История режима ИИ
Новый чат
Здравствуйте, Артём! Что вас интересует?
Закрыть
Другие способы ввода
Микрофон
Остановить
Отправить
openfire-pade-plugin настроить с работающим FreeSWITCH
Настройка плагина
Pàdé для Openfire с использованием FreeSWITCH позволяет объединить XMPP-чат с полноценной телефонией и аудиоконференциями.Основной метод интеграции — подключение через ESL (External Socket Library), при котором Pàdé отслеживает встречи и автоматически создает соответствующие аудиоконференции во FreeSWITCH.
Шаг 1: Настройка FreeSWITCH
Для корректной работы Pàdé необходимо, чтобы FreeSWITCH был доступен для внешних подключений по протоколу ESL.
- Разрешите подключения: Убедитесь, что модуль
mod_event_socketвключен и настроен на прослушивание нужного IP-адреса. - Пароль ESL: В конфигурационном файле
event_socket.conf.xmlзадайте сложный пароль, который потребуется указать в Openfire. - Диалплан: Настройте внутренние и внешние номера в диалплане FreeSWITCH, чтобы пользователи могли подключаться к конференциям через обычные телефоны.
Шаг 2: Настройка плагина в Openfire
После установки
pade.jar перейдите в админ-панель Openfire для настройки связи:- Включите интеграцию с FreeSWITCH: В настройках плагина выберите вариант подключения через ESL.
- Параметры подключения: Укажите IP-адрес сервера FreeSWITCH, порт ESL (по умолчанию 8021) и пароль, заданный в пункте 1.
- Компонент Jigasi: Если вы планируете приглашать телефонных участников в видеовстречи Jitsi, необходимо настроить SIP-аккаунт для пользователя
jigasi.- Pàdé автоматически создаст аудиоконференцию во FreeSWITCH при присоединении фокус-пользователя (
focus) и инициирует вызов кjigasiс SIP-заголовком, содержащим имя комнаты.
- Pàdé автоматически создаст аудиоконференцию во FreeSWITCH при присоединении фокус-пользователя (
Шаг 3: Проверка работы
- Статус пользователей: Убедитесь, что бот-пользователи
focus,jvbи (при использовании SIP)jigasiнаходятся в сети в консоли Openfire. - Тестовый вызов: Откройте конференцию Pàdé. При входе первого участника во FreeSWITCH должна автоматически создаться конференция. Это можно проверить командой
conference listв консоли FreeSWITCH (fs_cli).
Нюансы:
- Версии: Для Openfire 4.8+ используйте Pàdé версии 1.8.0 или выше. Для старых версий (4.7 и ниже) подходит версия 1.7.9.
- Сеть: Если сервер находится за NAT, убедитесь, что открыты порты TCP 7443 и UDP 10000 для работы видеомоста.
Нужна ли вам помощь с конкретным примером настройки диалплана во FreeSWITCH для маршрутизации звонков в комнаты Pàdé?
Показать все
мне нужно конкретная настройка детальная звонков и видео звонков как FreeSWITCH как и Openfire
Для реализации детальной настройки звонков и видеозвонков через связку Openfire (Pàdé) и FreeSWITCH, следуйте этим шагам. Эта конфигурация объединяет WebRTC-видеоконференции Jitsi (внутри Pàdé) с SIP-телефонией FreeSWITCH через протокол ESL
.1. Настройка FreeSWITCH (SIP и ESL)
FreeSWITCH выступает как MCU для аудио и шлюз для SIP-звонков.
- Настройка ESL (mod_event_socket):
В файле/etc/freeswitch/autoload_configs/event_socket.conf.xmlубедитесь, что IP-адрес доступен для Openfire:xml<param name="listen-ip" value="0.0.0.0"/> <param name="listen-port" value="8021"/> <param name="password" value="your_strong_password"/>Используйте код с осторожностью. - Диалплан для конференций:
В/etc/freeswitch/dialplan/default.xmlдобавьте правило, чтобы звонки на определенные номера попадали в аудиоконференции Pàdé:Здесь номера 8000–8999 будут направляться в конференции.xml<extension name="pade_conferences"> <condition field="destination_number" expression="^(8\d{3})$"> <action application="conference" data="$1@default"/> </condition> </extension>Используйте код с осторожностью.
2. Настройка Openfire (Pàdé Plugin)
Pàdé использует внутренние компоненты Jitsi для видео и подключается к FreeSWITCH для аудио.
- Установка плагина: Загрузите
pade.jarв админ-панель Openfire (Plugins -> Available Plugins или ручная загрузка). - Служебные пользователи: Если вы не используете LDAP, плагин создаст их сам. При использовании LDAP создайте вручную пользователей
jvb,focusиjigasi. Дайте пользователюfocusправа владельца/админа в настройках MUC (сервис конференций). - Интеграция с FreeSWITCH:
Перейдите в Server -> Pàdé -> FreeSWITCH Settings:- Enable FreeSWITCH ESL: Установите галочку.
- ESL Host: IP вашего FreeSWITCH.
- ESL Port: 8021.
- ESL Password: Пароль из настроек
event_socket.conf.xml.
- Настройка SIP-шлюза (Jigasi):
В разделе SIP Settings укажите данные SIP-аккаунта (созданного во FreeSWITCH), который Pàdé будет использовать для "дозвона" из видеовстречи в телефонную сеть.
3. Настройка сетевых портов и NAT
Для стабильной работы видеозвонков (WebRTC) критически важно открыть порты:
- TCP 7443: HTTPS и Websockets для Pàdé.
- UDP 10000: RTP-трафик Jitsi Videobridge (видео).
- UDP 16384–32768: RTP-трафик FreeSWITCH (аудио).
- TCP/UDP 3478: STUN/TURN сервер (если сервер за NAT).
4. Проверка видео и аудио
- Видео: Откройте в браузере
https://your-server:7443/ofmeet/. Зайдите в комнату с двух вкладок. Если видео есть — Jitsi Videobridge работает. - Аудио/SIP: При входе в комнату Pàdé должен инициировать соединение с FreeSWITCH через ESL. В консоли FreeSWITCH (
fs_cli) введитеconference list. Вы должны увидеть активную конференцию с именем, соответствующим комнате в Pàdé.
Важно: Для доступа к камере и микрофону обязательно используйте HTTPS с валидным сертификатом (например, Let's Encrypt). Браузеры блокируют WebRTC на незащищенных соединениях.
Хотите ли вы получить пример конфигурации SIP-аккаунта во FreeSWITCH для пользователя
jigasi, чтобы внешние абоненты могли дозваниваться в видеоконференции?
Показать все
<configuration name="event_socket.conf" description="Socket Client">
<settings>
<param name="nat-map" value="false"/>
<param name="listen-ip" value="::"/>
<param name="listen-port" value="8021"/>
<param name="password" value="ClueCon"/>
<!--<param name="apply-inbound-acl" value="loopback.auto"/>-->
<!--<param name="stop-on-bind-error" value="true"/>-->
</settings>
</configuration>
Ваш конфиг
event_socket.conf.xml выглядит стандартно, но для работы с Openfire Pàdé его нужно немного подправить, чтобы плагин смог подключиться снаружи (или с локального IP Openfire).1. Исправляем
event_socket.conf.xmlПараметр
listen-ip со значением :: (IPv6) иногда вызывает проблемы у Java-приложений, если не настроен стек. Рекомендуется использовать 0.0.0.0 (все IPv4 интерфейсы) или конкретный IP сервера.xml
<configuration name="event_socket.conf" description="Socket Client">
<settings>
<param name="nat-map" value="false"/>
<!-- Слушать все IPv4 адреса -->
<param name="listen-ip" value="0.0.0.0"/>
<param name="listen-port" value="8021"/>
<!-- ОБЯЗАТЕЛЬНО смените пароль ClueCon на свой -->
<param name="password" value="YourSecretPassword123"/>
<!-- Раскомментируйте, чтобы ограничить доступ только для IP Openfire (безопасность) -->
<!-- <param name="apply-inbound-acl" value="lan"/> -->
</settings>
</configuration>
Используйте код с осторожностью.
После изменения выполните в консоли FS:
reloadxml и reload mod_event_socket.2. Настройка в Openfire (Admin Console)
Зайдите в Server -> Pàdé -> FreeSWITCH Settings и введите данные из конфига выше:
- ESL Host: IP-адрес вашего FreeSWITCH сервера (не
localhost, если они на разных машинах). - ESL Port:
8021. - ESL Password:
YourSecretPassword123.
3. Настройка видео (Jitsi Videobridge)
Чтобы видео работало корректно через Pàdé, нужно настроить порты и NAT в системных свойствах Openfire (Server -> Server Manager -> System Properties):
org.jitsi.videobridge.NAT_HARVESTER_LOCAL_ADDRESS: внутренний IP сервера.org.jitsi.videobridge.NAT_HARVESTER_PUBLIC_ADDRESS: внешний (белый) IP сервера.org.ice4j.ipv6.DISABLED: поставьтеtrue, если вы используете IPv4 (предотвращает задержки при установке связи).
4. Создание SIP-профиля для видео-встреч
Чтобы из окна Pàdé можно было совершать и принимать звонки, создайте во FreeSWITCH отдельного пользователя (например,
pade_user), данные которого вы впишете в настройки SIP внутри плагина Pàdé в Openfire.Файл
/etc/freeswitch/directory/default/pade_user.xml:xml
<include>
<user id="pade_user">
<params>
<param name="password" value="super_sip_pass"/>
</params>
<variables>
<variable name="accountcode" value="pade_user"/>
</variables>
</user>
</include>
Используйте код с осторожностью.
5. Проверка соединения
В консоли FreeSWITCH (
fs_cli) при попытке звонка из Pàdé вы должны увидеть лог:[DEBUG] mod_event_socket.c:2510 Socket interface external_reconnect authenticated.Если видите "Authentication Failed", проверьте, чтобы пароль в Openfire и в
event_socket.conf.xml совпадал символ в символ.Вы планируете использовать один сервер для Openfire и FreeSWITCH или они разнесены на разные машины? (От этого зависит настройка сетевых интерфейсов).
Показать все
pade_user создал а где его указать в Pàdé в Openfire и зачем этот пользователь
https://your-server:7443/ofmeet/ заходит и получается создать комнату но не получается присоединиться еще пользователю к комнате кого то выкидывает только для одногополучаеться
Пользователь
pade_user (SIP-аккаунт) нужен для Jigasi — это мост, который позволяет звонить в конференцию с обычных телефонов или вызывать сотовых абонентов прямо из видеочата. Если вам нужны только звонки «браузер-браузер», он не обязателен, но для связи с АТС он необходим.Указать его нужно здесь: Openfire Admin Console -> Server -> Pàdé -> SIP Settings.
