Serveur de vidéoconférence - Jitsi

Création : Debian 10.4 - Buster

Ce document décrit l'Installation d'un serveur de vidéoconférence jitsi sur un PC linux Debian. Une connexion sécurisée https est mise en place, le certificat est authentifié par Let's Encrypt

Dans la mise en œuvre décrite

un nom de domaine complètement qualifié (FDQN) est disponible
le serveur web sous-jacent est apache2 (l'autre choix possible est nginx)
le serveur est situé sur un réseau local relié au réseau internet par une "box internet"
la "box internet" dispose d'une adresse IP statique (fixe)

Références

Sommaire

1 - Préparation

1.1 - Configuration de la "box internet"

Au niveau de la "box internet"

Assurer une adresse ip locale fixe au serveur

Transférer vers l'adresse ip locale du serveur les ports

80 TCP (HTTP)
443 TCP (HTTPS)
10000 UDP

1.2 - Configuration du pare-feu

Optionnellement, installer un pare-feu, tel que ufw

$ sudo aptitude install ufw

Ouvrir les ports listés ci-dessus - Attention ne pas saisir 1000/udp à la place de 1000/upd

$ sudo ufw allow in http
$ sudo ufw allow in https
$ sudo ufw allow in 10000/udp

Activer le pare-feu

$ sudo ufw enable

Vérifier les règles

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----                
80/tcp                     ALLOW IN    Anywhere                  
443/tcp                    ALLOW IN    Anywhere
10000/udp                  ALLOW IN    Anywhere            
80/tcp (v6)                ALLOW IN    Anywhere (v6)             
443/tcp (v6)               ALLOW IN    Anywhere (v6)             
10000/udp (v6)             ALLOW IN    Anywhere (v6)

Note : l'ouverture du port 80 est nécessaire pour l'obtention du certificat Let's Encrypt. Après obtention du certificat, le port 80 peut-être fermé

$ sudo ufw delete allow in http

En cas de problème,

pour désactiver le pare-feu

$ sudo ufw disable

pour réinitialiser toutes les règles

$ sudo ufw reset

1.3 - Vérification de l'accessibilité des ports (après transfert et pare-feu)

Depuis un hôte internet :

Afficher l'adresse ip fixe du serveur

$ curl -4 icanhazip.com
109.***.***.167

Tester les ports http et https avec telnet, le message Connected to ... s'affiche lorsque le port peut-être atteint

$ telnet 109.***.***.167 http
Trying 109.***.***.167...
Connected to 109.***.***.167.
Escape character is '^]'.

$ telnet 109.***.***.167 https

Tester les ports udp avec nc

$ nc -z -v -u 109.***.***.167 10000
Connection to 109.9.177.167 10000 port [udp/*] succeeded!

1.4 - Configuration DNS du FDQN

L'utilisation d'un nom de domaine complétement qualifié est nécessaire pour que la connexion au serveur puisse s'effectuer en mode https, seul mode dans lequel il sera possible de connecter les applications mobiles jitsi. Dans ce qui suit, le nom de domaine complètement qualité est buster.mon_domain.xyz.

Le nom de domaine (mon_domain.xyz) et le FDQN (buster.mon_domain.xyz) doivent pointer sur l'IP de la "box internet" et celle-ci doit-être statique (fixe)
Afficher l'adresse ip fixe du serveur

$ curl -4 icanhazip.com
109.***.***.167

Vérifier que le domaine et le sous-domaine pointent vers cette adresse via leurs enregistrements DNS de type A

$ host -t A mon_domain.xyz
mon_domain.xyz has address 109.***.***.167

$ host -t A buster.mon_domain.xyz
buster.mon_domain.xyz has address 109.***.***.167

1.5 - Configuration fichiers hostname et hosts

Définir le nom d'hôte de la machine dans le fichier hosts identique au nom d'hôte fdqn défini ci-dessus

$ sudo nano /etc/hostname
buster

Ajouter dans le fichier hosts, le FDQN affecté au serveur jitsi, sur la ligne 127.0.0.1

$ sudo nano /etc/hosts
127.0.0.1       localhost buster.mon_domain.xyz
......

Ajouter dans le fichier hosts, une ligne pour le nom d'hôte de la machine en indiquant son adresse IP stable

$ sudo nano /etc/hosts
127.0.0.1  localhost jitsi.mon_domain.xyz
109.***.***.167   buster
.....

