Przejdź do treści

Problemy odnośnie infrastruktury

Do ustalenia z IT Avisty:

Dostęp do środowiska

Co nie działa i dlaczego?

  • Aplikacja BB8
    • słucha na porcie 8090, który jest zablokowany na proxy Netii
      • Błędy HTTPS - certyfikat samopodpisany przez Avistę, brak publicznej domeny, którą można by skierować na adres publiczny
      • Aplikacje mają skonfigurowany prywatny adres IP jako publiczny i na niego przekierowują więc przekierowania na edge'u nie pomagały
      • Komunikacja WebRTC na linii przeglądarka konsultanta <--> Biletomat
        • openVidu (TURN server (Coturn)) działa na porcie 3478 który jest zablokowany na proxy Netii
        • Rozwiązanie zgodnie z dokumentacją oV dodatkowy sewer z coturnem słuchającym na 443
          • potrzebny serwer - wydaje się, że wystarczy 1vCPU, 1 GB RAM
          • domena publiczna
  • Dostęp po VNC do Biletomatów:
    • Biletomaty w podsieci za tunelem S2S
    • Bezpośrednie przekierowanie portów do podsieci za tunelem jest skomplikowane
    • Przekierowania ruchu na serwerze BB8 nie zadziałały

Potencjalne rozwiązania: Aplikacja

Propozycja 1:
- Wystawienie servera BB8 bezpośrednio na publicznym IP na jednej karcie sieciowej, druga karta wpięta do sieci w cloud
- Wystawienie BB8 i innych koniecznych serwisów na portach dostępnym z sieci Netii
- Wystawienie dodatkowego serwera TURN na dodatkowej VM
- Domena publiczna + Lets Encrypt? Bezkosztowo można użyć Freenom
Propozycja 2:
- BB8 na publicznym adresie za NAT z Edge
- przepuszczone wszystkie porty dla adresów źródłowych z Proxy Netii
- Wystawienie BB8 i innych koniecznych serwisów na portach dostępnym z sieci Netii
- Wystawienie dodatkowego serwera TURN na dodatkowej VM
- Domena publiczna + Lets Encrypt? Bezkosztowo można użyć Freenom

Potencjalne rozwiązania: VNC

  • Wdrożenie Apache Guacamole na GW na adresie publicznym
    • do wdrożenia i przetestowania bez ingerencji w system Avisty, za wyjątkiem reguł sieciowych
    • najlepiej na domenie publicznej z Let's encrypt
  • Wdrożenie noVNC na GW - może mieć większą wydajność
    • edytując jedną funkcję może otwierać się w nowej karcie przeglądarki jak karta połączenia (pokoju) openVidu
  • Integracja noVNC z openvidu (openvidu-getaroom) - potencjalne rozwiązanie długoterminowe
    • wymaga developmentu ale w teorii nie wydaje się skomplikowane, a agent ma w jednym oknie podgląd videorozmowy i biletomatu

Obejście: Wdrożenie OpenVPN

  • Obecnie na maszynie GW zainstalowany OpenVPN przy użyciu https://github.com/Nyr/openvpn-install
  • Wygenerowane indywidualne profile dla każdego z agentów
  • VM i aplikacja OpenVPN uruchomiona i skonfigurowana przez Wsparcie ICT Netii
    • Docelowo nie jest to idealne rozwiązanie i VM wymaga zabezpieczenia.

Pytania

  • Czy Netia musi mieć dostęp jeszcze do jakichś portów?
  • Jeśli tak to jakich?
  • Czy da się przekofigurować aplikację Avisty, żeby używała dostępnych przez proxy Netii?
  • Jeśli nie da się przekonfigurować to do przetestowania przekierowania porów na edge po ustawieniu aplikacji avisty na publicznym adresie IP z Edge'a.
  • Rozwiązania do wdrożenia w krótkim czasie ale wymagają testów:
    • Jak zachowają się wydajnościowo vs openvpn
    • najlepiej na jakimś środowisku testowym