Почему выкидывает второго пользователя?
Если один заходит, а второго «выкидывает» или он не видит первого, проблема в Jitsi Videobridge (JVB). Скорее всего, сервер не может пробросить медиа-потоки (UDP) между участниками.
1. Настройка системных свойств (System Properties)
В Openfire зайдите в Server -> Server Manager -> System Properties и проверьте/добавьте эти ключи:
org.jitsi.videobridge.NAT_HARVESTER_LOCAL_ADDRESS: Локальный IP вашего сервера (например,192.168.1.10).org.jitsi.videobridge.NAT_HARVESTER_PUBLIC_ADDRESS: Внешний (белый) IP сервера. Если вы в локалке, укажите тот же локальный IP.org.ice4j.ice.harvest.DISABLE_AWS_HARVESTER:true.org.ice4j.ice.harvest.STUN_MAPPING_HARVESTER_ADDRESSES:meet-jit-si-turnrelay.jitsi.net:443(помогает пробить NAT).
2. Проверка портов (Firewall)
Для видеосвязи обязательно должны быть открыты:
- UDP 10000: Самый важный порт для видео (JVB).
- TCP 7443: Для HTTPS и WebSockets.
- UDP 3478: Для STUN (поиск пути через NAT).
3. Права фокус-пользователя (
focus)Второго пользователя часто выкидывает, если компонент Jicofo (фокус-администратор комнаты) не может авторизоваться.
- Перейдите в Group Chat -> Service Settings -> [ваш MUC сервис, обычно conference].
- В разделе Permissions добавьте пользователя
focus@ваш_доменв список Administrators.
4. Консоль браузера
Если выкидывает, нажмите F12 в браузере (вкладка Console). Если видите ошибки
ICE Failed или Bridge Channel Disconnected, значит, браузер не может достучаться до порта UDP 10000 на сервере.Важный вопрос: Вы используете самоподписанный SSL-сертификат или Let's Encrypt? (Браузеры часто обрывают WebRTC соединение без доверенного сертификата).
Показать все
самоподписанный сертификат
Это
критический момент. Современные браузеры (Chrome, Edge, Firefox) блокируют функции WebRTC (камеру, микрофон и передачу данных через мост), если сертификат не является доверенным.Самоподписанный сертификат — главная причина, по которой второго пользователя «выкидывает»: браузер просто запрещает ему устанавливать защищенное соединение с медиа-сервером (JVB).
Как заставить это работать (3 способа)
Способ 1: Использовать Let's Encrypt (Рекомендуемый)
Если у вашего сервера есть публичное доменное имя, самое простое — выпустить бесплатный сертификат.
- Установите
certbot. - Выпустите сертификат для вашего домена.
- В админке Openfire перейдите в Server -> TLS/SSL Certificates -> Identity Store и импортируйте ключи.
Способ 2: «Приручить» браузер (Для тестов)
Чтобы проверить работу прямо сейчас, каждый участник должен:
- Зайти на
https://ваш-ip:7443/ofmeet/. - Нажать «Дополнительно» -> «Перейти на сайт (небезопасно)».
- Важно: Отдельно зайти на
https://ваш-ip:7443/(админка или корень) и тоже подтвердить исключение безопасности. - В некоторых версиях Chrome нужно включить флаг:
chrome://flags/#allow-insecure-localhost(если сервер локальный).
Способ 3: Настройка в Openfire для самоподписанных сертификатов
Чтобы компоненты внутри Openfire (Jigasi, Focus) не «ругались» друг на друга из-за сертификата, добавьте в System Properties:
org.jitsi.videobridge.DISABLE_CERTIFICATE_VERIFICATION=trueorg.jitsi.jicofo.ALWAYS_TRUST_EXTERNAL_GRPC=true(если есть такая настройка в версии)xmpp.client.cert.policy=optional
Почему нужен
pade_user (SIP) еще раз:Вы спросили «зачем он». Без него у вас будет только видеоконференция внутри браузера.
Если вы укажете
Если вы укажете
pade_user в настройках SIP плагина Pàdé:- В окне конференции появится иконка «Телефон».
- Вы сможете набрать мобильный или внутренний номер FreeSWITCH прямо из видео-встречи.
- FreeSWITCH соединит звонок, и голос человека из телефона появится в вашей видео-комнате.
Что делать сейчас:
- Проверьте консоль браузера (F12 -> Console). Если видите
DOMException: Permission deniedилиICE connection failed, это 100% проблема SSL или закрытого порта UDP 10000. - Откройте порт UDP 10000 на уровне системы (
ufw allow 10000/udpилиiptables).
Прислать вам команду, как проверить, доходит ли трафик до порта 10000 во время звонка?
Показать все
в консоли нет ошибок
2026-03-15T10:45:48.434Z [features/base/app] <PressureObserver.<anonymous>>: Compute pressure state changed: [{"source":"cpu","state":"fair","ownContributionEstimate":0.40523635783038464,"time":949148.1999999993}]
Это сообщение в консоли — не ошибка, а
стандартный отчет Chrome о нагрузке на процессор (Compute pressure state). Оно говорит о том, что интерфейс работает, но само медиа-соединение (видео/аудио) не установилось.Если ошибок нет, но пользователя «выкидывает» или он один в комнате, значит сигнальный канал (XMPP) работает, а медиа-канал (Bridge) — нет.
Вот чек-лист, чтобы «дожать» настройку:
1. Главная причина: UDP Порт 10000
Jitsi Videobridge (компонент Pàdé) передает видео строго по UDP 10000. Если он закрыт на сервере или в вашей сети, вы будете заходить в комнату, но не увидите никого, кроме себя (и через 15-30 секунд связь может оборваться).
- Команда для проверки на сервере:Должно показать, что процессbash
netstat -tulnp | grep 10000Используйте код с осторожностью.java(Openfire) слушает этот порт.
2. Системные свойства в Openfire (Admin Console)
Без этих настроек сервер не знает, какой IP сообщать браузеру для передачи видео. Зайдите в Server -> Server Manager -> System Properties и добавьте/проверьте:
org.jitsi.videobridge.NAT_HARVESTER_LOCAL_ADDRESS— локальный IP (например,192.168.x.x).org.jitsi.videobridge.NAT_HARVESTER_PUBLIC_ADDRESS— внешний белый IP (если вы за NAT) или тот же локальный IP (если работаете только внутри сети).org.ice4j.ice.harvest.DISABLE_AWS_HARVESTER—true.
3. Настройка "Focus" (Jicofo)
Чтобы в комнате было больше одного человека, должен работать «координатор» (Focus).
- Убедитесь, что в списке пользователей Openfire есть пользователь
focus. - Зайдите в Group Chat -> Service Settings -> conference (ваш сервис конференций).
- Вкладка Permissions: добавьте
focus@ваш_доменв список Admins.
4. Проверка через FreeSWITCH (ESL)
Раз вы настраиваете FreeSWITCH, проверьте, создает ли Pàdé конференцию в нем в момент захода в комнату:
- Зайдите в комнату
https://your-server:7443/ofmeet/test_room. - В терминале сервера введите:
fs_cli -x "conference list". - Если список пуст — значит, Openfire не смог подключиться к FreeSWITCH по ESL (проверьте пароль и IP в настройках плагина Pàdé).
Как проверить "битый" медиа-путь:
В браузере (Chrome) введите в адресной строке:
Там вы увидите графики. Если в разделе
chrome://webrtc-internals.Там вы увидите графики. Если в разделе
icecandidatepair статус стоит holding или failed вместо succeeded — значит, пакеты видео упираются в Firewall или неправильный IP в настройках NAT.Какой статус у вас в
chrome://webrtc-internals при попытке подключения второго пользователя? (Ищите красные линии или статус 'failed').Показать все
1
C:\Users\deadbeat>netstat -tulnp | grep 10000
"grep" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
2 org.jitsi.videobridge.NAT... таких нет настроек с NAT...
3 уже так и было
4
D:\FreeSWITCH>fs_cli -x "conference list"
[ERROR] fs_cli.c:1699 main() Error Connecting []
D:\FreeSWITCH>
Судя по выводу команд, у вас две критические проблемы:
Openfire не видит FreeSWITCH (ошибка подключения ESL) и не настроен медиа-трафик (отсутствие параметров NAT), из-за чего видео не передается между участниками.1. Исправляем подключение к FreeSWITCH (ESL)
Ошибка
[ERROR] fs_cli.c:1699 означает, что консоль (и плагин Pàdé) не может достучаться до порта 8021.- Проверьте конфиг еще раз: В файле
event_socket.conf.xmlпараметрlisten-ipдолжен быть0.0.0.0(если вы на Windows, это важно для биндинга порта). - Брандмауэр Windows: Откройте порт TCP 8021 (входящие правила).
- В Openfire: Зайдите в Server -> Pàdé -> FreeSWITCH Settings. Убедитесь, что там стоит
127.0.0.1(если FS на той же машине), порт8021и парольClueCon(как в вашем xml).
2. Настройка NAT (Медиа-трафик)
Если в системных свойствах нет параметров
org.jitsi..., их нужно создать вручную. Без них Jitsi не знает, по какому адресу слать видеопоток второму участнику.Зайдите в Server -> Server Manager -> System Properties и нажмите "Add Property" (внизу списка) для каждого пункта:
- Имя:
org.jitsi.videobridge.NAT_HARVESTER_LOCAL_ADDRESS
Значение:ваш_локальный_IP(например,192.168.1.5) - Имя:
org.jitsi.videobridge.NAT_HARVESTER_PUBLIC_ADDRESS
Значение:ваш_внешний_IP(если тестируете через интернет) или тот же локальный IP (если всё внутри сети). - Имя:
org.ice4j.ice.harvest.DISABLE_AWS_HARVESTER
Значение:true
3. Проверка портов на Windows (вместо grep)
Так как вы на Windows, используйте
findstr:cmd
netstat -ano | findstr :10000
netstat -ano | findstr :8021
Используйте код с осторожностью.
Если после ввода команд вы не видите строк со статусом
LISTENING, значит службы не запустили эти порты.4. Почему выкидывает второго (SSL)
Поскольку у вас самоподписанный сертификат, второй пользователь обязательно должен сначала зайти на корень сервера
https://ip-сервера:7443/ и нажать "Принять риск/Перейти", а только потом заходить в комнату /ofmeet/. Если этого не сделать, браузер заблокирует фоновое соединение (WebSocket) для второго игрока.Попробуйте сейчас:
- Добавить 3 свойства в System Properties (пункт 2).
- Перезагрузить службу Openfire.
- Проверить командой
netstat -ano | findstr :8021, слушает ли FreeSWITCH порт.
