Edge Lync: Configuración de Red (Parte III)
El entorno que tenemos ahora mismo es el siguiente en cuanto a la configuración del EDGE:
IP WAN 4: 200.200.200.4
Una vez que tenemos las interfaces configuradas y sincronizado el Front-END con el EDGE con la configuación publicada, empezaremos a revisar que reglas debemos configurar en el TMG y que certificados debemos tener en el TMG y EDGE. Antes necesitamos crear los protocolos necesarios en el TMG posteriormente utilizarlos en las reglas de publicación, para crear un nuevo protocolo debes ir a: Firewall Policy – Toolbox – Protocols
EDGE A/V 50-59: 50000-59999/TCP y UDP
EDGE AV STUN/MSTURN: 3478/UDP
El resto de protocolos para la publicación del EDGE ya vienen por defecto creados en el TMG, y serían los siguientes (estas definiciones de protoclo no se pueden modificar):
SIPS Server: 5061/TCP
HTTPS Server: 443/TCP
Una vez tenemos creados los protocolos necesarios, vamos a configurar las distintas reglas de publicación del EDGE:
Edge Federaciones (5061/TCP)
Aqui podriamos filtrar a nivel IP Origen quien se podrá conectar para federarse con nosotros, esto limitará los intentos inválidos de conexión para federarse o ataques DDOS al puerto 5061 que es muy jugoso por lo que implica. Está claro que en función de nuestra configuración de Acceso Externo podemos permitir quien se va a federar con nosotros, pero de esta forma eliminaríamos los intentos de conexión inválidos al EDGE.
La Publicación de los puertos 443/TCP para los servicios de Acceso, WebConf y A/V se publicarán en tres reglas diferentes de similar configuración a la regla de las federaciones, modificando la IP Pública, IP Privada y Protocolo:
Nombre Regla | Protocolo | IP Servidor | IP Pública |
---|---|---|---|
EDGE SIP/TLS | HTTPS Server | 172.18.0.2 | 200.200.200.1 |
EDGE WEBCONF PSOM/TLS | HTTPS Server | 172.18.0.3 | 200.200.200.2 |
EDGE AV STUN/TCP | HTTPS Server | 172.18.0.4 | 200.200.200.3 |
EDGE AV 50-59 TCP-UDP | EDGE AV 50-59 IN | 172.18.0.4 | 200.200.200.3 |
EDGE AV STUN | EDGE AV STUN/MSTURN IN | 172.18.0.4 | 200.200.200.3 |
Ahora nos quedaría configurar la regla que utilizaremos para publicar los servicios web de Lync para los distintos servicios que están alojados en el Front-END (POOL) o Director (POOL), para ello crearemos una única regla publicando las siguientes URLs:
https://dialin.dominio.com (Conferencias)
https://meet.dominio.com (Reuniones Online)
https://lyncdiscover.dominio.com (Servicios Mobile)
https://lync.dominio.com (nombre FQDN de los Servicios Web)
Antes debemos crear un LISTENER en HTTPS para la utilización del mismo en nuestra regla de publicación de servidores web. Para la creación del LISTENER vamos a Firewall Policy – Toolbox – Network Objets:
Opciones de nuestro LISTENER:
Comentaros que debemos asignar un certificado a este listener, si tenéis un certifidado wilcard sería lo ideal, puesto que podréis utilizar este certificado para publicar más URL del mismo dominio con el mismo LISTENER. En este caso yo he elegido la opción de un único certificado para este LISTENER, pero si queremos hacerlo por cada IP podríamos si así lo requiere nuestra instalación fuera de Lync
Podemos configurar el LISTENER para autenticación por Formularios, puesto que luego cada regla de publicación podremos configurar opciones diferentes. De esta forma podríamos utilizar la autenticación por formularios del TMG en otras reglas de publicación como por ejemplo: SharePoint. Exchange. Eso si, no debemos configurar nada en las opciones de la pestaña de Formularios sino lo aplicará para todas las reglas que utilicemos la autenticación por formularios y no podremos tener distintos formularios por cada publicación, además marcaremos las opciones de cambio de contraseña.
