Bereitstellung Videokonferenzlösung

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

07.08.2020 um 14:39 Uhr, 576 Aufrufe, 7 Kommentare

Hallo Leute,

wir planen die Bereitstellung einer eigenen Videokonferenz-Lösung über unsere Infrastruktur . Die Voraussetzungen sind vorhanden - dedizierte HW (8 Core Xeon, 64GB Ram etc.) + DeutschlandLAN Connect IP (ehem. Company Connect).

Grundsätzlich bin ich der Meinung, dass alles was aus dem Internet erreichbar ist, hinter eine Firewall/Reverse-Proxy in eine gesonderte DMZ gehört (Dafür verwenden wir einen Sophos UTM-Cluster inkl. r-Proxy mit einem eigenen Interface zu einer DMZ).

Wegen der NAT-Thematik, Performance, große Range an Portweiterleitungen etc. frage ich mich aber bei diesem Projekt, ob man nicht ein Interface direkt an das Internet hängen sollte (durch den DCIP haben wir ja genug öffentliche IPs) und ein internes Interface in die DMZ leitet. Über das DMZ-Interface würde dann die Administration aus dem internen Netz erfolgen, das Monitoring und der Zugriff aufs interne LDAP...das externe Interface ist dann tatsächlich rein für den Zugriff auf die Videokonferenzlösung gedacht und beeinträchtig die Sophos etc. erstmal nicht.

Ich bin unschlüssig welcher Weg (also alles hinter die FW und mit Portweiterleitungen weitergereicht oder Server mit zwei Interfaces) der Beste bzw. der sicherste ist.

Was meint Ihr?
Mitglied: Th0mKa
07.08.2020, aktualisiert um 17:49 Uhr
Zitat von Philipp711:
Wegen der NAT-Thematik

Warum macht ihr überhaupt NAT? Normalerweise gehört in die DMZ ein geroutetes IPv4 Netz, dann entfällt das NAT Thema relativ einfach.

/Thomas
Bitte warten ..
Mitglied: beidermachtvongreyscull
08.08.2020 um 02:18 Uhr
Mahlzeit zu früher Stunde,

Zitat von Philipp711:
wir planen die Bereitstellung einer eigenen Videokonferenz-Lösung über unsere Infrastruktur . Die Voraussetzungen sind vorhanden - dedizierte HW (8 Core Xeon, 64GB Ram etc.) + DeutschlandLAN Connect IP (ehem. Company Connect).

Hab ich auch gemacht, allerdings haben wir eine Lösung eingekauft. Ich hab mich durch verschiedene selfhosting-Lösungen durchprobiert, allen voran Jitsi-Meet und komme immer wieder zum Schluss, dass die Power nie ganz ausreichen kann.

Wir haben eine Kauflösung namens TurboMeeting. Eine erstaunlich kleine Appliance mit proprietärem OS und Client für so ziemlich jedes mögliche Endgerät. Und das Ding war nicht mal teuer.

Aus Erfahrung sage ich Dir: Eine solche Lösung nicht multi-homed. Immer dedizierte Wege.

Da ich nicht weiß, was Du einsetzen willst, kann ich Dir keine Tipps wegen Firewalling geben.

Ich rate mal zu einem Blick auf Turbomeeting.

bdmvg
Bitte warten ..
Mitglied: Philipp711
08.08.2020, aktualisiert um 10:30 Uhr
Zitat von beidermachtvongreyscull:

Mahlzeit zu früher Stunde,

Zitat von Philipp711:
wir planen die Bereitstellung einer eigenen Videokonferenz-Lösung über unsere Infrastruktur . Die Voraussetzungen sind vorhanden - dedizierte HW (8 Core Xeon, 64GB Ram etc.) + DeutschlandLAN Connect IP (ehem. Company Connect).

Hab ich auch gemacht, allerdings haben wir eine Lösung eingekauft. Ich hab mich durch verschiedene selfhosting-Lösungen durchprobiert, allen voran Jitsi-Meet und komme immer wieder zum Schluss, dass die Power nie ganz ausreichen kann.

Wir haben eine Kauflösung namens TurboMeeting. Eine erstaunlich kleine Appliance mit proprietärem OS und Client für so ziemlich jedes mögliche Endgerät. Und das Ding war nicht mal teuer.

Aus Erfahrung sage ich Dir: Eine solche Lösung nicht multi-homed. Immer dedizierte Wege.

Da ich nicht weiß, was Du einsetzen willst, kann ich Dir keine Tipps wegen Firewalling geben.

Ich rate mal zu einem Blick auf Turbomeeting.

bdmvg


Danke!

Es läuft auf Jitsi-Meet oder Bigbluebutton heraus - Tendenz zu Bigbluebutton inkl. Greenlight.

Multihomeing ist generell irgendwie doof, da hast du recht (ist mir aber erst eingefallen als dieser Beitrag schon geschrieben war). Außerdem gefällt mir die Tatsache nicht, dass der Server mit einem Bein direkt im inet steht und das andere Bein in die interne Infrastruktur geht und somit die Firewall umgangen wird.

