Cerrar
InicioAzureAzure Network: Configuración de NAT + SMTP Relay con Office 365

Azure Network: Configuración de NAT + SMTP Relay con Office 365

Ya hace unos meses que se había puesto en versión preliminar la opción de configurar NAT en nuestras subredes IP de las vNet de Azure, algo que, nos viene muy bien. Como sabéis, cada máquina virtual tiene un salida a Internet mostrando una dirección IP Pública Dinámica, por lo que si tenemos 10 servidores o 100 en nuestra vNet pues tendremos a cada servidor con una IP Pública diferente y cambiante en cada reinicio de cada servidor.

En cualquier red On-Premises tenemos un Router/Firewall configurado con NAT, de tal forma que podemos compartir la IP Pública que tenemos en Internet con todos los equipos de nuestra red. Esto nos viene perfecto si tenemos otro servicios a los que queremos conectarnos y lo queremos filtrar por IP o bien tenemos una aplicación que realiza envíos de correos pero no podemos utilizar la autenticación. En este caso en concreto nos viene perfecto el tener una IP Pública fija y compartida para un grupo de equipos, puesto que, como indicaba, si tenemos un servicios de envío de correo pues nos será más sencillo realizar las diferentes configuraciones.

En este articulo voy a comentar dos configuraciones:

  • Configuración de una Puerta de enlace NAT en Azure
  • Configurar  que desde algún servidor ubicado en alguna de las vNet de Azure pueda utilizar los servicios de Exchange Online con relay de correo.

Aquí os dejo la infografía para este artículo, donde como vemos tenemos una vNet en Azure y alguna subredes tendrán Nat y otras no y como funcionaría los envíos de correo utilizando como SMTP Relay los servicios de Exchange Online:

Antes de nada aquí os dejo un enlace de Microsoft sobre la Puerta de enlace NAT para que podáis ver el coste, límites, etc.. : Puerta de enlace NAT. Ahora si, vamos a iniciar la configuración de la Puerta de enlace NAT en Azure, tenemos que crear un nuevo recurso y buscamos por NAT Gateway o Puerta de enlace NAT:

Pulsamos en Crear:

Como siempre elegimos suscripción, grupos de recursos, nombre, región y lo “importante” es la zona de disponibilidad y Tiempo de espera por inactividad (tiempo de cierre de conexiones inactivas):

Ahora es donde tenemos que seleccionar o crear una dirección IP Pública para esta puerta de enlace, si tenemos una IP Pública sin asignar la podemos asignar sino .. la crearemos pulsando en Crear una dirección IP Pública:

Escribimos un nombre para la IP y pulsamos en

Una vez que tenemos nuestra IP Pública, pulsamos en Siguiente: Subred> (la opción de Prefijos de direcciones IP Públicas lo comentaré en otro artículo para no liarnos mucho.. más)

En este paso tenemos que elegir la vNet y posteriormente la subred IP donde aplicaremos la configuración de NAT, sino tenemos una vNet la podemos crear desde aquí, pero no será mi caso.

Elegimos la vNet y luego la(s) subred(es) donde queremos aplicar la configuración de Nat

Una vez que hayamos elegido la vNet y subred sobre la que aplicar la configuración de NAT, revisamos la configuración a crear y si está todo correcto, pulsamos en Crear:

Como siempre en Azure, en cuestión de segundos tendremos el servicio activo

Una vez creada nuestra Puerta de enlace NAT podemos ir a su configuración:

Podemos cambiar la IP Pública de salida o bien configurar prefijos de direcciones:

Establecer en las subredes la configuración de NAT (también podemos hacerlo desde la configuración de vNet)

Y ajustar la configuración del tiempo de espera de inactividad:

Como os he comentado antes, si vamos a la subred desde la configuración de la vNet, como vemos podemos configurar la Puerta de enlace NAT:

Pues .. listo, ahora vamos a probarlo. Primero nos conectaremos a un servidor que no tiene configurado NAT, aquí os muestro la configuración de una subred sin NAT:

Ahora veremos que IP Pública tiene cuando se conecta a Internet:

Ahora configuraremos el NAT en la subred IP y veremos que la IP que tenemos en Internet tiene que ser la IP de la Puerta de enlace NAT que hemos creado:

Si os habéis fijado en la parte de la IP que os muestro en la configuración de NAT, es la misma que ahora muestra cuando accedemos a Cual es Mi IP desde el servidor que está en la subred IP en la cual hemos habilitado NAT. Como vemos, es muy muy sencillo configurarlo.