Una vez configurado el LISTENER procedemos a configurar la regla de publicación de servidores Web con las siguientes opciones:
Yo solo redirecciono al puerto 4443 porque el listener solo lo tengo en el 443, si en el mismo LISTENER tuvieramos habilitado las peticiones HTTP entonces podríamos habilitar la redirección al puerto HTTP 8080. Yo recomiendo utilizar únicamente HTTPS (por motivos obvios), además de tener un LISTENER por cada protocolo para segregar las distintas reglas de publicación
Con esto tendríamos publicado nuestro EDGE y las URL del Front-END a través del TMG de forma segura. Recordad que en los artículos anteriores hablamos de filtrar la salida a internet del EDGE, aquí únicamente debéis crear las reglas de acceso a Internet desde el EDGE según este esquema:
Por lo que según nuestro escenario, debemos crear las siguientes reglas de acceso: (los protocolos EDGE AV STUN/MSTURN OUT y EDGE AV STUN/MSTURN OUT se deben crear como los anteriores pero en vez de entrada esto son como tráfico de salida)
Regla | Protocolo | Origen | Destino |
---|---|---|---|
ACCESS EDGE Internet | HTTP | 172.18.0.2 | Internet |
ACCESS EDGE Internet | SIP | 172.18.0.2 | Internet |
ACCESS EDGE Internet | DNS | 172.18.0.2 | Internet |
AV EDGE Internet | EDGE AV STUN/MSTURN OUT | 172.18.0.4 | Internet |
AV EDGE Internet | EDGE AV 50-59 OUT | 172.18.0.4 | Internet |
Otra que debemos tener en cuenta es la configuración de las Reglas de Red, debemos configurar la IP Pública que presentará el servicio de Acceso del EDGE, puesto que será el único que iniciará una conexión hacia Internet, el resto siempre responderán a peticiones desde Internet y ya saben devolver correctamente el tráfico de retorno. Pensad que es el que se conectará para federarse con otros EDGE, si lo hiciese con el POOL de Públicas que tenemos en el TMG deberíamos declarar varias IP para su registro DNS. Para configurar una regla de Red en el TMG os muestro algunas capturas de pantalla:
Esta es la parte más importante, debemos especificar la IP Pública que utilizará siempre que se conecte a Internet (resolución DNS, Federaciones, HTTP)
Una vez completada esta última configuración, ya tenemos nuestro EDGE publicado a Internet a través de TMG. Todo esto se puede complicar mucho más, porque no he hablado nada tener distintas VLANs a nivel de switch, ni de DMZ, etc… solo he querido comentar como configurar de manera simple nuestro EDGE y servicios web de nuestra infraestructura de Lync. Tampoco he comentado nada de los certificados a excepción de los que debe tener el TMG para la publicación de los Servicios Web. El EDGE debe tener correctamente configurados los certificados necesarios sino tampoco funcionará. Tampoco he puntualizado como se deberían ordenar las reglas del TMG, puesto que esto será en otro artículo y sin hacer referencia a Lync, puesto que seria una regla más de publicación o acceso en el conjunto de la solución.
Espero que os sea de utilidad!!!
consulta / Autor / 23 octubre, 2012
hola santaigo,
el material esta exelente paso a paso buenisimo ….. yo tengo publicado en mi empresa mi EDGE pero tengo problemas al asignar el certificado en el TMG no logro crear el listener 443 con el certificado, tiene info de como subir el certificado..
yo no tengo certificados publicos solo los de la CA interna y los de lync
muchas gracias,
Re: Edge Lync: Configuración de Red (Parte III) / Autor / 23 octubre, 2012
Los certificados privados son muy sencillos de implementar, o bien lo solicitas automáticamente a la CA que está publicada en el AD o bien lo solicitas manualmente. Para solicitarlo manualmente puedes hacer una solicitud online desde un IIS para poder elegir el nombre común del certificado. Si lo quieres utilizar para el reverse proxy puedes crearte un certificado wildcard para que tengas cubierto todas URLS del mismo dominio ejemplo: *.dominio.com, así podrás publicar cualquier servicio Web que pertenezca al dominio “dominio.com”. Además pues hacer la solicitud de un nuevo ceritificado para Lync y añadir el nombre *.nombre_de_tu dominio.xxx y luego solo tienes que importarlo en tu TMG con la clave privada y utilizarlo en el Listener. Si tienes alguna duda a la hora de crearlo, vuelve a comentarlo en el Blog y posiblemente ya tenga un artículo de como crear un certificado para TMG o Lync.
Gracias por tus comentarios
consulta / Autor / 30 octubre, 2012
yo entiendo lo de los certificados yo en mi front end tengo un certificado emitido por mi CA con los nombres admin.dominio,dialin.dominio, webconfi.dominio , lyndiscover.dominio etc, en tema es que no se como subirlo al TMG y dejarlo en el listener el certificado lo he inportado con la mmc de los certificados pero cuando creo el listener me pide selecionar el certificado, lo veo pero me aparece en rojo el certificado y dice que es invalido alomejor esta subido mal.. santiago tu tienes info de como subir un certificado a un TMG , te lo agradeceria para guiarme con eso… muchas gracias,
Re: Edge Lync: Configuración de Red (Parte III) / Autor / 30 octubre, 2012
Hola FC, aquí te dejo el enlace de lo como debes subir un certificado al EDGE, Front-END, el proceso es muy similar: http://bit.ly/QScFA7
Re: Edge Lync: Configuración de Red (Parte III) / Autor / 5 octubre, 2013