Какой IP адрес у вашего сервера в локальной сети? (Нужно для точной настройки свойств NAT).
Показать все
1 Брандмауэр отключен
http://127.0.0.1:9090/plugins/pade/freeswitch-overview.jsp Server -> Pàdé -> FreeSWITCH Settings нельзя ничего настроить
Summary Overview
Disabled
2 добавил 89,179,241,193 везде
3
D:\FreeSWITCH>netstat -ano | findstr :10000
UDP 89.179.240.91:10000 *:* 22764
UDP 192.168.0.10:10000 *:* 22764
D:\FreeSWITCH>netstat -ano | findstr :8021
TCP 0.0.0.0:8021 0.0.0.0:0 LISTENING 23544
4 пробовал не получается
Перезагрузил сервера все без изменений
Ситуация прояснилась: порты слушаются (22764 — это процесс Openfire, 23544 — FreeSWITCH), но плагин
Pàdé считает, что интеграция Disabled, поэтому он не управляет звонками.1. Почему в Pàdé написано "Disabled"
В последних версиях Pàdé настройки FreeSWITCH вынесены в System Properties самого Openfire. Плагин не включит коннектор, пока не увидит нужные флаги.
Зайдите в Server -> Server Manager -> System Properties и добавьте (или измените) следующие ключи:
pade.freeswitch.enabled— установитеtrue.pade.freeswitch.esl.host—127.0.0.1(так как оба на одной машине).pade.freeswitch.esl.port—8021.pade.freeswitch.esl.password—ClueCon(или ваш пароль из xml).
После добавления этих свойств перезагрузите плагин Pàdé (или весь Openfire). Статус в
freeswitch-overview.jsp должен смениться на Enabled/Connected.2. Ошибка с IP (Важный момент!)
В вашем пункте №3
Если у вас динамический IP или несколько интерфейсов, Jitsi может путаться.
netstat показывает два разных внешних IP: 89.179.240.91 и 89.179.241.193 (в пункте №2).Если у вас динамический IP или несколько интерфейсов, Jitsi может путаться.
- Убедитесь, что в свойствах
NAT_HARVESTERуказан ровно тот IP, который сейчас на внешнем интерфейсе. - Если вы тестируете внутри сети (оба компьютера в одной комнате), впишите везде локальный IP:
192.168.0.10. Для тестов внутри сети это надежнее.
3. Проблема "Выкидывает второго пользователя"
Если статус станет "Enabled", но видео всё равно не пойдет на двоих:
- Проблема Focus: В Openfire зайдите в Users/Groups. Найдите пользователя
focus. Убедитесь, что он в сети (Online). Если его нет — плагин настроен не до конца. - SSL и WebSocket: В браузере (Chrome) нажмите
F12-> вкладкаNetwork. Отфильтруйте по словуws. Если видите красную строку со статусомClosedилиError, значит браузер из-за самоподписанного сертификата обрывает связь с мостом.- Решение: Откройте в браузере
https://192.168.0и подтвердите исключение безопасности. Без этого WebSocket не заведется.
- Решение: Откройте в браузере
4. Проверка через fs_cli
Когда статус в Pàdé станет "Enabled", попробуйте снова:
Если связи по-прежнему нет, попробуйте явно указать параметры подключения:
D:\FreeSWITCH>fs_cli -x "conference list"Если связи по-прежнему нет, попробуйте явно указать параметры подключения:
fs_cli -H 127.0.0.1 -P 8021 -p ClueConЧто сейчас в логах Openfire? (Папка
logs, файл all.log или warn.log). Там должны быть записи со словом FreeSWITCH или ESL, если подключение не удается.Хотите, я помогу составить список всех необходимых параметров для
System Properties, чтобы вы просто проверили их по списку?Показать все
1 Добавил и есть уже
ofmeet.freeswitch.enabled true
ofmeet.freeswitch.hostname openfire.unifree1.ru
ofmeet.freeswitch.password hidden
2 верно написал 89.179.240.91 тут ошибся тестирую через внешний IP
3
пользователь Focus в онлайн
4
[ERROR] fs_cli.c:1699 main() Error Connecting []
Usage: fs_cli [-H <host>] [-P <port>] [-p <secret>] [-d <level>] [-x command] [-t <timeout_ms>] [profile]
-?,-h --help Usage Information
-H, --host=hostname Host to connect
-P, --port=port Port to connect (1 - 65535)
-u, --user=user@domain user@domain
-p, --password=password Password
-i, --interrupt Allow Control-c to interrupt
-x, --execute=command Execute Command and Exit
-l, --loglevel=command Log Level
-U, --log-uuid Include UUID in log output
-S, --log-uuid-short Include shortened UUID in log output
-q, --quiet Disable logging
-r, --retry Retry connection on failure
-R, --reconnect Reconnect if disconnected
-d, --debug=level Debug Level (0 - 7)
-b, --batchmode Batch mode
-t, --timeout Timeout for API commands (in milliseconds)
-T, --connect-timeout Timeout for socket connection (in milliseconds)
-n, --no-color Disable color
-s, --set-log-uuid Set UUID to filter log events
D:\FreeSWITCH>
Главная проблема сейчас в том, что
FreeSWITCH не пускает к себе консоль (и плагин), а настройки Openfire используют старые ключи.1. Исправляем подключение к FreeSWITCH (ESL)
Ошибка
Error Connecting в fs_cli означает, что порт 8021 закрыт или настроен неверно.- В файле
event_socket.conf.xml: проверьте, чтоlisten-ipустановлен в0.0.0.0, а не в::. - Попробуйте подключиться явно через CMD:Если эта команда выдаст ошибку, значит FreeSWITCH не слушает порт или пароль неcmd
fs_cli.exe -H 127.0.0.1 -P 8021 -p ClueConИспользуйте код с осторожностью.ClueCon. Пока эта команда не заработает, Pàdé не сможет управлять звонками.
2. Ключевые свойства Openfire (System Properties)
Вы используете префикс
ofmeet., но для плагина Pàdé (версии 1.x+) и последних сборок Openfire приоритетными являются свойства с префиксом pade..Добавьте/исправьте следующие Property:
pade.freeswitch.enabled—true(это активирует модуль в новом плагине).pade.freeswitch.esl.host—127.0.0.1.pade.freeswitch.esl.port—8021.pade.freeswitch.esl.password—ClueCon(или ваш актуальный пароль).pade.freeswitch.esl.domain—openfire.unifree1.ru(ваш домен).
3. Исправление NAT для видео
Вы указали внешний IP
89.179.240.91. Проверьте, что в системных свойствах стоят именно эти ключи (без ошибок в буквах):org.jitsi.videobridge.NAT_HARVESTER_LOCAL_ADDRESS=192.168.0.10org.jitsi.videobridge.NAT_HARVESTER_PUBLIC_ADDRESS=89.179.240.91
4. Почему "выкидывает" второго пользователя (SSL)
Поскольку у вас самоподписанный сертификат, браузер считает соединение с видео-мостом (порт 7443/wss) «опасным» и обрывает его в фоне.
Обязательное действие для обоих участников:
Обязательное действие для обоих участников:
- Открыть в новой вкладке
https://89.179.240(просто корень). - Нажать «Дополнительно» -> «Перейти на сайт».
- Только после этого открывать ссылку конференции.
5. Как проверить, ожил ли плагин
После смены свойств на
pade.freeswitch... и перезагрузки Openfire:- Зайдите в
Summary Overviewв админке Pàdé. Статус должен стать Enabled. - Зайдите в конференцию.
- Введите в CMD:
fs_cli.exe -x "conference list". Если там появится комната (например,testroom@default), значит связка заработала.
Удалось ли войти в FreeSWITCH через
fs_cli.exe -H 127.0.0.1 -P 8021 -p ClueCon? Если нет, прикрепите содержимое вашего event_socket.conf.xml.Показать все
удалось войти в консоль fs_cli -H 127.0.0.1 -P 8021 -p ClueCon
[This app Best viewed at 160x60 or more..]
+OK log level [7]
freeswitch@vshost>
2 все свойства внесены
3 почему 192.168.0.10 ? а не 89.179.240.91
4 как настроить сертификат и подключить к Openfire
5 заходит только так fs_cli -H 127.0.0.1 -P 8021 -p ClueCon эту команду fs_cli.exe -x "conference list" та же ошибка
Отлично! Раз консоль
fs_cli пустила вас внутрь — значит, FreeSWITCH готов к работе. Теперь нужно «подружить» его с Openfire и донастроить видео.1. Почему в
netstat два IP (192.168.0.10 и 89.179.240.91)?Это стандартная ситуация для сервера за роутером (NAT).
192.168.0.10— это локальный адрес вашей сетевой карты.89.179.240.91— это внешний адрес, который видит интернет.
Jitsi (Pàdé) должен знать оба: локальный — чтобы слушать порт на машине, и внешний — чтобы сообщить второму участнику в интернете, куда слать видео-поток.
2. Исправляем команду
fs_cli -xОшибка
Чтобы команда сработала, всегда указывайте параметры:
Error Connecting при запуске команды с -x возникает потому, что по умолчанию fs_cli пытается соединиться с паролем ClueCon и хостом ::1.Чтобы команда сработала, всегда указывайте параметры:
cmd
fs_cli -H 127.0.0.1 -P 8021 -p ClueCon -x "conference list"
Используйте код с осторожностью.
Если вы видите
0 conference running, значит связь есть, просто никто еще не зашел в комнату Pàdé.3. Как настроить SSL-сертификат в Openfire
Для видеозвонков (WebRTC) Let's Encrypt — единственный надежный бесплатный вариант.
- Домен: У вас должен быть рабочий домен (например,
openfire.unifree1.ru), направленный на ваш внешний IP. - Получение: Установите Certbot для Windows.
- Выполните:
certbot certonly --standalone -d openfire.unifree1.ru.
- Выполните:
- Импорт в Openfire:
- Зайдите в Server -> TLS/SSL Certificates.
- Нажмите Manage Store Contents у
Identity Store. - Выберите Import Private Key and Certificate.
- Вставьте содержимое файлов
privkey.pemиfullchain.pemиз папки Certbot. - Перезапустите Openfire.
4. Почему "выкидывает" второго (Финальное решение)
Если вы не хотите сейчас возиться с сертификатом, сделайте следующее (это «костыль» для тестов):
- В браузере введите
chrome://flags/#allow-insecure-localhost. Включите (Enabled). - В Openfire (System Properties) добавьте:
org.jitsi.videobridge.DISABLE_CERTIFICATE_VERIFICATION=true
- Убедитесь, что второй пользователь заходит именно по внешнему IP (или домену), а не по локальному.
