kurz zusammengefasst.

              Auf dem WAN hast du die IP dann auch statisch konfiguriert oder bekommst du die per DHCP? Und gibts da noch mehr oder nur eine?

              P 1 Reply Last reply Reply Quote 0
              • P
                pixel24 @JeGr last edited by

                Ja, diese ist fest und am pfSense WAN-Interface auch so eingerichtet.

                1 Reply Last reply Reply Quote 0
                • nonick
                  nonick last edited by nonick

                  SSL wäre für den Turn Server nicht unbedingt notwendig, da WebRTC grundsätzlich immer verschlüsselt ist. Manche machen das über Port 443 um WebRTC zu verschleiern.

                  Für den Turn Server benötigst du auch nur einen Port. Standard wäre bei zusätzlicher SSL Verschlüsselung 5349. Du hast in auf Port 3478 (ohne SSL) konfiguriert, was du aber lassen kannst. NAT Ausgehend benötigst du gar nicht, da alles über den HAProxy läuft.

                  Die Firewall Regeln müssten dann so aussehen (in deinem Fall Port 3478):

                  WAN Interface
                  Firewall-WAN.png

                  LAN Interface
                  Firewll-LAN.png

                  Die Turn Server und HAProxy Konfiguration sieht soweit OK aus, vorausgesetzt die richtige öffentliche IP-Adresse ist gesetzt.

                  Im HAProxy solltest du noch ein paar zusätzliche Einstellungen vornehmen, um Verbindungsabbrüche zu vermeiden.

                  Frontend
                  Advanced settings
                  Client timeout 3600000

                  Advanced pass thru
                  option clitcpka

                  Backend
                  Timeout / retry settings
                  Connection timeout 60000
                  Server timeout 3600000

                  Backend pass thru
                  option redispatch
                  option srvtcpka

                  Diese Timeout Werte sind nur Beispiele und können angepasst werden.

                  P 1 Reply Last reply Reply Quote 0
                  • P
                    pixel24 @nonick last edited by

                    ich habe jetzt nochmal alles entfernt was ich im Zuge des Turn-Server an der pfSense konfiguriert habe.

                    Die HA-Proxy-Konfiguration sieht nun so aus:

                    80e594f8-ccf3-4213-975b-ee2da2a6559f-grafik.png
                    42482131-5cab-4f40-82d4-e82e2db01cb5-grafik.png
                    db492a38-afd0-4af2-ac07-2125410f2862-grafik.png
                    d1c2711c-12f2-40d2-b6fe-ca6c2a092d42-grafik.png
                    3ab2a53a-21f0-42a3-80c1-27d0cab1b949-grafik.png

                    Anstatt externaldomain steht natürlich die richtige DE-Domain drin.

                    NAT: Portweiterleitung und Ausgehend ist nun wieder wie zuvor:

                    c4218b6b-a456-4366-b764-dda154c1acf2-grafik.png

                    88ab5d93-759b-49ad-984b-859f190e2b0a-grafik.png

                    wobei die externe (feste IP des lokalen Glasfaser-Anschluss) wie o.g. durch einen Platzhalter ersetzt wurde.

                    Die Firewall-Regeln:

                    368eefdf-9f6c-4d3f-9a25-c6ae6ad60369-grafik.png

                    79414906-64e7-4e0e-bcc2-8b6b0e16b36e-grafik.png

                    Am Ergebnis hat sich leider nichts geändert. Die Verbindung zwischen zwei Clients, einer im LAN also da wo der Conturn steht und der andere extern, kommst zustande aber ohne Bild&Ton.

                    P 1 Reply Last reply Reply Quote 0
                    • P
                      pixel24 @pixel24 last edited by

                      Gibt es irgendeine Möglichkeit die in Meet definierten Daten:

                      57b74585-89d0-4fca-b28c-9e35940eeb5f-grafik.png

                      von extern mittels Browser oder Linux-Command zu testen? Damit ich den Fehler weiter eingrenzen kann.

                      nonick 1 Reply Last reply Reply Quote 0
                      • nonick
                        nonick @pixel24 last edited by nonick

                        @pixel24 Eine Idee wäre noch wenn du bei der Turn Server Adresse TCP mitgibst, nicht das Kopano Meet eine UDP Verbindung versucht.