1.6 - Installation du serveur apache

jitsi utilise soit un serveur apache, soit un serveur nginx. Dans ce qui suit, on utilise un serveur apache. Il doit-être installé avant jitsi

Installer apache2

$ sudo aptitude install apache2

Vérifier l'activation du service apache2

$ sudo systemctl status apache2.service

s'il apparaît un message d'erreur du type :

AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message

donner un nom au serveur

$ su -c 'echo "ServerName buster" >> /etc/apache2/apache2.conf'

Redémarrer éventuellement le serveur apache2

$ sudo systemctl restart apache2
$ sudo systemctl reload apache2

Vérifier l'accès à la page de test "It works" via la boucle locale et via le nom d'hôte

$ links2 http://localhost
$ links2 http://buster

1.7 - Nettoyage

En cas d'installations précédentes de jitsi, pour préparer une installation "propre" et éliminer tous les fichiers de configuration :

$ sudo aptitude purge ~i~njitsi ~i~nprosody ~i~njicofo

En cas d'erreur pendant la désinstallation, relancer la commande une seconde fois

$ sudo aptitude purge ~i~njitsi ~i~nprosody ~i~njicofo

Afficher les fichiers de configuration restants et les effacer

$ aptitude search ~c
$ sudo aptitude purge ~c

2 - Installation

2.1 - Installation de jitsi

Installer la clé du dépôt jitsi

$ wget -qO - https://download.jitsi.org/jitsi-key.gpg.key | sudo apt-key add -

Ajouter la source du dépôt jitsi dans les sources de apt

$ sudo sh -c "echo 'deb https://download.jitsi.org stable/' > /etc/apt/sources.list.d/jitsi-stable.list"

Mettre à jour le cache de apt et installer jitsi

$ sudo aptitutde update  
$ sudo aptitude install jitsi-meet

Nom d'hôte : Utiliser le nom de domaine complet soit dans notre exemple buster.mon_domain.xyz
Certificat : Sélectionner la génération d'un nouveau certficat autosigné, avec la possibilité d'installer ultérieurement un certificat Let's Encrypt

Notes :

Version installée de jitsi-meet et de fava

$ apt-cache policy jitsi-meet |grep Installé
  Installé : 2.0.4627-1

$ java --version
openjdk 11.0.7 2020-04-14
OpenJDK Runtime Environment (build 11.0.7+10-post-Debian-3deb10u1)
OpenJDK 64-Bit Server VM (build 11.0.7+10-post-Debian-3deb10u1, mixed mode, sharing)

Principaux paquets installés

jitsi-videobridge2

jicofo

prosody = serveur XMPP

Note : jigasi = sip-gateway n'est pas installé

Fichiers de configuration

Config written to /var/lib/prosody/auth.109.***.***.167.cnf
Certificate written to /var/lib/prosody/auth.109.***.***.167.crt

2. 2 - Obtention du certificat Lets Encrypt

Lancer le script install-letsencrypt-cert.sh fourni par jitsi et fournir successivement

une adresse email
le nom de domaine FDQN, ici buster.mon_domain.xyz

$ sudo /usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh
-------------------------------------------------------------------------
This script will:
- Need a working DNS record pointing to this machine(for domain jitsi.mon_domain.xyz)
- Download certbot-auto from https://dl.eff.org to /usr/local/sbin
- Install additional dependencies in order to request Let’s Encrypt certificate
- If running with jetty serving web content, will stop Jitsi Videobridge
- Configure and reload nginx or apache2, whichever is used
- Configure the coturn server to use Let's Encrypt certificate and add required deploy hooks
- Add command in weekly cron job to renew certificates regularly

You need to agree to the ACME server's Subscriber Agreement (https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf) 
by providing an email address for important account notifications
Enter your email and press [ENTER]: *******@laposte.net
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for buster.mon_domain.xyz
Using the webroot path /usr/share/jitsi-meet for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/jitsi.buster.xyz/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/buster.mon_domain.xyz/privkey.pem
   Your cert will expire on 2020-08-14. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Configuring apache2

En cas d'échec avant de relancer une commande de certificat, lancer la commande

$ sudo dpkg-reconfigure jitsi-meet-web-config

Le certificat est valide 3 mois, pour renouveler le certificat

$ sudo certbot-auto

Optionnel : L'installation du paquet certbot facilite la gestion des certificats

Installation

$ sudo aptitude install certbot

Affichage des certificats présents

$ sudo certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Attempting to parse the version 1.4.0 renewal configuration file found at /etc/letsencrypt/renewal/jitsi.mon_domain.xyz.conf with version 0.31.0 of Certbot. This might not work.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: jitsi.mon_domain.xyz
    Domains: jitsi.mon_domain.xyz
    Expiry Date: 2020-08-16 12:09:05+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/jitsi.mon_domain.xyz/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/jitsi.mon_domain.xyz/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Le renouvellement des certificats s'effectue automatiquement via un timer systemd

