====== alderaan ======

alderaan ist ein [[https://www.netcup.de/bestellen/produkt.php?produkt=2000|VPS 200 G8]] bei netcup. Auf diesem Server läuft ausschließlich unser TURN- und STUN-Server für unser BBB.

| Verantwortung  | Malte               |
| Zustand        | Produktiv           |
| OS             | Ubuntu 20.04.6 LTS  |

Administrativen Zugang auf den Server haben:

   * Malte
   * Cuechan
   * dj-wawa
   * TVLuke

{{tag>server}}
=====Services=====
^ Serviceübersicht  ^ Version                     ^
| coturn            | 4.5.1.1-1.1ubuntu0.20.04.2  |

===== Netzwerkdaten =====

Öffentliche IP-Adressen: 152.89.104.177 und 2a03:4000:39:790::3

Die Domain stun.chaotikum.org zeigt auf diese beiden Adressen.

===== Coturn =====

Auf diesem Server läuft ausschließlich Coturn für unser BBB. Installiert nach der [[https://docs.bigbluebutton.org/2.2/setup-turn-server.html|BBB-Anleitungen]] mit folgenden Abweichungen.

Anpassungen in ''/etc/turnserver.conf'':

''lt-cred-mech'' geht nicht zusammen mit ''use-auth-secret'', [[https://github.com/bigbluebutton/bigbluebutton.github.io/pull/138|aber wir brauchen ''lt-cred-mech'' auch nicht]], deswegen ist das deaktiviert.

Logging machen wir nur über systemd, deswegen ist ''log-file'' und ''simple-log'' deaktiviert, aber ''syslog'' aktiviert.

Fest IP-Adressen eintragen:

<code>
listening-ip=152.89.104.177
listening-ip=2a03:4000:39:790::3
</code>

und

<code>
relay-ip=152.89.104.177
relay-ip=2a03:4000:39:790::3
</code>

CLI deaktivieren: ''no-cli''

Es braucht trotzdem ein CLI-Password, [[https://github.com/coturn/coturn/issues/361|damit die Warnung weggeht]]: ''cli-password=PASSWORD''

Zertifikate eintragen:

<code>
cert=/etc/letsencrypt/live/stun.chaotikum.org/fullchain.pem
pkey=/etc/letsencrypt/live/stun.chaotikum.org/privkey.pem
</code>
==== Als Root starten ====

Damit coturn auf Port 443 ein TCP-Socket aufmachen kann, muss der Dienst als Root gestartet werden.

<code>
cp /lib/systemd/system/coturn.service /etc/systemd/system/coturn.service
</code>

In ''/etc/systemd/system/coturn.service'' den User und die Gruppe ''turnserver'' löschen.

In ''/etc/turnserver.conf'' konfigurieren, dass coturn nach der Initialisierung seiner User- und Group-ID auf ''turnserver'' setzt:

<code>
proc-user=turnserver
proc-group=turnserver
</code>

Da der Dienst eh als Root startet, kann er auch den privaten Schlüssel direkt aus ''/etc/letsencrypt/live'' laden. [[https://serverfault.com/questions/849683/how-to-setup-coturn-with-letsencrypt|Sonst könnte man das auch anders machen]], muss man jetzt aber gar nicht.