Saltar al contenido
Inicio / Comunicaciones Unificadas / Lync Server / Edge Lync: Configuración de Red (Parte III)

Edge Lync: Configuración de Red (Parte III)

El entorno que tenemos ahora mismo es el siguiente en cuanto a la configuración del EDGE:

VLAN 100
IP Interna: 192.168.250.32 /24
Máscara Interna: 192.168.250.32 /24
Gateway Interno: NO TIENE GATEWAY
DNS Interna: NO TIENE DNS
VLAN 101
IP SIP ACCESS: 172.18.0.2 /28
Máscara SIP ACCESS: 255.255.255.248
Gateway SIP ACCESS: 172.18.0.1 (Interface TMG)
DNS SIP ACCESS: 8.8.8.8
IP WEBCONF: 172.18.0.3 /28
Máscara WEBCONF: 255.255.255.248
Gateway WEBCONF: 172.18.0.1  (Interface TMG)
DNS WEBCONF: 8.8.8.8
IP AV: 172.18.0.4 /28
Máscara AV: 255.255.255.248
Gateway AV: 172.18.0.1 (Interface TMG)
DNS AV: 8.8.8.8
Y la configuración del TMG en cuanto a las interfaces de la red del EDGE, la red del Front-END y las Interfaces Públicas que utilizaremos para la publicación de los distintos servicios:
VLAN 102 (Red EDGE Interfaces Externas)
IP LAN TMG: 172.18.0.1
VLAN 100 (Red Interna)
IP LAN TMG: 192.168.250.1
DIRECCIONAMIENTO INTERNET (SIMULADO)
IP WAN 1: 200.200.200.1
IP WAN 2: 200.200.200.2
IP WAN 3: 200.200.200.3

IP WAN 4: 200.200.200.4

Una vez que tenemos las interfaces configuradas y sincronizado el Front-END con el EDGE con la configuación publicada, empezaremos a revisar que reglas debemos configurar en el TMG y que certificados debemos tener en el TMG y EDGE.  Antes necesitamos crear los protocolos necesarios en el TMG posteriormente utilizarlos en las reglas de publicación, para crear un nuevo protocolo debes ir a:  Firewall Policy – Toolbox – Protocols

EDGE_LYNC_TMG_8.jpg

EDGE A/V 50-59: 50000-59999/TCP y UDP

EDGE_LYNC_TMG_9.jpg

EDGE AV STUN/MSTURN: 3478/UDP

EDGE_LYNC_TMG_10.jpg

El resto de protocolos para la publicación del EDGE ya vienen por defecto creados en el TMG, y serían los siguientes (estas definiciones de protoclo no se pueden modificar):

SIPS Server: 5061/TCP

EDGE_LYNC_TMG_11.jpg
HTTPS Server: 443/TCP

EDGE_LYNC_TMG_12.jpg

Una vez tenemos creados los protocolos necesarios, vamos a configurar las distintas reglas de publicación del EDGE:

Edge Federaciones (5061/TCP)

EDGE_LYNC_TMG_2.jpgEDGE_LYNC_TMG_3.jpg

EDGE_LYNC_TMG_4.jpg

Aqui podriamos filtrar a nivel IP Origen quien se podrá conectar para federarse con nosotros, esto limitará los intentos inválidos de conexión para federarse o ataques DDOS al puerto 5061 que es muy jugoso por lo que implica. Está claro que en función de nuestra configuración de Acceso Externo podemos permitir quien se va a federar con nosotros, pero de esta forma eliminaríamos los intentos de conexión inválidos al EDGE.