                        turn:turn.externaldomain.de:3478?transport=tcp

                        Vielleicht auch das mal ausprobieren.
                        turns:turn.externaldomain.de:3478?transport=tcp

                        P 1 Reply Last reply Reply Quote 0
                        • P
                          pixel24 @nonick last edited by

                          @nonick ja, das hatte ich auch schon probiert aber ändert nichts.

                          Gibt es auf der pfSense die Möglichkeit den Netzwerverkehr zu protokollieren um zu sehen ob da überhaupt was passiert bzw. zu sehen wo es klemmt?

                          P nonick 2 Replies Last reply Reply Quote 0
                          • P
                            pixel24 @pixel24 last edited by

                            Im Kopano-Forum bzw. in der Readme (link dort) wird davon gesprochen dass doch ausgehende Ports 1:1 gemappt werden müssen. Siehe:

                            https://forum.kopano.io/topic/3597/coturn-meet-behind-a-firewall-lan-nat/7

                            Nur welche POrts sind das?

                            1 Reply Last reply Reply Quote 0
                            • nonick
                              nonick @pixel24 last edited by nonick

                              @pixel24 Du kannst Pakete in der Sense mitschneiden. Siehe unter Diagnose / Paketmitschnitt.

                              Wenn unter WebRTC ausschließlich Peer-to-Peer Verbindungen genutzt werden, dann benötigst du keinen Turn Server, dafür aber eventuell NAT Port Mapping. Geht alles über Turn, dann ist das eigentlich nicht notwendig.

                              Man kann aber auch beides nutzen, p2p und Turn.

                              Nur welche POrts sind das?

                              Genau das ist das unschöne daran, das können eigentlich alle Ports über 1024 sein.

                              P 1 Reply Last reply Reply Quote 0
                              • P
                                pixel24 @nonick last edited by

                                ich habe mal weiter herum probiert. Die oben gezeigte HA-Proxy (Frontend & Backend) raus geschmissen und einen HTTPS-Offload rein gemacht wie ich es für alle Server nutze die ich per HTTPS von außen differenziert unter der Subdomain ansprechen möchte.

                                Also https://turn.externaldomain.de auf die 192.168.24.6 geleitet.

                                Da im Kopano-Forum geschrieben haben dass alle notwenigen Ports Ein- und ausgehend gemappt werden müssen habe ich ich folgenden Alias definiert:

                                0cf5eb1e-408b-48a4-8b56-01605734d204-grafik.png

                                Port-Forwarding:
                                d9f79cc2-4926-4510-9d78-afec10e5b02c-grafik.png

                                Ausgehend:

                                d60b7861-5398-43fd-8fc6-2c3dd45ba85b-grafik.png

                                Während des Verbindungs-Aufbau (Handy LTE <-> PC LAN) habe ich zweimal Paketmittschnitte gemacht:

                                1 x Schnittstelle WAN, Host-Adresse IP des Handys im O2-Netz
                                IP's habe ich verändert.
                                Handy: 46.125.167.173
                                WAN (pfSense): 203.0.113.207