$ sudo systemctl list-timers |grep certbot
Sat 2020-05-23 10:33:13 CEST  16h left             Fri 2020-05-22 18:20:28 CEST  2min 10s ago         certbot.timer                        certbot.service

Renouvellement manuel

$ sudo certbot renew

Révocation ou suppression

$ sudo certbot revoke
$ sudo certbot delete

2.3 - Configuration de jitsi-videobridge

Si la video est manquante lorsqu'il y a plus de 2 connexions dans une réunion, modifier le fichier suivant

$ sudo nano /etc/jitsi/videobridge/sip-communicator.properties

Note : L'auto-completion sur le nom de fichier est inactive, l'accès au répertoire et au fichier étant réservé

Ajouter les 2 lignes suivantes

org.ice4j.ice.harvest.NAT_HARVESTER_LOCAL_ADDRESS=<Local.IP.Address>
org.ice4j.ice.harvest.NAT_HARVESTER_PUBLIC_ADDRESS=<Public.IP.Address>

en remplaçant <Local.IP.Address> par l'adresse IP locale, qui peut-être obtenue à partir du nom de l'interface réseau (ici wlp0s2f3) par

$ ip a show wlp0s20f3 |grep "inet "|awk '{print $2;exit}'
192.168.0.19/24

en remplaçant <Public.IP.Address> par l'adresse IP statique, qui peut-être obtenue avec

$ curl -4 icanhazip.com
109.***.***.167

Commenter la ligne

org.ice4j.ice.harvest.STUN_MAPPING_HARVESTER_ADDRESSES ......

Au final le fichier contient

$ sudo cat /etc/jitsi/videobridge/sip-communicator.properties
org.ice4j.ice.harvest.DISABLE_AWS_HARVESTER=true
# org.ice4j.ice.harvest.STUN_MAPPING_HARVESTER_ADDRESSES=meet-jit-si-turnrelay.jitsi.net:443
org.jitsi.videobridge.ENABLE_STATISTICS=true
org.jitsi.videobridge.STATISTICS_TRANSPORT=muc
org.jitsi.videobridge.xmpp.user.shard.HOSTNAME=localhost
org.jitsi.videobridge.xmpp.user.shard.DOMAIN=auth.buster.mon_domain.xyz
org.jitsi.videobridge.xmpp.user.shard.USERNAME=jvb
org.jitsi.videobridge.xmpp.user.shard.PASSWORD=heLYGcOl
org.jitsi.videobridge.xmpp.user.shard.MUC_JIDS=JvbBrewery@internal.auth.buster.mon_domain.xyz
org.jitsi.videobridge.xmpp.user.shard.MUC_NICKNAME=ccffdbba-6f65-4a6d-81ef-5fff7128b600
org.ice4j.ice.harvest.NAT_HARVESTER_LOCAL_ADDRESS=192.168.0.19
org.ice4j.ice.harvest.NAT_HARVESTER_PUBLIC_ADDRESS=109.***.***.167

3 - Test & utilisation

Lancer depuis plusieurs navigateurs compatibles WebRTC (firefox, chromimum, ...), situés sur le réseau local ou sur internet, et depuis des smartphones ou tablettes Android ou IOS, connectés en local (wifi) ou via le réseau mobile, une réunion

$ firefox hptts://jitsi.mon_domain.xyz/test
$ .....

Accorder l'accès à la webcam et au micro, les différents participants doivent être pris en compte et affichés au fur et à mesure
En cas d'échec ou après un redémarrage du serveur, redémarrer tout ou partie des services :

$ sudo systemctl restart apache2 
$ sudo systemctl reload apache2
$ sudo systemctl daemon-reload
$ sudo systemctl restart jicofo.service
$ sudo systemctl restart prosody.service
$ sudo systemctl restart jitsi-videobridge2.service

Annexe - Test client webRTC

Vérification de la prise en charge de webrtc par un navigateur compatible (Firefox, Chromium, ... )

Test automatique (microphone, caméra, réseau, connectivité, débit)

$ firefox https://test.webrtc.org/ &

Test de la prise en compte de la webcam

$ firefox https://webrtc.github.io/samples/src/content/getusermedia/gum/ &

Test des résolutions de la webcam

$ firefox https://webrtc.github.io/samples/src/content/getusermedia/resolution/ &

Test du son du micro

$ firefox https://webrtc.github.io/samples/src/content/getusermedia/audio/ &

Test du volume du micro

$ firefox https://webrtc.github.io/samples/src/content/getusermedia/volume/ &

Test caméra et micro

$ firefox https://webrtc.github.io/samples/src/content/devices/input-output/ &

Test sur un serveur jitsi existant

$ firefox https://meet.jit.si/ &