Jitsi Meet服务器配置：解决仅开放443/80端口时的媒体传输问题

2025-05-07 09:52:36作者：滕妙奇

背景介绍

在企业或教育机构部署Jitsi Meet视频会议系统时，经常会遇到客户端网络环境严格限制的情况。许多防火墙策略仅允许HTTP(S)的80和443端口通信，而传统的WebRTC媒体传输需要额外的UDP端口（如10000+）。本文将详细介绍如何通过TURN服务器和Nginx反向代理的巧妙配置，实现在仅开放443/80端口的环境下，依然保持Jitsi Meet的完整音视频功能。

核心问题分析

WebRTC协议在建立点对点连接时，通常需要以下端口：

443端口：用于HTTPS网页访问和信令传输
UDP 3478/5349：用于STUN/TURN服务
UDP 10000+：用于媒体流传输

当客户端网络限制仅允许80/443端口时，传统配置会导致媒体流无法建立。解决方案的核心在于：

将所有媒体流转发到443端口
使用TURN over TLS(TURNS)替代传统UDP传输
通过Nginx实现端口复用

详细配置方案

1. DNS配置准备

需要为服务配置两个域名记录：

主域名：video3.example.org（用于Jitsi Meet网页服务）
TURN服务域名：turn3.example.org（用于媒体转发服务）

这两个域名都解析到同一个服务器IP地址，通过SNI区分服务类型。

2. TURN服务器配置

Coturn配置关键点（/etc/turnserver.conf）：

use-auth-secret
static-auth-secret=your_secure_secret
realm=video3.example.org
cert=/path/to/turn_cert.pem
pkey=/path/to/turn_key.pem
no-tcp
listening-port=5348
tls-listening-port=5349
no-tlsv1
no-tlsv1_1
cipher-list=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256...

特别注意：

使用长期有效的TLS证书
禁用不安全的TLS版本
配置现代加密套件
禁止私有IP范围的peer连接

3. Nginx多路复用配置

通过Nginx的stream模块实现端口复用（/etc/nginx/modules-enabled/coturn-multiplex.conf）：

stream {
    map $ssl_preread_server_name $name {
        video3.example.org web_backend;
        turn3.example.org turn_backend;
    }

    upstream web_backend {
        server 127.0.0.1:444;
    }

    upstream turn_backend {
        server 1.2.3.4:5349;
    }

    server {
        listen 443;
        listen [::]:443;
        ssl_preread on;
        proxy_pass $name;
        proxy_buffer_size 20m;
    }
}

此配置实现：

根据SNI主机名分流流量
网页请求转发到内部444端口
TURN请求转发到5349端口
共用443端口提供服务

4. Prosody配置调整

关键配置修改（/etc/prosody/conf.d/video3.example.org）：

turncredentials = {
  { type = "stun", host = "meet-jit-si-turnrelay.jitsi.net", port = "443" },
  { type = "turns", host = "turn3.example.org", port = "443", transport = "tcp" }
}

特别注意：