Auf der anderen Seite soll es ja auch reibungslos funktionieren und da nervt das NAT usw.
Bitte warten ..
Mitglied: Philipp711
08.08.2020, aktualisiert um 10:29 Uhr
Zitat von Th0mKa:

Zitat von Philipp711:
Wegen der NAT-Thematik

Warum macht ihr überhaupt NAT? Normalerweise gehört in die DMZ ein geroutetes IPv4 Netz, dann entfällt das NAT Thema relativ einfach.

/Thomas



Naja, das gibt der Anschluss ja nicht her.

Wir haben zwar ein v4-Netz mit 8 Adressen zugewiesen bekommen, aber davon können wir nur 5 nutzen (bisschen wenig) und das Netz liegt direkt hinter dem Remote-Device an. Auf das Remote-Device habe ich keinen Zugriff, sodass ich gar keine wirkliche DMZ bauen kann.

Inet<-->RemoteDevice<--v4-Netz-->Sophos mit NAT<--DMZ
Bitte warten ..
Mitglied: Dani
09.08.2020 um 15:50 Uhr
Moin,
Wegen der NAT-Thematik, Performance, große Range an Portweiterleitungen etc. frage ich mich aber bei diesem Projekt, ob man nicht ein Interface direkt an das Internet hängen sollte (durch den DCIP haben wir ja genug öffentliche IPs) und ein internes Interface in die DMZ leitet.
Dafür gibt es STUN/TURN Server, somit beschränkt die Anzahl der Ports auf 80, 443 und evtl. 3478. Wobei letzteres durch zwei öffentliche IP-Adressen auch auf 443 gelegt werden kann.

Wir haben zwar ein v4-Netz mit 8 Adressen zugewiesen bekommen, aber davon können wir nur 5 nutzen (bisschen wenig) und das Netz liegt direkt hinter dem Remote-Device an.
Man kann problemlos bei der Administration in Kiel ein größeres/weiteres Subnetz anfordern.


Gruß,
Dani
Bitte warten ..
Mitglied: Philipp711
09.08.2020 um 19:14 Uhr
Zitat von Dani:

Moin,
Wegen der NAT-Thematik, Performance, große Range an Portweiterleitungen etc. frage ich mich aber bei diesem Projekt, ob man nicht ein Interface direkt an das Internet hängen sollte (durch den DCIP haben wir ja genug öffentliche IPs) und ein internes Interface in die DMZ leitet.
Dafür gibt es STUN/TURN Server, somit beschränkt die Anzahl der Ports auf 80, 443 und evtl. 3478. Wobei letzteres durch zwei öffentliche IP-Adressen auch auf 443 gelegt werden kann.


STUN/TURN brauchen wir sowieso. Aber das hat ja nur indirekt bzw.nichts mit der Entscheidung ob Dualhomed oder hinter NAT-FW zu tun, oder sehe ich das falsch?
Bitte warten ..
Mitglied: Dani
11.09.2020 um 19:25 Uhr
Moin,
Aber das hat ja nur indirekt bzw.nichts mit der Entscheidung ob Dualhomed oder hinter NAT-FW zu tun, oder sehe ich das falsch
die Implementierung von STUN/TURN hiner NAT/PAT ist nicht immer ganz einfach. Dualhomed (zwei Netzwerkkarten, 1x LAN, 1x DMZ) hebelt eigentlich die Firewall zwischen DMZ und LAN aus.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Windows Update
SCCM Update Bereitstellung
gelöst Frage von EifeladminWindows Update4 Kommentare

Hallo Admins, ich betreue bei uns im Netzwerk einen SCCM Server, über dieses verteile ich auch die Windows Updates ...

Hyper-V
Bereitstellung Docker Host
Frage von supermarioHyper-V3 Kommentare

Ich habe eine Hyper-V Infrastruktur bestehend aus 2x 2012R2 Servern bei dem eine Standby läuft. Darauf vegetieren im niedrigen ...

Exchange Server
Office 365 Hybrid Bereitstellung
Frage von ITAllrounderExchange Server

Hallo zusammen, ich habe hier mal ein Anliegen an die Experten. Es geht hier nicht darum eine Step by ...

Windows Server

SCCM - Bereitstellung aufheben, löschen oder bearbeiten

Frage von Franz-Josef-IIWindows Server2 Kommentare

Schönen guten Abend Ich bin offensichtlich mit Blindheit geschlagen ich finde keine Lösung. Folgende Probleme mit den SCCM: 1) ...

Windows Server

RDS-Bereitstellung in einzelner VM möglich?

Frage von NiklassWindows Server1 Kommentar

Hallo Zusammen, aufgrund einer Umstellung unseres Warenwirtschaftssystems möchten wir unseren Mitarbeitern die neue Warenwirtschaft, inkl O365 (Das System kommuniziert ...

Windows Server

SCCM 2016 OS Bereitstellung klappt nicht auf VMs

gelöst Frage von GeforceWindows Server15 Kommentare

Servus zusammen, so ich habe meine ganze Test SCCM Umgebung neu aufgebaut. SCCM Server/SQL Server/DC (alles Win2016) und 6 ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)21 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server19 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Frage von Hanspeter82Drucker und Scanner13 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Windows 10
FritzBox 7590 VPN
Frage von christian295Windows 1013 Kommentare

Hallo Zusammen, wir haben seit einigen Tagen eine neue FritzBox 7590 und wollen mit ShrewSoft 2.2.2 auf Win 10 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT