Best Practice: Konfiguration UCServer für externen Zugang veröffentlichen
Dezember 2020
Best Practice
Die im Best Practice beschriebene Vorgehensweise setzt detaillierte IT Fachkenntnis in Konfiguration und Administration voraus.
Das Einrichten der WebServices für Verbindungen von Clients zum UCServer von außerhalb des UCServer-Netzwerks setzt detaillierte Fachkenntnis im Bereich STUN/TURN, Netzwerkarchitektur und Sicherheitseinstellungen voraus.
Über UCConnect, einem Service von estos, ist das Einrichten von Verbindungen von Clients zum UCServer als Verbindung von extern einfach einzurichten.
Was ist der UCServer WebService?
Zusammen mit dem UCServer wird immer ein WebService installiert, der dauerhaft mit dem UCServer verbunden ist. Der UCServer WebService wird benötigt, um ProCall Mobile, ProCall für macOS und die ProCall Webanwendungen mit dem UCServer zu verbinden. Die Veröffentlichung des UCServer WebService ermöglicht die Nutzung dieser Applikationen nicht nur im lokalen Netzwerk, sondern auch über das Internet oder aus dem Homeoffice.
Welche Möglichkeiten zur Veröffentlichung gibt es?
Je nach Aufbau der Netzwerkinfrastruktur des Anwenderunternehmens und der technischen und organisatorischen Voraussetzungen unterscheiden wir verschiedene Szenarien.
Die Veröffentlichung ohne DMZ (mittlere Komplexität)
Die Veröffentlichung mit DMZ (hohe Komplexität)
Die Veröffentlichung mit Hilfe der estos ergänzenden Online-Dienste bzw. UCConnect (geringe Komplexität)
UCConnect
Weiterführende Informationen zu den ergänzenden Online-Diensten erhalten Sie auf unserer Webseite (https://www.estos.de oder https://portal.ucconnect.de)
Abhängig von der Netzwerkinfrastruktur empfehlen wir unterschiedliche Vorgehensweisen.
DMZ | Standort UCServer | Vorgehen |
|---|---|---|
Nein | LAN | |
Ja | DMZ | |
Ja | LAN |
Port Forwarding - Konfigurieren Sie den NAT-Router mit einem Port Forwarding, die Verschlüsselung (TLS) der Kommunikation erfolgt durch den UCServer WebService. Diese Einstellungen finden Sie in der UCServer Verwaltung im Menü Extras >> Netzwerkschnittstellen.
http Reverse-Proxy - Unter einem http Reverse-Proxy versteht man einen Server, der http(s) Anfragen entgegennimmt und an einen Server im privaten Netz weiterleitet. Dieser http Reverse-Proxy benötigt das SSL Zertifikat, die Kommunikation wird zum UCServer weitergeleitet über http (auf die Netzwerkschnittstelle des 'WebService http) oder https (auf die Netzwerkschnittstelle des „WebService https“). Als Server können Sie z. B. nginx (proxy_pass), Apache (mod_proxy, ProxyPass) oder Microsoft® IIS (Application Request Routing) verwenden.
Anforderungen an den Reverse-Proxy
Der http Reverse-Proxy muss zusätzlich zu http GET und POST auch Websocket Verbindungen (RFC 6455) ermöglichen.
Welche Voraussetzungen müssen erfüllt werden?
Öffentliche IP Adresse - Ihr Internetzugang muss über eine öffentliche IP Adresse verfügen.
DNS Eintrag - Die öffentliche IP Adresse muss über einen DNS Eintrag auflösbar sein. Fügen Sie einen DNS A Record zu Ihrer Domain hinzu (z.B. ucws.domain.com), verwenden Sie Ihre öffentliche IP Adresse.
SSL Zertifikat - Das Zertifikat sollte von einer öffentlichen Zertifizierungsstelle (Certificate Authority / CA) ausgestellt sein, die von den gängigen Browsern und Betriebssystemen als vertrauenswürdig eingestuft ist. Falls Sie mit einem selbst signierten Zertifikat ('Self Signed Certificate') arbeiten, ist die Verbindung verschlüsselt, aber nicht abhörsicher. Damit ist keine Nutzung von Browser Applikationen möglich.
Vorsicht bei der Wahl des Zertifikates
Ein vertrauenswürdiges Zertifikat ist für die Nutzung der Browser-Applikationen zwingend notwendig.
Wie muss weiter vorgegangen werden?
Bitte entscheiden Sie anhand der konkreten Netzwerkinfrastruktur, ob Sie Port Forwarding oder http Reverse-Proxy einsetzen möchten.
Weiterführende Informationen