Best Practice

Die im Best Practice beschriebene Vorgehensweise setzt detaillierte IT Fachkenntnis in Konfiguration und Administration voraus.

Das Einrichten der WebServices für Verbindungen von Clients zum UCServer von außerhalb des UCServer-Netzwerks setzt detaillierte Fachkenntnis im Bereich STUN/TURN, Netzwerkarchitektur und Sicherheitseinstellungen voraus.

Über UCConnect, einem Service von estos, ist das Einrichten von Verbindungen von Clients zum UCServer als Verbindung von extern einfach einzurichten.

Was ist der UCServer WebService?

Zusammen mit dem UCServer wird immer ein WebService installiert, der dauerhaft mit dem UCServer verbunden ist. Der UCServer WebService wird benötigt, um ProCall Mobile, ProCall für macOS und die ProCall Webanwendungen mit dem UCServer zu verbinden. Die Veröffentlichung des UCServer WebService ermöglicht die Nutzung dieser Applikationen nicht nur im lokalen Netzwerk, sondern auch über das Internet oder aus dem Homeoffice.

Welche Möglichkeiten zur Veröffentlichung gibt es?

Je nach Aufbau der Netzwerkinfrastruktur des Anwenderunternehmens und der technischen und organisatorischen Voraussetzungen unterscheiden wir verschiedene Szenarien.

  1. Die Veröffentlichung ohne DMZ (mittlere Komplexität) 

  2. Die Veröffentlichung mit DMZ (hohe Komplexität)

  3. Die Veröffentlichung mit Hilfe der estos ergänzenden Online-Dienste bzw. UCConnect (geringe Komplexität)

UCConnect

Weiterführende Informationen zu den ergänzenden Online-Diensten erhalten Sie auf unserer Webseite (https://www.estos.de oder https://portal.ucconnect.de)

Abhängig von der Netzwerkinfrastruktur empfehlen wir unterschiedliche Vorgehensweisen.

DMZ

Standort UCServer

Vorgehen

Nein

LAN

Port Forwarding

Ja

DMZ

Ja

LAN

http Reverse-Proxy


Port Forwarding - Konfigurieren Sie den NAT-Router mit einem Port Forwarding, die Verschlüsselung (TLS) der Kommunikation erfolgt durch den UCServer WebService. Diese Einstellungen finden Sie in der UCServer Verwaltung im Menü Extras >> Netzwerkschnittstellen.
image2020-12-22_14-47-56.png

 

http Reverse-Proxy - Unter einem http Reverse-Proxy versteht man einen Server, der http(s) Anfragen entgegennimmt und an einen Server im privaten Netz weiterleitet. Dieser http Reverse-Proxy benötigt das SSL Zertifikat, die Kommunikation wird zum UCServer weitergeleitet über http (auf die Netzwerkschnittstelle des 'WebService http) oder https (auf die Netzwerkschnittstelle des „WebService https“). Als Server können Sie z. B. nginx (proxy_pass), Apache (mod_proxy, ProxyPass) oder Microsoft® IIS (Application Request Routing) verwenden. 

Anforderungen an den Reverse-Proxy

Der http Reverse-Proxy muss zusätzlich zu http GET und POST auch Websocket Verbindungen (RFC 6455) ermöglichen.

image2020-12-22_14-48-14.png

Welche Voraussetzungen müssen erfüllt werden?

  • Öffentliche IP Adresse - Ihr Internetzugang muss über eine öffentliche IP Adresse verfügen.

  • DNS Eintrag - Die öffentliche IP Adresse muss über einen DNS Eintrag auflösbar sein. Fügen Sie einen DNS A Record zu Ihrer Domain hinzu (z.B. ucws.domain.com), verwenden Sie Ihre öffentliche IP Adresse.

  • SSL Zertifikat - Das Zertifikat sollte von einer öffentlichen Zertifizierungsstelle (Certificate Authority / CA) ausgestellt sein, die von den gängigen Browsern und Betriebssystemen als vertrauenswürdig eingestuft ist. Falls Sie mit einem selbst signierten Zertifikat ('Self Signed Certificate') arbeiten, ist die Verbindung verschlüsselt, aber nicht abhörsicher. Damit ist keine Nutzung von Browser Applikationen möglich.

Vorsicht bei der Wahl des Zertifikates

Ein vertrauenswürdiges Zertifikat ist für die Nutzung der Browser-Applikationen zwingend notwendig.

Wie muss weiter vorgegangen werden?

Bitte entscheiden Sie anhand der konkreten Netzwerkinfrastruktur, ob Sie Port Forwarding oder http Reverse-Proxy einsetzen möchten.