Bien, ahora, como os había comentado, quiero que algunos servidores que tengo en Azure puedan enviar correos utilizando Exchange Online como Relay SMTP. Antes de poder configurarlo, tenemos que hablar con el soporte de Microsoft para que nos permita a nivel de suscripción el poder enviar correos utilizando el puerto 25 (SMTP sin autenticar por defecto y también de servidores de correo), sino, no tendremos tráfico de salida en el puerto 25 (lo tienen filtrado por defecto).

Ahora bien, si queremos enviar correos sin autenticar y no solo a usuarios de nuestra organización tenemos que realizar varias configuraciones:

  • DNS: actualizar el registro SPF y añadir la IP Pública de la puerta de enlace NAT que hemos creado como una IP para realizar envios
  • Conector: debemos crear un conector en Exchange Online para permitir como único filtro la dirección IP Pública del servidor que se conectará a Exchange Online, en nuestro caso como ahora tenemos NAT, configuraremos la IP del NAT

Pues vamos a ello, lo primero que haré será crear el conector en Exchange Online, para ello tenemos que conectarnos al Centro de administración de Exchange Online – Mail Flow – Conectores  y  pulsamos en el símbolo + para crear nuestro conector:

Ahora definir la siguiente configuración:

  • From: Your organization´s email server (donde definiremos las IP Públicas de los servidores de los cuales vamos a permitir recibir correo, en nuestro caso la IP Pública del NAT que hemos configurado)
  • To: Office 365

 

Aquí es donde vamos a definir como O365 identificará nuestro servidor, en este caso elegiremos  por dirección IP y pulsamos en + para agregar la(s) dirección(es) IP(s) que queremos agregar a este conector:

 

Si necesitamos añadir más, pues tenemos que ir añadiendo IP a IP (o subred con /CIR) y si está todo listo, pulsamos en Next

Por último, nos mostrará un resumen de la configuración y si estamos de acuerdo con la misma, pulsamos en Save:

Listo, ya tenemos nuestro conector preparado. Con esta configuración, podríamos utilizarla para que todos equipos/dispositivos que estén detrás de esa dirección IP Pública puedan enviar correos sin autenticar pero solo a usuarios del mismo dominio

Si queremos que además se puedan hacer envíos a cualquier dominio, tenemos que añadir la IP del NAT (o la Pública que habéis añadido al conector) al registro SPF de vuestro dominio. Aquí os dejo un enlace de como configurar el SPF: Set up SPF to help prevent spoofing

Pues listo, si ahora, desde cualquier servidor/dispositivo detrás de la dirección IP Pública configurada en el conector de Exchange Online probáis a enviar un correo sin autenticar (yo utilizaré Telnet para realizar un envío) y veréis como el correo se ha enviado sin problema:

Ahora me voy a al Outlook y veo que el correo ha entrado sin problema y en la bandeja de entrada, no se ha ido a SPAM ni similar:

Como veis es súper sencillo de configurar tanto el NAT como el Relay SMTP con Office 365, yo he aprovechado que quería configurar un Relay SMTP evitando tener que configurar una IP Pública fija por cada servidor de forma independiente. Con NAT, todos los equipos de una subred IP comparte una dirección IP Pública, más fácil de gestionar y más simple.

Espero que os sirva de ayuda, ahora, como siempre, os toca probarlo a vosotros!!

Autenticación y Per
NO HAY COMENTARIOS

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This