5. Проверка интеграции Pàdé + FreeSWITCH
Чтобы понять, что Openfire «увидел» FreeSWITCH:
- Зайдите в комнату
https://89.179.240. - Сразу после захода введите в CMD:cmd
fs_cli -H 127.0.0.1 -P 8021 -p ClueCon -x "conference list"Используйте код с осторожностью. - Если вы увидите там комнату
test-something@default— бинго! Звук и управление конференциями заработали.
Важный вопрос: У вас в
System Properties сейчас оба ключа (pade.freeswitch.enabled и ofmeet.freeswitch.enabled) установлены в true? (В новых версиях лучше оставить только pade.).Попробуйте зайти в комнату и выполнить команду из пункта 5 — появится ли там активная конференция?
Показать все
2 +OK No active conferences.
4 не такого allow-insecure-localhost
Раз в
fs_cli вы видите +OK No active conferences, значит, связь между Openfire и FreeSWITCH по протоколу ESL установлена, но плагин еще не «скомандовал» создать комнату.1. Почему не создается конференция (Pàdé + FS)
Чтобы Pàdé создал аудио-комнату во FreeSWITCH, он должен считать себя «главным».
- Проверьте, что в System Properties параметр
pade.freeswitch.enabledточно стоит вtrue. - Убедитесь, что вы заходите в комнату под пользователем, у которого есть права (лучше под админом).
- Важно: В настройках
Server -> Pàdé -> FreeSWITCH Settingsполе ESL Host должно быть127.0.0.1, а не доменное имя (чтобы исключить проблемы с DNS внутри сервера).
2. Проблема с Chrome и SSL (пункт 4)
Если
allow-insecure-localhost нет в списке (он бывает только для localhost), используйте другой способ для теста видео:- Откройте Chrome.
- Введите в адресную строку:
chrome://flags/#unsafely-treat-insecure-origin-as-secure. - В поле вставьте ваш адрес:
https://89.179.240.91:7443. - Выберите Enabled и перезапустите браузер (Relaunch).
Это заставит Chrome думать, что ваш самоподписанный сертификат — доверенный, и он перестанет «выкидывать» второго пользователя.
3. Исправление сертификата в Openfire (без Certbot)
Если домена пока нет, можно временно «самоподписать» сертификат правильно внутри Openfire:
- Server -> TLS/SSL Certificates -> Identity Store.
- Удалите старые (если они красные или с ошибками).
- Нажмите Generate Self-signed Certificate.
- В поле Common Name (CN) впишите ваш внешний IP:
89.179.240.91. - После генерации обязательно нажмите на кнопку «Перезагрузить сертификаты» (она появится сверху) или перезапустите Openfire.
4. Почему выкидывает (Техническая причина)
Второго пользователя выкидывает, потому что Jitsi Videobridge (JVB) не может обменяться с ним «рукопожатием» (ICE).
- Проверьте в System Properties, что ключ
org.ice4j.ice.harvest.NAT_HARVESTER_PUBLIC_ADDRESSсодержит именно89.179.240.91. - Попробуйте зайти в комнату и нажать
F12-> вкладкаConsole. Если там есть ошибки со словамиICE failed, значит, видео-трафик (UDP 10000) блокируется провайдером или роутером, несмотря на то, что порт «слушается».
Давайте проверим логи самого плагина:
В папке Openfire
В папке Openfire
logs/ найдите файл stderrout.log или all.log. Есть ли там строки, содержащие org.jitsi.videobridge или Bridge failed? Это даст точный ответ, почему рвется связь.Показать все
1 pade.freeswitch.enabled true
2 сделал не помогло
3 надо инкрипт ставить
4 проверил все верно
XMPP Account
The Gateway to SIP will log in an XMPP user on behalf of the SIP client that joins the meeting. For servers that have disabled anonymous authentication, a username and password for this user needs to be provided. Openfire will attempt to automatically generate a suitable account.
This server is currently configured to not allow anonymous client authentication. An XMPP account is required for the Gateway to SIP to function properly.
The account details below appear to be incorrect (authentication fails).
Username:
Password:
Name of default JVB room that will be joined if no special header is included in SIP Invite:
Этот блок настроек в Openfire (Gateway to SIP / Jigasi) —
ключевая причина, по которой второй пользователь не может полноценно участвовать, а FreeSWITCH не видит конференции.Поскольку у вас выключена анонимная авторизация (Anonymous Authentication), компоненты видеомоста (Jigasi и Focus) не могут «зайти» на сервер XMPP, чтобы связать видео с аудио во FreeSWITCH.
1. Создание сервисного аккаунта (XMPP Account)
Вам нужно вручную создать пользователя в Openfire, который будет «мостом» для SIP-звонков.
- Зайдите в Users/Groups -> Create New User.
- Создайте пользователя:
- Username:
jigasi(или любое другое имя). - Password:
your_secure_password.
- Username:
- Вернитесь в Server -> Pàdé -> SIP Settings (или раздел Gateway to SIP) и впишите эти данные в поля Username и Password, на которые вы указали.
- В поле Name of default JVB room впишите:
lobby(или любое название). - Нажмите Save. Сообщение "authentication fails" должно исчезнуть.
2. Права доступа (Важно!)
Чтобы этот пользователь мог управлять комнатами:
- Зайдите в Group Chat -> Service Settings -> [ваш сервис, обычно conference].
- Вкладка Permissions: добавьте созданного пользователя
jigasi@openfire.unifree1.ruв список Admins (вместе с пользователемfocus).
3. Исправление "Выкидывает второго пользователя" (ICE/NAT)
Раз в консоли браузера нет ошибок, но связь рвется, значит ICE-пакеты (медиа) уходят на неверный адрес.
- В System Properties проверьте, что значение
org.ice4j.ice.harvest.NAT_HARVESTER_PUBLIC_ADDRESSсодержит только ваш внешний IP89.179.240.91. - Убедитесь, что параметр
org.ice4j.ice.harvest.DISABLE_AWS_HARVESTERстоит вtrue. - Если вы за роутером, на нем должен быть проброшен (Port Forwarding) не только TCP 7443, но и UDP 10000 на локальный IP
192.168.0.10.
4. Почему не было активных конференций в FS
Пока Jigasi не авторизуется в XMPP (пункт 1), он не даст команду FreeSWITCH создать аудио-конференцию через ESL. Как только вы пропишете корректный XMPP Account и сохранитесь, при входе в
/ofmeet/ плагин сможет авторизоваться и «прокинуть» звонок во FreeSWITCH.Что сделать сейчас:
Создайте пользователя jigasi, пропишите его в настройки XMPP Account в Pàdé и проверьте, исчезла ли красная надпись "authentication fails".
Создайте пользователя jigasi, пропишите его в настройки XMPP Account в Pàdé и проверьте, исчезла ли красная надпись "authentication fails".
Исчезла ли ошибка авторизации после ввода данных нового пользователя?
Показать все
1 The account details below appear to work fine
2 нет групп были и пропали
Отлично! То, что
The account details below appear to work fine — это победа. Теперь Jigasi (мост между XMPP и SIP) авторизован и может отдавать команды FreeSWITCH.1. Почему пропали группы (MUC)
В Openfire при установке Pàdé и настройке внешних компонентов (как FreeSWITCH/Jigasi) иногда происходит «перехват» управления сервисом конференций.
- Проверьте: Group Chat -> Service Settings. Убедитесь, что сервис с ID
conference(илиrooms) активен. - Зайдите в Group Chat -> Room Administration. Если список пуст, это нормально для Pàdé: он создает комнаты «на лету» (динамически), когда первый пользователь заходит по ссылке.
2. Главная проверка: Появится ли конференция в FS?
Теперь, когда авторизация пройдена, сделайте следующее:
- Зайдите в комнату:
https://89.179.240. - Как только вы увидите себя в камере, сразу введите в командной строке сервера:Если всё настроено верно, вы должны увидеть строку с названиемcmd
fs_cli -H 127.0.0.1 -P 8021 -p ClueCon -x "conference list"Используйте код с осторожностью.test_call@default. Это значит, аудио-мост работает.
3. Исправляем "Выкидывает второго пользователя"
Раз настройки IP верны, а ошибки в консоли пропали, проверьте порты на роутере.
Для работы двух и более человек Jitsi Videobridge (процесс Openfire) обязательно должен получать пакеты на:
Для работы двух и более человек Jitsi Videobridge (процесс Openfire) обязательно должен получать пакеты на:
- UDP 10000 (Видео и звук участников).
- UDP 10001 (Иногда используется для аудио-фокуса).
Если проброшен только TCP (7443), то первый зашедший видит себя, а второй при попытке подключить медиа-поток получает «от ворот поворот» от роутера, и его выбрасывает по таймауту.
4. Настройка SIP-аккаунта во FreeSWITCH для Jigasi
Чтобы видео-комната могла «звонить» наружу или принимать звонки, Jigasi нужен реальный SIP-аккаунт во FreeSWITCH.
- В папке
D:\FreeSWITCH\conf\directory\default\создайте файлjigasi.xml:xml<include> <user id="jigasi"> <params> <param name="password" value="jigasi_pass_123"/> </params> </user> </include>Используйте код с осторожностью. - В консоли
fs_cliвведитеreloadxml. - В Openfire (Server -> Pàdé -> SIP Settings) в разделе SIP Account укажите:
- SIP User:
jigasi - SIP Password:
jigasi_pass_123 - SIP Server:
127.0.0.1
- SIP User:
Что сейчас выдает
conference list при активном окне браузера с конференцией? (Если пусто — нужно смотреть warn.log в Openfire на предмет ошибок ESL).Показать все
1
нашел и добавил
2 без изменений
4 настроил
А вообще FreeSWITCH что нам дает ? звонки без этого не возможны в Openfire
FreeSWITCH
в связке с Openfire/Pàdé дает три ключевые возможности, которых нет в «чистом» Openfire:- Телефония (PSTN/SIP): Вы можете позвонить из браузера (окно Pàdé) на обычный мобильный номер или внутренний IP-телефон.
- Аудио-микширование: Если у участника плохой интернет и видео не тянет, FreeSWITCH позволяет ему участвовать в конференции только голосом (как в Zoom «войти по телефону»).
- Запись и IVR: FreeSWITCH может записывать аудио-поток встречи или проигрывать приветствие («Введите код комнаты») при входящем звонке.
Можно ли без него?
Да. Если вам нужны только видеозвонки «браузер-браузер» внутри сети, FreeSWITCH не обязателен. Pàdé использует встроенный Jitsi Videobridge (JVB) для передачи видео и звука между участниками.
Да. Если вам нужны только видеозвонки «браузер-браузер» внутри сети, FreeSWITCH не обязателен. Pàdé использует встроенный Jitsi Videobridge (JVB) для передачи видео и звука между участниками.
Почему по-прежнему «без изменений» и выкидывает?