EDGE_LYNC_TMG_5.jpg
EDGE_LYNC_TMG_6.jpgEDGE_LYNC_TMG_7.jpg
La Publicación de los puertos 443/TCP para los servicios de Acceso, WebConf y A/V se publicarán en tres reglas diferentes de similar configuración a la regla de las federaciones, modificando la IP Pública, IP Privada y Protocolo:

Nombre Regla Protocolo IP Servidor IP Pública
EDGE SIP/TLS HTTPS Server 172.18.0.2 200.200.200.1
EDGE WEBCONF PSOM/TLS HTTPS Server 172.18.0.3 200.200.200.2
EDGE AV STUN/TCP HTTPS Server 172.18.0.4 200.200.200.3
EDGE AV 50-59 TCP-UDP EDGE AV 50-59 IN 172.18.0.4 200.200.200.3
EDGE AV STUN EDGE AV STUN/MSTURN IN 172.18.0.4 200.200.200.3

Ahora nos quedaría configurar la regla que utilizaremos para publicar los servicios web de Lync para los distintos servicios que están alojados en el Front-END (POOL) o Director (POOL), para ello crearemos una única regla publicando las siguientes URLs:

https://dialin.dominio.com (Conferencias)

https://meet.dominio.com (Reuniones Online)

https://lyncdiscover.dominio.com (Servicios Mobile)

https://lync.dominio.com (nombre FQDN de los Servicios Web)

Antes debemos crear un LISTENER en HTTPS para la utilización del mismo en nuestra regla de publicación de servidores web. Para la creación del LISTENER vamos a Firewall Policy – Toolbox – Network Objets:

EDGE_LYNC_TMG_13.jpg

Opciones de nuestro LISTENER:

EDGE_LYNC_TMG_14.jpgEDGE_LYNC_TMG_15.jpg
Comentaros que debemos asignar un certificado a este listener, si tenéis un certifidado wilcard sería lo ideal, puesto que podréis utilizar este certificado para publicar más URL del mismo dominio con el mismo LISTENER. En este caso yo he elegido la opción de un único certificado para este LISTENER, pero si queremos hacerlo por cada IP podríamos si así lo requiere nuestra instalación fuera de Lync

EDGE_LYNC_TMG_17.jpg

Podemos configurar el LISTENER para autenticación por Formularios, puesto que luego cada regla  de publicación podremos configurar opciones diferentes. De esta forma podríamos utilizar la autenticación por formularios del TMG en otras reglas de publicación como por ejemplo: SharePoint. Exchange. Eso si, no debemos configurar nada en las opciones de la pestaña de Formularios sino lo aplicará  para todas las reglas que utilicemos la autenticación por formularios y no podremos tener distintos formularios por cada publicación, además marcaremos las opciones de cambio de contraseña.

EDGE_LYNC_TMG_18.jpgEDGE_LYNC_TMG_19.jpg

Una vez configurado el LISTENER procedemos a configurar la regla de publicación de servidores Web con las siguientes opciones:

EDGE_LYNC_TMG_20.jpgEDGE_LYNC_TMG_21.jpg
EDGE_LYNC_TMG_22.jpgEDGE_LYNC_TMG_23.jpg

EDGE_LYNC_TMG_24.jpgEDGE_LYNC_TMG_25.jpg
Yo solo redirecciono al puerto 4443 porque el listener solo lo tengo en el 443, si en el mismo LISTENER tuvieramos habilitado las peticiones HTTP entonces podríamos habilitar la redirección al puerto HTTP 8080. Yo recomiendo utilizar únicamente HTTPS (por motivos obvios),  además de tener un LISTENER por cada protocolo para segregar las distintas reglas de publicación

EDGE_LYNC_TMG_26.jpgEDGE_LYNC_TMG_27.jpg

Con esto tendríamos publicado nuestro EDGE y las URL del Front-END a través del TMG de forma segura. Recordad que en los artículos anteriores hablamos de filtrar la salida a internet del EDGE, aquí únicamente debéis crear las reglas de acceso a Internet desde el EDGE según este esquema:

EDGE_LYNC_TMG_28.jpg

Por lo que según nuestro escenario, debemos crear las siguientes reglas de acceso: (los protocolos EDGE AV STUN/MSTURN OUT  y EDGE AV STUN/MSTURN OUT se deben crear como los anteriores pero en vez de entrada esto son como tráfico de salida)

Regla Protocolo Origen Destino
ACCESS EDGE Internet HTTP 172.18.0.2 Internet
ACCESS EDGE Internet SIP 172.18.0.2 Internet
ACCESS EDGE Internet DNS 172.18.0.2 Internet
AV EDGE Internet EDGE AV STUN/MSTURN OUT 172.18.0.4 Internet
AV EDGE Internet EDGE AV 50-59 OUT 172.18.0.4 Internet