                                12:16:39.278724 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 209
12:16:39.278773 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:39.280156 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 224
12:16:39.321708 IP 46.125.167.173.62872 > 203.0.113.207.443: tcp 0
12:16:39.321769 IP 203.0.113.207.443 > 46.125.167.173.62872: tcp 0
12:16:39.323058 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:39.364637 IP 46.125.167.173.62872 > 203.0.113.207.443: tcp 0
12:16:39.394599 IP 46.125.167.173.62872 > 203.0.113.207.443: tcp 541
12:16:39.394618 IP 203.0.113.207.443 > 46.125.167.173.62872: tcp 0
12:16:39.394901 IP 203.0.113.207.443 > 46.125.167.173.62872: tcp 137
12:16:39.441137 IP 46.125.167.173.62872 > 203.0.113.207.443: tcp 0
12:16:39.446451 IP 46.125.167.173.62872 > 203.0.113.207.443: tcp 51
12:16:39.446467 IP 203.0.113.207.443 > 46.125.167.173.62872: tcp 0
12:16:39.455241 IP 46.125.167.173.62872 > 203.0.113.207.443: tcp 1348
12:16:39.455302 IP 203.0.113.207.443 > 46.125.167.173.62872: tcp 0
12:16:39.455345 IP 46.125.167.173.62872 > 203.0.113.207.443: tcp 857
12:16:39.455376 IP 203.0.113.207.443 > 46.125.167.173.62872: tcp 0
12:16:39.460902 IP 203.0.113.207.443 > 46.125.167.173.62872: tcp 145
12:16:39.566160 IP 46.125.167.173.62872 > 203.0.113.207.443: tcp 0
12:16:41.343645 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 370
12:16:41.395710 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:41.421319 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 311
12:16:41.421402 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.525754 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.525773 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.525785 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 811
12:16:41.528503 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 446
12:16:41.573472 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:41.573493 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.573514 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.573536 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.573549 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.617048 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:41.617069 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.617097 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.617111 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 119
12:16:41.665175 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:41.687554 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 299
12:16:41.687584 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.687603 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 37
12:16:41.687613 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.687821 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 1348
12:16:41.687844 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.687857 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 1348
12:16:41.687866 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.687878 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 357
12:16:41.687887 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.687898 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 398
12:16:41.687907 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.688726 IP 46.125.167.173.39031 > 203.0.113.207.3478: tcp 0
12:16:41.688888 IP 203.0.113.207 > 46.125.167.173: ICMP 203.0.113.207 tcp port 3478 unreachable, length 68
12:16:41.693398 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 409
12:16:41.693475 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.805962 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.806001 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.806015 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1095
12:16:41.806395 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 446
12:16:41.806878 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 446
12:16:41.807055 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 457
12:16:41.807381 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 874
12:16:41.808616 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 446
12:16:41.849334 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:41.849355 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1348
12:16:41.849383 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 1285
12:16:41.855133 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:41.879460 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 78
12:16:41.879490 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.880466 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 84
12:16:41.896953 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:41.903448 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 37
12:16:41.903475 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.914017 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 1348
12:16:41.914047 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.914068 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 1348
12:16:41.914087 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.914100 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 507
12:16:41.914109 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:41.953378 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:46.527907 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 355
12:16:46.623331 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0
12:16:46.902676 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 78
12:16:46.902765 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 0
12:16:46.903970 IP 203.0.113.207.443 > 46.125.167.173.58284: tcp 84
12:16:46.950437 IP 46.125.167.173.58284 > 203.0.113.207.443: tcp 0

                                1 x Schnittstelle LAN, Host-Adresse : IP (LAN) des Turn-Servers
                                IP des TURN-Server (unverändert): 192.168.24.6
                                IP (LAN) der pfSense (unverändert): 192.168.24.254
                                WAN-IP de pfSense (verändert): 203.0.113.207