Если
conference list пуст, значит, ESL-команда от Openfire не доходит до FreeSWITCH или не срабатывает триггер.- Проверьте логи Openfire (важнейший шаг):
Откройте файлlogs/all.log(илиwarn.log) и поищите слово ESL. Если там есть ошибкиConnection refusedилиAuthentication failed, значит, Pàdé не может «достучаться» до порта 8021, несмотря на то, чтоfs_cliзаходит. - Контроль портов (UDP):
То, что второго пользователя выкидывает — это на 99% проблема UDP порта 10000.- В Windows проверьте: Брандмауэр -> Дополнительные параметры -> Входящие правила.
- Должно быть правило: Протокол UDP, Порт 10000, Разрешить всем. (Даже если брандмауэр выключен, иногда правила фильтрации активны).
Что делать с Jigasi (SIP Account)?
Раз вы настроили пользователя
jigasi в SIP Settings:- В окне конференции
ofmeet(в браузере) должна появиться иконка телефона. - Попробуйте нажать на неё и введите любой номер, который у вас настроен во FreeSWITCH (например, тестовый номер
9196для эха). - Если во FreeSWITCH пойдет вызов (
fs_cliпокажет логи звонка) — значит, связка работает!
Хотите, чтобы мы проверили, почему видео всё-таки «выкидывает»? Для этого мне нужно знать: второй пользователь заходит с того же компьютера или из другого места (другой IP)?
Показать все
давай сосредоточимся без FreeSWITCH попробуем достичь созвона между пользователями
Отличное решение. Без
FreeSWITCH схема упрощается: видео и звук идут напрямую через Jitsi Videobridge (JVB) внутри Openfire. Если вас «выкидывает», значит, сигнальный путь (чат) работает, а медиа-путь (видео) — нет.Вот 3 конкретных шага, чтобы звонок наконец прошел:
1. Настройка сетевых свойств (System Properties)
В Openfire зайдите в Server -> Server Manager -> System Properties. Убедитесь, что эти параметры созданы и в них нет опечаток:
org.jitsi.videobridge.NAT_HARVESTER_LOCAL_ADDRESS=192.168.0.10(ваш внутренний IP).org.jitsi.videobridge.NAT_HARVESTER_PUBLIC_ADDRESS=89.179.240.91(ваш внешний IP).org.ice4j.ice.harvest.DISABLE_AWS_HARVESTER=true.org.ice4j.ice.harvest.STUN_MAPPING_HARVESTER_ADDRESSES=meet-jit-si-turnrelay.jitsi.net:443(это поможет «пробить» NAT без своего TURN-сервера).
2. Проверка портов на роутере (Критично)
Поскольку вы тестируете через внешний IP, ваш роутер должен знать, куда отправлять видео-пакеты. Проверьте Port Forwarding на роутере:
- UDP 10000 -> на
192.168.0.10(Обязательно UDP, не TCP!). - TCP 7443 -> на
192.168.0.10.
Если UDP 10000 закрыт, второй пользователь увидит черный экран и через 15 секунд его выкинет с ошибкой "Bridge Channel Disconnected".
3. Исправление ошибки "Focus" (Jicofo)
Чтобы пользователи видели друг друга, должен работать «координатор» (Focus).
- Зайдите в Users/Groups. Убедитесь, что пользователь
focusв статусе Online. - Если он оффлайн — перезапустите плагин Pàdé.
- Зайдите в Group Chat -> Service Settings -> [ваш сервис] -> Permissions. Добавьте
focus@openfire.unifree1.ruв список Administrators.
Как проверить, в чем именно проблема?
Откройте конференцию, дождитесь второго пользователя. Когда его «выкинет», нажмите F12 в браузере -> вкладка Console.
- Если видите
ICE Failed— это 100% закрытый порт UDP 10000 или неверный IP вNAT_HARVESTER. - Если видите
WebSocket Error— это проблема с SSL-сертификатом (нужно зайти наhttps://89.179.240.91:7443и нажать «Принять риск»).
Какой статус у пользователя
focus в списке пользователей Openfire прямо сейчас? (Online или Offline?)Показать все
не получаться в консоли посмотреть страница автоматически перезагружается
Это происходит из-за того, что
Pàdé пытается автоматически восстановить соединение (reconnect), когда медиа-канал (видео/аудио) не может установиться. Цикл перезагрузки — явный признак ошибки ICE (проблема с портами или IP).Чтобы «заморозить» консоль и увидеть ошибку, в Chrome нажмите F12, перейдите в Settings (шестеренка в углу панели разработчика) и поставьте галочку "Preserve log" (Сохранять лог). Теперь при перезагрузке записи не пропадут.
Что нужно исправить прямо сейчас:
- Отключите "Авто-реконнект" для теста:
В системных свойствах Openfire добавьте:ofmeet.pwa.reconnect.enabled=false
(Это остановит перезагрузку страницы, и вы сможете спокойно прочитать ошибки в консоли). - Проверьте статус Focus:
Вы не ответили, находится ли пользовательfocusв статусе Online в списке пользователей Openfire. Если он Offline, конференция никогда не начнется — участников будет выкидывать сразу.- Решение: Если он Offline, добавьте его в список Admins в настройках MUC (
Group Chat -> Service Settings -> conference).
- Решение: Если он Offline, добавьте его в список Admins в настройках MUC (
- Критическая настройка UDP (Windows):
Даже при отключенном брандмауэре Windows иногда блокирует трафик на порту 10000.
Выполните в PowerShell от админа:powershellNew-NetFirewallRule -DisplayName "Jitsi UDP" -Direction Inbound -Action Allow -Protocol UDP -LocalPort 10000Используйте код с осторожностью. - Проблема NAT Loopback:
Если вы заходите по внешнему IP89.179.240.91, находясь в той же локальной сети, что и сервер, ваш роутер может блокировать такой запрос (NAT Loopback).- Тест: Попробуйте зайти в комнату: один человек через Wi-Fi (локалка), а второй — через мобильный интернет (4G) на телефоне. Если так заработает — проблема в настройках роутера.
Что написано в консоли (F12) красным цветом ПЕРЕД тем, как страница пытается перезагрузиться? (Ищите слова
ICE failed или Bridge Channel Disconnected).Показать все
ссылки на конференцию генерирует в чате не верные адрес как изменить https://openfire.free:7443/ofmeet/test2_9ig-test2_9ig-1773576701750
openfire.free на openfire.mail.com
Чтобы изменить домен в ссылках конференции с
openfire.free на ваш реальный openfire.unifree1.ru, нужно поправить системные свойства Openfire. Плагин берет эти данные из настроек XMPP-домена.1. Изменение основного домена (Рекомендуется)
Если ваш сервер называется
openfire.free, ссылки будут такими по умолчанию.- Перейдите в Server -> Server Manager -> Server Information.
- Нажмите Edit Properties.
- В поле XMPP Domain Name впишите
openfire.unifree1.ru. - Внимание: Это может потребовать перевыпуска сертификатов и перенастройки пользователей (их JID изменится с
user@openfire.freeнаuser@openfire.unifree1.ru).
2. Принудительная замена ссылки в Pàdé (Без смены домена)
Если вы не хотите менять домен сервера, можно «обмануть» плагин через System Properties:
- Зайдите в Server -> Server Manager -> System Properties.
- Найдите (или создайте) свойство:
ofmeet.root.url.secure. - Установите значение:
https://unifree1.ru. - Также проверьте свойство:
pade.domain.nameи установите его вopenfire.unifree1.ru.
3. Исправление в HTTP Binding
Убедитесь, что в Server -> Server Settings -> HTTP Binding:
- Script Syntax разрешен.
- В поле BOSH URL или связанных настройках не затесался старый адрес.
Почему это важно для видео:
Если ссылка ведет на
openfire.free, а ваш сертификат выписан на openfire.unifree1.ru, второй пользователь при переходе по ссылке получит ошибку SSL, и браузер заблокирует WebRTC (видео).После внесения изменений:
- Перезапустите плагин Pàdé (Plugins -> Pàdé -> Reload).
- Попробуйте создать новую конференцию в чате.
Удалось ли вам изменить значение в
ofmeet.root.url.secure? Это должно мгновенно исправить ссылки в чате.Показать все
ofmeet.root.url.secure не решило
Если настройка
ofmeet.root.url.secure не помогла, значит плагин берет имя хоста напрямую из системных настроек XMPP или настроек сетевого интерфейса Java.Чтобы принудительно «перебить» домен
openfire.free на openfire.unifree1.ru в ссылках, сделайте следующее по порядку:1. Главная настройка в System Properties
Найдите и измените (или создайте) эти ключи:
xmpp.domain— установитеopenfire.unifree1.ru(Это глобальный ID сервера).xmpp.fqdn— установитеopenfire.unifree1.ru(Fully Qualified Domain Name).pade.domain.name— установитеopenfire.unifree1.ru.
2. Настройка HTTP Binding
Зайдите в Server -> Server Settings -> HTTP Binding:
- В поле Hostnames (если оно есть в вашей версии) впишите
openfire.unifree1.ru. - Убедитесь, что Port 7443 включен.
3. Перезапуск плагина (Обязательно)
Изменения в
System Properties для Pàdé часто не подхватываются «на лету».- Перейдите в Plugins.
- Найдите Pàdé, нажмите иконку Reload (две стрелочки).
- Если не помогло — перезапустите весь сервис Openfire.
4. Почему это важно для "созвона"
Если ссылка в чате генерируется как
openfire.free, то когда второй пользователь нажимает на неё:- Его компьютер пытается разрешить имя
openfire.freeчерез DNS (и, скорее всего, не находит его). - Если даже находит, возникает конфликт SSL-сертификата: сертификат выдан на
unifree1.ru, а в строке браузераopenfire.free. Браузер блокирует WebRTC-трафик (микрофон и камеру) из соображений безопасности.
Как проверить сейчас:
Просто вручную скопируйте ссылку из чата, замените в блокноте
Просто вручную скопируйте ссылку из чата, замените в блокноте
openfire.free на ваш IP 89.179.240.91 и отправьте второму пользователю.Если по прямой ссылке с IP второй пользователь зайдет и его перестанет выкидывать, значит проблема была только в неверном домене в ссылке.
Удалось ли созвониться, если зайти по прямой ссылке с IP-адресом? (Например:
https://89.179.240)Показать все
после изменений не пускает в админку xmpp.domain
Это произошло потому, что
xmpp.domain — это уникальный идентификатор (ID) вашего сервера. Когда вы его изменили, старая учетная запись администратора admin@openfire.free перестала существовать, так как теперь сервер ищет admin@openfire.unifree1.ru.Как вернуть доступ к админке:
Вам нужно запустить процедуру "Начальной настройки" (Setup), чтобы сервер перепривязал админа к новому домену:
- Откройте файл конфигурации Openfire (обычно это
C:\Program Files\Openfire\conf\openfire.xml). - Найдите в самом низу строку:
<setup>true</setup>. - Измените её на:
<setup>false</setup>. - Перезапустите службу Openfire.
