Конфигурация брандмауэра и прокси-сервера для Adobe Connect 12

Общие сведения

Ядро Adobe Connect 12 содержит обновление базовой технологии аудио/видео/совместного использования экрана с RTMP до WebRTC. 

WebRTC с самого начала разрабатывался для работы в широком диапазоне сетей, поэтому для большинства клиентов он будет «просто работать». Однако некоторым клиентам с ограничительными брандмауэрами или веб-прокси может потребоваться обновить конфигурацию сети.

Любые проблемы проявятся после запуска собрания, когда пользователь попытается опубликовать или просмотреть аудио, видео или демонстрацию экрана.

В этом техническом документе описаны минимальная требуемая конфигурация сети и рекомендуемая конфигурация сети для оптимальной производительности.

Минимальная необходимая конфигурация сети для улучшенных собраний на базе WebRTC

Минимальные конфигурации делятся на:

• Конфигурация для веб-трафика
• Конфигурация для WebRTC-трафика

Минимальная конфигурация для веб-трафика

Пользователи должны разрешить стандартный https:// и wss:// веб-трафик для *.adobeconnect.com

Очень немногим клиентам потребуется что-либо изменить, чтобы выполнить это требование, так как это стандартный HTTPS-трафик.

Кроме того, пользователи должны разрешать проверку сертификата (что также требуется очень немногим клиентам) для следующего:

• crl3.digicert.com
• crl4.digicert.com
• ocsp.digicert.com

Минимальная конфигурация для WebRTC-трафика

Когда все другие способы связи заблокированы, WebRTC возвращается к туннелированию через TLS (TURN-S). Это похоже на то, как RTMP возвращается к туннелированию через HTTPS.

TURN-S работает очень хорошо. Примерно двадцать процентов нашего производственного трафика WebRTC происходит через TURN-S, и у этих пользователей отличный опыт.

Однако некоторые прокси-серверы и брандмауэры блокируют трафик TURN-S, поскольку при тщательном анализе он не совпадает с трафиком HTTPS. Это особенно актуально для клиентов с брандмауэрами или прокси-устройствами, которые выполняют проверки посредника.

Минимальное требование:

• Разрешить трафик TURN-S (или просто весь зашифрованный трафик) через порт 443 в *.webrtc.adobeconnect.com

23 августа 2022 г. мы перейдем на блокировку статических IP-адресов в Северной Америке и в регионе Европы, Ближнего Востока и Африки. Это позволит клиентам разрешать по IP-адресам, а не по подстановочному домену.

Клиенты, размещенные в Северной Америке, могут разрешать IP-адреса 35.92.28.0/23 и 35.92.29.0/23, а клиенты, размещенные в странах Европы, Ближнего Востока и Африки и Азиатско-Тихоокеанского региона, могут разрешать IP-адреса 3.252.48.0/23 и 3.252.49.0/23.

Дополнительные блоки статических IP-адресов будут добавлены в будущем, поэтому клиентам, которые решат разрешить статические IP-адреса, необходимо будет обновить свои разрешенные блоки IP-адресов в это время. По этой причине мы рекомендуем клиентам разрешать IP-адреса по доменному имени, если это возможно.

Рекомендуемая конфигурация сети

Одним из наиболее значительных преимуществ WebRTC является то, что он предпочитает UDP-трафик. UDP лучше справляется с плохими условиями сети (высокая задержка, большая потеря пакетов), 
чем TCP.

Соответственно, мы рекомендуем клиентам разрешать следующие порты UDP и TCP:

Эти порты должны быть разрешены для следующих пунктов назначения:

• Для клиентов, размещенных в Северной Америке, на 35.92.28.0/23 и 35.92.29.0/23
• Для клиентов в странах Европы, Ближнего Востока и Африки и Азиатско-Тихоокеанского региона на 3.252.48.0/23 и 3.252.49.0/23

Проверка конфигурации сети

Для проверки запрошенных изменений конфигурации сети выполните следующие действия

• Включить «Улучшенный интерфейс для работы с аудио и видео» для одной из существующих или новой комнаты.
• Присоединиться к комнате как Организатор и начать в ней совместное использование камеры.
• Снова присоединиться к той же комнате (с того же или с другого устройства)
• Если общая камера видна в комнате со второго устройства, измененная конфигурация сети работает должным образом.