                                12:17:35.788439 IP 192.168.24.254.63171 > 192.168.24.6.443: tcp 77
12:17:35.789392 IP 192.168.24.6.443 > 192.168.24.254.63171: tcp 83
12:17:35.789421 IP 192.168.24.254.63171 > 192.168.24.6.443: tcp 0
12:17:36.902558 IP 192.168.24.254.28110 > 192.168.24.6.443: tcp 78
12:17:36.903635 IP 192.168.24.6.443 > 192.168.24.254.28110: tcp 84
12:17:36.903662 IP 192.168.24.254.28110 > 192.168.24.6.443: tcp 0
12:17:37.370856 IP 192.168.24.254.28110 > 192.168.24.6.443: tcp 209
12:17:37.371946 IP 192.168.24.6.443 > 192.168.24.254.63171: tcp 333
12:17:37.371976 IP 192.168.24.254.63171 > 192.168.24.6.443: tcp 0
12:17:37.371988 IP 192.168.24.6.443 > 192.168.24.254.28110: tcp 224
12:17:37.372002 IP 192.168.24.254.28110 > 192.168.24.6.443: tcp 0
12:17:37.664637 IP 192.168.24.254.26865 > 192.168.24.6.443: tcp 0
12:17:37.664877 IP 192.168.24.6.443 > 192.168.24.254.26865: tcp 0
12:17:37.664913 IP 192.168.24.254.26865 > 192.168.24.6.443: tcp 0
12:17:37.664954 IP 192.168.24.254.26865 > 192.168.24.6.443: tcp 531
12:17:37.665045 IP 192.168.24.6.443 > 192.168.24.254.26865: tcp 0
12:17:37.665398 IP 192.168.24.6.443 > 192.168.24.254.26865: tcp 142
12:17:37.665415 IP 192.168.24.254.26865 > 192.168.24.6.443: tcp 0
12:17:37.665538 IP 192.168.24.254.26865 > 192.168.24.6.443: tcp 51
12:17:37.665598 IP 192.168.24.254.26865 > 192.168.24.6.443: tcp 1448
12:17:37.665610 IP 192.168.24.254.26865 > 192.168.24.6.443: tcp 792
12:17:37.665663 IP 192.168.24.6.443 > 192.168.24.254.26865: tcp 0
12:17:37.669867 IP 192.168.24.6.443 > 192.168.24.254.26865: tcp 145
12:17:37.669897 IP 192.168.24.254.26865 > 192.168.24.6.443: tcp 0
12:17:39.983692 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 0
12:17:39.983739 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 0
12:17:39.983892 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 0
12:17:39.984102 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 266
12:17:39.984120 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 0
12:17:39.984138 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 0
12:17:39.984163 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 0
12:17:39.984253 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 0
12:17:39.984473 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 266
12:17:39.984485 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 0
12:17:39.985555 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 1448
12:17:39.985573 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 1448
12:17:39.985589 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 16
12:17:39.985647 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 0
12:17:39.985658 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 0
12:17:39.986631 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 126
12:17:39.986644 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 0
12:17:39.987061 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 1448
12:17:39.987077 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 1448
12:17:39.987092 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 16
12:17:39.987151 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 0
12:17:39.987162 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 0
12:17:39.987340 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 51
12:17:39.987604 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 163
12:17:39.987622 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 0
12:17:39.987737 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 0
12:17:39.987819 IP 192.168.24.6.443 > 192.168.24.254.50704: tcp 0
12:17:39.987833 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 0
12:17:39.987906 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 531
12:17:39.987974 IP 192.168.24.6.443 > 192.168.24.254.50704: tcp 0
12:17:39.988160 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 126
12:17:39.988176 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 0
12:17:39.988325 IP 192.168.24.6.443 > 192.168.24.254.50704: tcp 142
12:17:39.988336 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 0
12:17:39.988414 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 51
12:17:39.988568 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 51
12:17:39.988600 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 220
12:17:39.988611 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 163
12:17:39.988623 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 0
12:17:39.988672 IP 192.168.24.6.443 > 192.168.24.254.50704: tcp 0
12:17:39.988703 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 0
12:17:39.988789 IP 192.168.24.6.443 > 192.168.24.254.55406: tcp 0
12:17:39.988802 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 0
12:17:39.988860 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 531
12:17:39.988948 IP 192.168.24.6.443 > 192.168.24.254.55406: tcp 0
12:17:39.989207 IP 192.168.24.6.443 > 192.168.24.254.55406: tcp 142
12:17:39.989223 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 0
12:17:39.989352 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 51
12:17:39.989383 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 220
12:17:39.989450 IP 192.168.24.6.443 > 192.168.24.254.55406: tcp 0
12:17:39.992423 IP 192.168.24.6.443 > 192.168.24.254.55406: tcp 805
12:17:39.992456 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 0
12:17:39.992608 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 805
12:17:39.992817 IP 192.168.24.6.443 > 192.168.24.254.50704: tcp 805
12:17:39.992835 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 0
12:17:39.992933 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 805
12:17:39.993131 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 151
12:17:39.993150 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 0
12:17:39.993243 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 208
12:17:39.993478 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 151
12:17:39.993500 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 0
12:17:39.993578 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 208
12:17:39.994811 IP 192.168.24.6.443 > 192.168.24.254.55406: tcp 1093
12:17:39.994837 IP 192.168.24.254.55406 > 192.168.24.6.443: tcp 0
12:17:39.994954 IP 192.168.24.6.443 > 192.168.24.254.50704: tcp 1093
12:17:39.994965 IP 203.0.113.207.443 > 192.168.24.6.37436: tcp 1093
12:17:39.994973 IP 192.168.24.254.50704 > 192.168.24.6.443: tcp 0
12:17:39.995080 IP 203.0.113.207.443 > 192.168.24.6.36372: tcp 1093
12:17:40.038794 IP 192.168.24.6.36372 > 203.0.113.207.443: tcp 0
12:17:40.038814 IP 192.168.24.6.37436 > 203.0.113.207.443: tcp 0
12:17:40.054409 IP 192.168.24.254.63171 > 192.168.24.6.443: tcp 332
12:17:40.055298 IP 192.168.24.6.443 > 192.168.24.254.28110: tcp 370
12:17:40.055314 IP 192.168.24.254.28110 > 192.168.24.6.443: tcp 0
12:17:40.098521 IP 192.168.24.6.443 > 192.168.24.254.63171: tcp 0
12:17:40.125868 IP 192.168.24.254.28110 > 192.168.24.6.443: tcp 311
12:17:40.126686 IP 192.168.24.6.443 > 192.168.24.254.63171: tcp 346
                                nonick 1 Reply Last reply Reply Quote 0
                                • nonick
                                  nonick @pixel24 last edited by nonick