- Зайдите в браузер на порт
9090. Сервер предложит пройти шаги настройки:- Выберите язык.
- Важно: На шаге настроек сервера введите в поле XMPP Domain Name ваш правильный домен:
openfire.unifree1.ru. - Нажмите "Продолжить" через все шаги до конца. База данных подхватится автоматически.
Как исправить ссылки в Pàdé (правильный путь):
Чтобы не ломать домен сервера, верните
xmpp.domain в исходное состояние (через Setup или правку базы), а ссылки в Pàdé меняйте только через эти свойства в System Properties:ofmeet.root.url.secure=https://unifree1.ruofmeet.url=https://unifree1.rupade.domain.name=openfire.unifree1.ru
Почему это важно для звонков:
Если вы меняете
Если вы меняете
xmpp.domain, все ваши пользователи «старого» домена пропадают из списков. Для созвона проще оставить домен как есть (openfire.free), но в System Properties прописать внешний адрес для веб-интерфейса.Удалось ли вам зайти в мастер настройки после правки
openfire.xml? (Это самый быстрый способ «починить» админку).Показать все
как создать с помощью Posh-ACME ключи для openfire
Для создания сертификатов через
Posh-ACME (это отличный выбор для Windows) и их интеграции в Openfire, выполните следующие шаги. Мы будем использовать метод DNS-01, так как он самый надежный для серверов за NAT.Шаг 1: Установка модуля
Запустите PowerShell от имени Администратора:
powershell
Install-Module -Name Posh-ACME -Scope CurrentUser -Force
Используйте код с осторожностью.
Шаг 2: Генерация сертификата
Вам нужно выбрать плагин для вашего DNS-провайдера (например, Cloudflare, GoDaddy или Manual). Если автоматизации нет, используйте
Manual:powershell
# Замените на свой домен и email
New-PACertificate 'openfire.unifree1.ru' -Contact 'admin@unifree1.ru' -AcceptTOS -Plugin Manual
Используйте код с осторожностью.
- Важно: Скрипт попросит вас создать TXT-запись в панели управления вашим доменом. Сделайте это и подождите 5–10 минут перед нажатием Enter.
Шаг 3: Подготовка файлов для Openfire
После успешной проверки сертификаты сохранятся в папку:
%AppData%\Local\Posh-ACME\Main\openfire.unifree1.ru\Openfire проще всего "скормить" файлы в формате PEM. Вам понадобятся:
fullchain.crt(весь путь сертификатов)privkey.key(ваш закрытый ключ)
Шаг 4: Импорт в Openfire (через админку)
Самый надежный способ без командной строки:
- Зайдите в Server -> TLS/SSL Certificates -> Identity Store.
- Нажмите Import Private Key and Certificate.
- Passphrase: оставьте пустым (Posh-ACME обычно не шифрует ключ паролем).
- Private Key: откройте блокнотом
privkey.keyи скопируйте всё содержимое. - Certificate: откройте блокнотом
fullchain.crtи скопируйте всё содержимое. - Нажмите Save.
Шаг 5: Проверка и перезагрузка
- В списке сертификатов вы должны увидеть новый, выданный Let's Encrypt.
- Нажмите на появившуюся сверху оранжевую надпись "Click here to restart the HTTP server" (или перезагрузите весь Openfire).
- Теперь при заходе на
https://unifree1.ruзамок в браузере должен быть зеленым.
Нюанс для видео:
Как только замок станет зеленым, браузер разрешит WebSocket и WebRTC. Это должно решить проблему с тем, что пользователей «выкидывало».
Как только замок станет зеленым, браузер разрешит WebSocket и WebRTC. Это должно решить проблему с тем, что пользователей «выкидывало».
У вас есть доступ к DNS-панели домена, чтобы добавить TXT-запись для проверки?
Показать все
есть вот такой скрипт как его адаптировать для Openfire
# =========================== НАСТРОЙКИ ===========================
$MainDomain = "mail.com"
$AltNames = @(
"mail.mail.com", "smtp.mail.com", "smtps.mail.com",
"imap.mail.com", "imaps.mail.com", "pop.mail.com",
"pop2.mail.com", "pop3.mail.com"
)
$AllDomains = $MainDomain + "," + ($AltNames -join ",")
$Email = "postmaster@mail.com"
$WebRoot = "I:\Inetpub\mailhello.ru\public_www" # Путь до веб-каталога
$TargetPath = "D:\FAQ\MdaemonFAQ\PEM" # Куда сохранить сертификаты
# Пароль для .pfx
$PlainPass = "MyStrongPassword123!"
$PfxPass = ConvertTo-SecureString $PlainPass -AsPlainText -Force
# ================================================================
Import-Module Posh-ACME
# Устанавливаем сервер (если не установлен)
if (-not (Get-PAServer)) {
Set-PAServer LE_PROD
}
# Создание аккаунта (если нет)
if (-not (Get-PAAccount)) {
New-PAAccount -AcceptTOS -Contact "mailto:$Email"
}
# Получение сертификата
$Cert = New-PACertificate -Domain $MainDomain `
-SubjectAltName $AltNames `
-AcceptTOS `
-Plugin WebRoot `
-PluginArgs @{ WebRootPath = $WebRoot } `
-PfxPass $PfxPass `
-Force
if (-not $Cert) {
#Write-Error "❌ Не удалось получить сертификат."
exit 1
}
# Копирование файлов
Copy-Item -Path "$($Cert.FullChainPem)" -Destination "$TargetPath\mailuse.pem" -Force
Copy-Item -Path "$($Cert.KeyPem)" -Destination "$TargetPath\mailuse.key" -Force
Copy-Item -Path "$($Cert.PfxFullChain)" -Destination "$TargetPath\mailuse.pfx" -Force
# (Необязательно) сохранить пароль в файл (можно закомментировать)
$PlainPass | Out-File "$TargetPath\mailuse_pfx_password.txt"
#Write-Host "`n✅ Сертификат выпущен и сохранён. Домен: $AllDomains"
#Write-Host "`🗝️ Пароль для mailuse.pfx: $PlainPass"
Этот скрипт отлично подходит, так как использует плагин
WebRoot (проверка через файл в веб-директории). Для Openfire нам нужно изменить домены и пути, а также добавить команду для «подхвата» сертификата сервером.Адаптированный скрипт для Openfire
Замените значения в блоке настроек на свои:
powershell
# =========================== НАСТРОЙКИ OPENFIRE ===========================
$MainDomain = "openfire.unifree1.ru"
$AltNames = @("unifree1.ru") # Добавьте доп. имена, если нужно
$Email = "admin@unifree1.ru"
# Путь к веб-корню (Openfire использует Jetty, укажите путь к папке htdocs или вашему IIS)
$WebRoot = "C:\inetpub\wwwroot"
# Куда сохранять PEM файлы для импорта
$TargetPath = "C:\OpenfireCert"
if (-not (Test-Path $TargetPath)) { New-Item -ItemType Directory -Path $TargetPath }
# =========================================================================
Import-Module Posh-ACME
# 1. Получение сертификата
$Cert = New-PACertificate $MainDomain `
-SubjectAltName $AltNames `
-Contact $Email `
-AcceptTOS `
-Plugin WebRoot `
-PluginArgs @{ WebRootPath = $WebRoot } `
-Force
if ($Cert) {
# 2. Копируем PEM-файлы (Openfire лучше всего ест именно их)
# FullChain.pem — это сам сертификат + цепочка
# PrivKey.pem — это закрытый ключ
Copy-Item -Path $Cert.FullChainPem -Destination "$TargetPath\openfire_fullchain.pem" -Force
Copy-Item -Path $Cert.KeyPem -Destination "$TargetPath\openfire_privkey.pem" -Force
Write-Host "✅ Сертификаты сохранены в $TargetPath"
Write-Host "⚠️ Теперь импортируйте их в админке Openfire:"
Write-Host "1. Server -> TLS/SSL Certificates -> Identity Store -> Import Private Key and Certificate"
Write-Host "2. Вставьте содержимое openfire_privkey.pem в поле Private Key"
Write-Host "3. Вставьте содержимое openfire_fullchain.pem в поле Certificate"
}
Используйте код с осторожностью.
Как автоматизировать импорт (без админки)
Openfire хранит сертификаты в Java KeyStore (
keystore). Чтобы скрипт сам обновлял их без вашего участия, в конец скрипта нужно добавить конвертацию в PFX и команду keytool.Но для начала сделайте это вручную через админку:
- Выполните скрипт.
- Зайдите в Server -> TLS/SSL Certificates -> Identity Store.
- Нажмите Import Private Key and Certificate.
- Откройте блокнотом созданные файлы в
$TargetPathи скопируйте их содержимое в соответствующие поля. - Нажмите Save и перезапустите HTTP-сервер (кнопка появится сверху).
Почему это решит проблему со звонками?
Как только вы зайдете по адресу
Как только вы зайдете по адресу
https://unifree1.ru и увидите зеленый замок, браузер разрешит установку WebRTC-соединения. Это устранит причину, по которой второго пользователя «выкидывало» из-за блокировки незащищенного трафика.У вас IIS работает на том же сервере, что и Openfire? (Это важно для правильного пути
$WebRoot).Показать все
а если без IIS
Если у вас нет работающего веб-сервера (IIS или Nginx), метод
WebRoot не сработает, так как Let's Encrypt не сможет найти проверочный файл по адресу http://unifree1.ru....В этом случае у вас есть два пути:
Вариант 1: Использовать встроенный сервер Posh-ACME (метод HTTP)
Posh-ACME может сам на время проверки поднять мини-веб-сервер на 80-м порту.
Условие: Порт 80 (TCP) должен быть открыт в брандмауэре Windows и проброшен на роутере на ваш сервер.
Условие: Порт 80 (TCP) должен быть открыт в брандмауэре Windows и проброшен на роутере на ваш сервер.
Адаптированный скрипт:
powershell
Import-Module Posh-ACME
$MainDomain = "openfire.unifree1.ru"
# Запускаем получение через встроенный HTTP-сервер (порт 80 должен быть свободен)
$Cert = New-PACertificate $MainDomain `
-AcceptTOS `
-Plugin HTTP `
-Force
if ($Cert) {
# Путь к сертификатам для Openfire
$ExportPath = "C:\OpenfireCert"
if (-not (Test-Path $ExportPath)) { New-Item $ExportPath -ItemType Directory }
Copy-Item $Cert.FullChainPem -Destination "$ExportPath\fullchain.pem" -Force
Copy-Item $Cert.KeyPem -Destination "$ExportPath\privkey.pem" -Force
Write-Host "✅ Файлы созданы в $ExportPath. Импортируйте их в админку Openfire."
}
Используйте код с осторожностью.
Вариант 2: Использовать проверку через DNS (метод DNS-01)
Это самый надежный способ, если порт 80 закрыт провайдером. Вам нужно будет вручную (или через API) добавить TXT-запись в настройки вашего домена.
Скрипт для ручного DNS:
powershell
New-PACertificate "openfire.unifree1.ru" -Plugin Manual -AcceptTOS
Используйте код с осторожностью.
Скрипт остановится и напишет: "Создайте TXT запись для _acme-challenge.openfire.unifree1.ru со значением XXX". Сделайте это в панели управления доменом, подождите 5 минут и нажмите Enter.
Как импортировать результат в Openfire:
- Зайдите в Server -> TLS/SSL Certificates -> Identity Store.
- Нажмите Import Private Key and Certificate.
- Private Key: Откройте блокнотом
privkey.pemи скопируйте всё содержимое (включая-----BEGIN PRIVATE KEY-----). - Certificate: Откройте блокнотом
fullchain.pemи скопируйте всё содержимое. - Нажмите Save и Restart HTTP Server (кнопка появится вверху страницы).
Почему это важно для созвона:
Без IIS или другого веб-сервера на 80 порту метод
Без IIS или другого веб-сервера на 80 порту метод
WebRoot из вашего прошлого скрипта просто не найдет путь для подтверждения владения доменом. Метод HTTP или Manual решит эту проблему.Какой из вариантов вам удобнее: открыть порт 80 на время проверки или добавить TXT-запись в панель домена?
Показать все
а если уже есть сертификат от Let's Encrypt как его добавить в Openfire
Если у вас уже есть готовые файлы сертификата (например, полученные через Posh-ACME, Certbot или скопированные с другого сервера), добавить их в Openfire проще всего через админ-панель.
Вам понадобятся два файла: закрытый ключ (обычно
privkey.pem) и цепочка сертификатов (обычно fullchain.pem).Пошаговая инструкция импорта:
- Откройте админку Openfire: Перейдите в
Server->TLS/SSL Certificates. - Выберите хранилище: Нажмите на ссылку Identity Store (обычно это верхняя таблица).
- Запустите импорт: Нажмите на ссылку Import Private Key and Certificate (под таблицей).
- Заполните поля:
- Passphrase: Оставьте пустым (если вы не задавали специальный пароль при генерации ключа).
- Private Key: Откройте ваш файл
privkey.pemблокнотом, скопируйте всё содержимое (включая строки-----BEGIN PRIVATE KEY-----и-----END PRIVATE KEY-----) и вставьте в это поле. - Certificate: Откройте файл
fullchain.pemблокнотом, скопируйте всё содержимое и вставьте в это поле.
- Сохраните: Нажмите кнопку Save.
- Активируйте: После сохранения вверху страницы появится оранжевое уведомление: "Click here to restart the HTTP server". Обязательно нажмите на него, чтобы новый сертификат применился к порту 7443.
Как проверить, что всё получилось:
- В списке сертификатов должна появиться новая строка, где в колонке "Issuer" указано Let's Encrypt.
- Зайдите на
https://unifree1.ru. В адресной строке браузера должен появиться закрытый замок (доверенное соединение).
Почему это критично для звонков:
Как только замок станет "зеленым" (доверенным), браузер разрешит передачу аудио и видео через WebRTC. Это устранит главную причину, по которой второго пользователя "выкидывало" — теперь защищенный канал данных (WebSocket) не будет блокироваться системой безопасности браузера.
Как только замок станет "зеленым" (доверенным), браузер разрешит передачу аудио и видео через WebRTC. Это устранит главную причину, по которой второго пользователя "выкидывало" — теперь защищенный канал данных (WebSocket) не будет блокироваться системой безопасности браузера.
Удалось ли вам найти файлы privkey.pem и fullchain.pem среди результатов работы Posh-ACME?
Показать все
Import Private Key and Certificate нет
Если ссылки
"Import Private Key and Certificate" нет в меню, это означает, что в вашей версии Openfire управление сертификатами скрыто или используется старый интерфейс.Вот как это исправить и добавить сертификат:
Способ 1: Через управление хранилищем (Identity Store)
- Перейдите в Server -> TLS/SSL Certificates.
- В первой таблице (Identity Store) нажмите на ссылку в столбце Manage Store Contents (обычно это иконка или текст "Manage...").
- В открывшемся окне вверху или внизу должна появиться ссылка "Import Private Key and Certificate".
Способ 2: Если ссылки всё равно нет (через системные свойства)
Иногда пункты меню пропадают, если выключены права на редактирование сертификатов.
- Зайдите в Server -> Server Manager -> System Properties.
- Убедитесь, что свойство
self-signed-certificate-generation-enabledустановлено вtrue. - Также проверьте, что плагин Certificate Manager установлен (если он есть в списке доступных).
Способ 3: "Ручной" импорт через PFX (Самый надежный)
Если админка не дает импортировать PEM-файлы по отдельности, соберите их в один файл PFX и загрузите целиком:
- Создайте PFX файл из ваших сертификатов (используйте PowerShell, где установлен Posh-ACME):(Если openssl не установлен, Posh-ACME обычно уже создал .pfx файл в своей папке).powershell
# Пути к вашим файлам от Let's Encrypt $certFile = "C:\path\to\fullchain.pem" $keyFile = "C:\path\to\privkey.pem" $pfxFile = "C:\path\to\openfire.pfx" $password = "123456" # Openfire потребует пароль openssl pkcs12 -export -out $pfxFile -inkey $keyFile -in $certFile -password pass:$passwordИспользуйте код с осторожностью. - Загрузите PFX в Openfire:
- В разделе Identity Store нажмите "Import" или "Upload".
- Выберите ваш
.pfxфайл. - Введите пароль (например,
123456).
Почему это важно для созвона:
Без импортированного Let's Encrypt сертификата в Identity Store, порт 7443 (на котором работает видео Pàdé) будет продолжать отдавать старый самоподписанный сертификат, и браузер будет обрывать видеозвонок второго пользователя.
Без импортированного Let's Encrypt сертификата в Identity Store, порт 7443 (на котором работает видео Pàdé) будет продолжать отдавать старый самоподписанный сертификат, и браузер будет обрывать видеозвонок второго пользователя.
Какую версию Openfire вы используете? (Это поможет мне точно сказать, где спрятана кнопка импорта).
Показать все
есть пример bat файла для другого сервиса рабочий как переделать
set path=C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates\
set file=e6FDq4gZe02fWRF6QaCZig-main-7db7c9b9effde6ed1cfb63f44ba8d17c8e54f853-temp.pfx
set pass=LC8WiwZ4PFTjh1OYdSxPY90gzVHfxpIAOkLOCvV1I8=
rem D:\OpenSSL-Win64\bin\openssl pkcs12 -in 22222222222.pfx -nocerts -out drlive.key
rem D:\OpenSSL-Win64\bin\openssl pkcs12 -in 22222222222.pfx -password pass:z9PYpMKnMBkF2O85mJ1oxWXl8sZRWfD4tVi33bzlibQ= -nocerts -out drlive.key
net stop unbound
D:\OpenSSL-Win64\openssl-1.1.1\x64\bin\openssl pkcs12 -in %path%%file% -passin pass:%pass% -passout pass:%pass% -clcerts -out drlive.key
rem D:\OpenSSL-Win64\bin\openssl rsa -in drlive.key -out drlive-decrypted.key
D:\OpenSSL-Win64\bin\openssl rsa -in drlive.key -passin pass:%pass% -out drlive-decrypted.key
rem D:\OpenSSL-Win64\bin\openssl pkcs12 -in 22222222222.pfx -clcerts -nokeys -out drlive.crt
rem D:\OpenSSL-Win64\openssl-1.1.1\x64\bin\openssl pkcs12 -in %path%%file% -password pass:%pass% -clcerts -nokeys -out drlive-decrypted.crt
D:\OpenSSL-Win64\openssl-1.1.1\x64\bin\openssl pkcs12 -in %path%%file% -password pass:%pass% -nokeys -out drlive-decrypted.crt
rem D:\OpenSSL-Win64\openssl-1.1.1\x64\bin\openssl pkcs12 -in %path%%file% -password pass:%pass% -nokeys -out D:\DNSDoT\unbound\certs\drlive-fullchain.crt
copy /Y drlive-decrypted.crt D:\DNSDoT\unbound\certs\drlive-decrypted.crt
copy /Y drlive-decrypted.key D:\DNSDoT\unbound\certs\drlive-decrypted.key
Для Openfire ваш BAT-файл нужно адаптировать так, чтобы на выходе получались чистые файлы
PEM (ключ и цепочка сертификатов), которые Openfire принимает в меню «Import Private Key and Certificate».В Openfire это меню находится здесь: Server -> TLS/SSL Certificates -> Нажать на Identity Store -> Import Private Key and Certificate.
Адаптированный BAT-файл
batch
@echo off
:: =========================== НАСТРОЙКИ ===========================
set OPENSSL_BIN="D:\OpenSSL-Win64\openssl-1.1.1\x64\bin\openssl.exe"
set CERT_PATH="C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates\"
set CERT_FILE="e6FDq4gZe02fWRF6QaCZig-main-7db7c9b9effde6ed1cfb63f44ba8d17c8e54f853-temp.pfx"
set CERT_PASS="LC8WiwZ4PFTjh1OYdSxPY90gzVHfxpIAOkLOCvV1I8="
:: Куда сохранить готовые файлы для Openfire
set TARGET_DIR="C:\Openfire_Certs_Export"
if not exist %TARGET_DIR% mkdir %TARGET_DIR%
:: ================================================================
echo [1/3] Извлекаем закрытый ключ (Decrypted Key)...
%OPENSSL_BIN% pkcs12 -in %CERT_PATH%%CERT_FILE% -passin pass:%CERT_PASS% -nocerts -nodes -out %TARGET_DIR%\openfire_privkey.pem
echo [2/3] Извлекаем цепочку сертификатов (FullChain)...
%OPENSSL_BIN% pkcs12 -in %CERT_PATH%%CERT_FILE% -passin pass:%CERT_PASS% -nokeys -out %TARGET_DIR%\openfire_fullchain.pem
echo [3/3] Готово!
echo -----------------------------------------------------------
echo Теперь откройте файлы в блокноте и скопируйте в Openfire:
echo 1. Private Key: %TARGET_DIR%\openfire_privkey.pem
echo 2. Certificate: %TARGET_DIR%\openfire_fullchain.pem
echo -----------------------------------------------------------
pause
Используйте код с осторожностью.