                                  @pixel24 said in Coturn hinter pfSense (NAT):

                                  Die oben gezeigte HA-Proxy (Frontend & Backend) raus geschmissen und einen HTTPS-Offload rein gemacht wie ich es für alle Server nutze die ich per HTTPS von außen differenziert unter der Subdomain ansprechen möchte.

                                  Das wird nicht funktionieren, da es sich beim Turn Server um eine TLS Verbindung handelt und nicht um eine HTTPS.

                                  P 1 Reply Last reply Reply Quote 0
                                  • P
                                    pixel24 @nonick last edited by

                                    Das bedeutet 3478 TCP handhabe ich mittels Proxy damit er auf der 192.168.24.6 landet:
                                    ca84e889-cc0c-4002-8c95-2f41cfbcbca7-grafik.png
                                    87a33898-06fd-45e6-8c15-4236ae750014-grafik.png
                                    dc24f810-d56d-4c7e-a0f8-57baea46d513-grafik.png
                                    403e6e4c-f933-49d2-a23d-17c3f640818c-grafik.png
                                    28213c01-710a-4ade-a1f5-9424b8fc2690-grafik.png

                                    Damit ich den Turn-Server 3478 TCP aus dem LAN unter turn.externaldomain.de erreiche:

                                    4abe43c1-8ed2-46ac-a5b5-3510b8b14ebe-grafik.png

                                    Einen Alias für die UDP-Ports:

                                    6e2357b8-36c0-445f-9b73-43fd2c5d5a1f-grafik.png

                                    Diese per Port-Forwarding auf den lokalen Server:

                                    dcc25821-b295-43ce-981c-804cfab628de-grafik.png

                                    Und ausgehend:

                                    3a47f2c1-2012-4dba-89f6-9e766e4178da-grafik.png

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post

                                    Products

                                    • Platform Overview
                                    • TNSR
                                    • pfSense Plus
                                    • Appliances

                                    Services

                                    • Training
                                    • Professional Services

                                    Support

                                    • Subscription Plans
                                    • Contact Support
                                    • Product Lifecycle
                                    • Documentation

                                    News

                                    • Media Coverage
                                    • Press
                                    • Events

                                    Resources

                                    • Blog
                                    • FAQ
                                    • Find a Partner
                                    • Resource Library
                                    • Security Information

                                    Company

                                    • About Us
                                    • Careers
                                    • Partners
                                    • Contact Us
                                    • Legal
                                    Our Mission

                                    We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                    Subscribe to our Newsletter

                                    Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                    © 2021 Rubicon Communications, LLC | Privacy Policy