Что изменилось и почему это важно:
-nodes: Добавлена эта команда при извлечении ключа. Она убирает пароль с самого ключа (делает его "unencrypted"). Если ключ будет под паролем, Openfire может выдать ошибку при импорте.openfire_fullchain.pem: Мы извлекаем все сертификаты из PFX (сам сертификат + промежуточные), чтобы браузеры участников видеосвязи доверяли соединению.- Удален
net stop unbound: Для Openfire не нужно останавливать сервис, чтобы просто сконвертировать файлы.
Как применить:
- Запустите BAT-файл.
- Зайдите в Openfire: Server -> TLS/SSL Certificates -> Identity Store.
- Если ссылки "Import" нет — нажмите на Manage Store Contents внутри Identity Store, там она точно появится.
- Скопируйте содержимое созданных файлов в соответствующие поля.
Этот шаг решит проблему «выкидывания» пользователей, так как видео-трафик пойдет по доверенному SSL-каналу.
Удалось ли вам найти кнопку Import Private Key and Certificate внутри раздела Manage Store Contents?
Показать все
openfire_fullchain.pem и openfire_privkey.pem
открыл импорт Import Private Key and Certificate http://127.0.0.1:9090/import-keystore-certificate.jsp?connectionType=SOCKET_S2S
что дальше
Вы на правильном пути, но открыли страницу для
S2S (Server-to-Server). Для видео и браузеров (WebRTC) нам нужно настроить Client-to-Server (порт 7443).Шаг 1: Правильная страница импорта
Убедитесь, что в адресе в конце стоит
Server → TLS/SSL Certificates → Identity Store → Import Private Key and Certificate.
connectionType=SOCKET_C2S или зайдите через меню:Server → TLS/SSL Certificates → Identity Store → Import Private Key and Certificate.
Шаг 2: Заполнение полей
- Passphrase: Оставьте пустым (в вашем BAT-файле мы использовали
-nodes, ключ без пароля). - Private Key: Откройте
openfire_privkey.pemблокнотом. Скопируйте всё от-----BEGIN PRIVATE KEY-----до-----END PRIVATE KEY-----. Вставьте в поле. - Certificate: Откройте
openfire_fullchain.pem. Там будет несколько блоков сертификатов. Скопируйте их все по очереди и вставьте в это поле (один за другим).
Шаг 3: Активация
- Нажмите Save.
- Если всё верно, в списке сертификатов появится Let's Encrypt.
- Вверху страницы появится оранжевая полоса. Нажмите на ссылку "Click here to restart the HTTP server". Это перезапустит веб-интерфейс на порту 7443 с новым сертификатом.
Шаг 4: Проверка видео
Теперь зайдите в конференцию по домену:
Если в браузере горит зеленый замок, попробуйте подключить второго пользователя. Теперь WebRTC (медиа-трафик) не будет блокироваться, и выкидывать участников перестанет.
https://unifree1.ruЕсли в браузере горит зеленый замок, попробуйте подключить второго пользователя. Теперь WebRTC (медиа-трафик) не будет блокироваться, и выкидывать участников перестанет.
Удалось сохранить сертификат без ошибок в админке? (Если пишет "Data Not Found", значит в PEM-файле есть лишние пробелы или не все блоки сертификатов скопированы).
Показать все
There was an error while trying to import the private key and signed certificate.Internal server error: Unable to install a certificate into an identity store.
Эта ошибка возникает из-за того, что Openfire не может сопоставить
закрытый ключ с сертификатом или цепочка сертификатов в файле нарушена. В Openfire импорт через PEM-файлы очень чувствителен к формату.Вот 3 шага, чтобы исправить это прямо сейчас:
1. Проверьте содержимое файлов
Откройте ваши файлы в блокноте и убедитесь, что:
- В Private Key (из
openfire_privkey.pem) есть только один блок:-----BEGIN PRIVATE KEY-----...-----END PRIVATE KEY----- - В Certificate (из
openfire_fullchain.pem) должно быть два или три блока (ваш сертификат + промежуточные Let's Encrypt). Скопируйте их все один за другим. - Важно: Убедитесь, что нет пустых строк перед первым заголовком
-----BEGIN....
2. Очистите старые сертификаты
Иногда импорт не срабатывает, потому что в хранилище уже есть самоподписанный сертификат для этого же домена.
- Зайдите в Server -> TLS/SSL Certificates -> Identity Store.
- Если там есть сертификат для
openfire.unifree1.ru(самоподписанный), удалите его (иконка корзины). - Попробуйте импорт заново.
3. Самый надежный способ (Импорт через PFX)
Если PEM-файлы выдают "Internal server error", используйте ваш готовый PFX-файл напрямую. Openfire гораздо лучше обрабатывает бинарные контейнеры.
- На странице Identity Store найдите ссылку "Import Store" или "Import KeyStore".
- Выберите тип: PKCS12 (это и есть PFX).
- Выберите ваш файл:
e6FDq4gZe...temp.pfx. - Введите пароль из вашего BAT-файла:
LC8WiwZ4PFTjh1OYdSxPY90gzVHfxpIAOkLOCvV1I8=. - Нажмите Import.
Почему это важно для созвона:
Эта ошибка означает, что сертификат не "встал" на место. Пока он не пропишется, порт 7443 (видео) будет выдавать ошибку безопасности, и второго пользователя будет продолжать выкидывать.
Эта ошибка означает, что сертификат не "встал" на место. Пока он не пропишется, порт 7443 (видео) будет выдавать ошибку безопасности, и второго пользователя будет продолжать выкидывать.
Появилась ли у вас кнопка "Import KeyStore" (Импорт хранилища) в разделе Identity Store? Это решит проблему с ошибкой PEM.
Показать все
установился статус с галочкой зеленой
Отлично! Зеленая галочка в
Identity Store означает, что Openfire принял сертификат и теперь порт 7443 (видео и сигнальный канал) защищен доверенным Let's Encrypt.Это должно полностью решить проблему с тем, что второго пользователя «выкидывало». Теперь браузеры доверяют соединению и разрешают передачу видеопотока.
Последние шаги для запуска звонков:
- Примените изменения: Вверху страницы сертификатов должна быть оранжевая полоса. Нажмите «Click here to restart the HTTP server». Если её нет — перезагрузите весь сервис Openfire.
- Проверьте адрес: Заходите в конференцию строго по домену, на который выписан сертификат:
https://unifree1.ru
(В адресной строке должен появиться закрытый замок без предупреждений). - Тест созвона:
- Зайдите первым пользователем.
- Отправьте ссылку (она теперь должна содержать правильный домен) второму пользователю.
- Второй пользователь должен увидеть ваше видео, а не «вылететь» через 10 секунд.
Если всё ещё не видят друг друга:
Если замок зеленый, оба в комнате, но видео черное:
- Проверьте, проброшен ли на роутере UDP порт 10000 на локальный IP сервера
192.168.0.10. - Убедитесь, что в System Properties свойство
org.jitsi.videobridge.NAT_HARVESTER_PUBLIC_ADDRESSравно вашему внешнему IP89.179.240.91.
Удалось ли теперь увидеть видео от второго участника в комнате?
Показать все
соединение защищено но выбрасывает так же
Раз соединение стало
защищенным (зеленый замок), но пользователя все равно выбрасывает, проблема перешла из плоскости SSL в плоскость сетевой доступности медиа-сервера (JVB).Вас выбрасывает, потому что браузер установил связь по HTTPS (порт 7443), но не смог передать видео-поток по UDP.
Проверьте эти 3 настройки прямо сейчас:
- Проброс UDP порта 10000 (Критично)
Зайдите в настройки вашего роутера. Убедитесь, что порт 10000 проброшен именно по протоколу UDP (не TCP!) на локальный IP сервера192.168.0.10.- Почему это важно: В Jitsi видео идет отдельно от чата. Если UDP закрыт, через 15 секунд Jitsi считает, что связи нет, и делает реконнект (выбрасывает).
- Системные свойства NAT в Openfire
Проверьте еще раз в Server -> Server Manager -> System Properties:org.jitsi.videobridge.NAT_HARVESTER_LOCAL_ADDRESS=192.168.0.10org.jitsi.videobridge.NAT_HARVESTER_PUBLIC_ADDRESS=89.179.240.91org.ice4j.ice.harvest.STUN_MAPPING_HARVESTER_ADDRESSES=meet-jit-si-turnrelay.jitsi.net:443- Важно: После изменения этих свойств нужно перезапустить Openfire, чтобы медиа-мост узнал свой новый адрес.
- Брандмауэр Windows (PowerShell)
Даже если он выключен, создайте явное разрешение для UDP. Выполните в PowerShell от админа:powershellNew-NetFirewallRule -DisplayName "Openfire JVB UDP" -Direction Inbound -Action Allow -Protocol UDP -LocalPort 10000Используйте код с осторожностью.
Как точно узнать причину (F12)
Нажмите F12 в браузере, перейдите на вкладку Console и посмотрите логи ПЕРЕД тем, как выбросит.
- Если видите ошибку
ICE failed— это 100% проблема с портами (пункт 1). - Если видите
Bridge channel disconnected— медиа-сервер JVB не видит участника.
Попробуйте зайти в конференцию с мобильного телефона через 4G (не через ваш Wi-Fi). Если с мобильного работает, а из локальной сети — нет, значит проблема в настройках NAT на роутере.
Какой результат теста через мобильный интернет?
Показать все
Закрыть
Другие способы ввода
Микрофон
Остановить
Отправить
Turn on your Visual Search History?
Google uses its visual recognition technologies to process the images you use to search, like when you search with Google Lens. If you turn on your Visual Search History, Google will save these images from eligible Google services to your Web & App Activity when you’re signed in to your Google Account. You can learn more about this setting and which Google services save images to it at g.co/Search/VisualSearchHistory.
How visual search history is used
Your Visual Search History may be used to improve your experience on Google services, like letting you revisit your past visual searches. It may be used to develop and improve Google’s visual recognition and search technologies, as well as the Google services that use them.
When visual search history is off
If you turn this setting off, any previous Visual Search History may still be kept and used to improve Google’s visual recognition and search technologies, unless you delete it from your Web & App Activity.
Visual Search History doesn’t affect images saved by other settings, like Gemini Apps Activity.
How to manage your Visual Search History
You can view, delete, or manage your Visual Search History at activity.google.com. To download your Visual Search History, visit takeout.google.com. Images will be deleted in accordance with your Web & App Activity auto-delete settings, although some types of images may be deleted sooner.
Google uses and saves data in accordance with Google Privacy Policy.
No thanks
Turn on