Otra que debemos tener en cuenta es la configuración de las Reglas de Red, debemos configurar la IP Pública que presentará el servicio de Acceso del EDGE, puesto que será el único que iniciará una conexión hacia Internet, el resto siempre responderán a peticiones desde Internet y ya saben devolver correctamente el tráfico de retorno. Pensad que es el que se conectará para federarse con otros EDGE, si lo hiciese con el POOL de Públicas que tenemos en el TMG deberíamos declarar varias IP para su registro DNS. Para configurar una regla de Red en el TMG os muestro algunas capturas de pantalla:

EDGE_LYNC_TMG_29.jpgEDGE_LYNC_TMG_30.jpg

EDGE_LYNC_TMG_31.jpg

Esta es la parte más importante, debemos especificar la IP Pública que utilizará siempre que se conecte a Internet (resolución DNS, Federaciones, HTTP)

EDGE_LYNC_TMG_32.jpg
Una vez completada esta última configuración, ya tenemos nuestro EDGE publicado a Internet a través de TMG. Todo esto se puede complicar mucho más, porque no he hablado nada tener distintas VLANs a nivel de switch, ni de DMZ, etc… solo he querido comentar como configurar de manera simple nuestro EDGE y servicios web de nuestra infraestructura de Lync. Tampoco he comentado nada de los certificados a excepción de los que debe tener el TMG para la publicación de los Servicios Web. El EDGE debe tener correctamente configurados los certificados necesarios sino tampoco funcionará. Tampoco he puntualizado como se deberían ordenar las reglas del TMG, puesto que esto será en otro artículo y sin hacer referencia a Lync, puesto que seria una regla más de publicación o acceso en el conjunto de la solución.

Espero que os sea de utilidad!!!

Etiquetas:

5 comentarios en «Edge Lync: Configuración de Red (Parte III)»

  1. hola santaigo,

    el material esta exelente paso a paso buenisimo ….. yo tengo publicado en mi empresa mi EDGE pero tengo problemas al asignar el certificado en el TMG no logro crear el listener 443 con el certificado, tiene info de como subir el certificado..

    yo no tengo certificados publicos solo los de la CA interna y los de lync
    muchas gracias,

  2. Re: Edge Lync: Configuración de Red (Parte III)

    Los certificados privados son muy sencillos de implementar, o bien lo solicitas automáticamente a la CA que está publicada en el AD o bien lo solicitas manualmente. Para solicitarlo manualmente puedes hacer una solicitud online desde un IIS para poder elegir el nombre común del certificado. Si lo quieres utilizar para el reverse proxy puedes crearte un certificado wildcard para que tengas cubierto todas URLS del mismo dominio ejemplo: *.dominio.com, así podrás publicar cualquier servicio Web que pertenezca al dominio “dominio.com”. Además pues hacer la solicitud de un nuevo ceritificado para Lync y añadir el nombre *.nombre_de_tu dominio.xxx y luego solo tienes que importarlo en tu TMG con la clave privada y utilizarlo en el Listener. Si tienes alguna duda a la hora de crearlo, vuelve a comentarlo en el Blog y posiblemente ya tenga un artículo de como crear un certificado para TMG o Lync.

    Gracias por tus comentarios

  3. yo entiendo lo de los certificados yo en mi front end tengo un certificado emitido por mi CA con los nombres admin.dominio,dialin.dominio, webconfi.dominio , lyndiscover.dominio etc, en tema es que no se como subirlo al TMG y dejarlo en el listener el certificado lo he inportado con la mmc de los certificados pero cuando creo el listener me pide selecionar el certificado, lo veo pero me aparece en rojo el certificado y dice que es invalido alomejor esta subido mal.. santiago tu tienes info de como subir un certificado a un TMG , te lo agradeceria para guiarme con eso… muchas gracias,

  4. Re: Edge Lync: Configuración de Red (Parte III)

    Hola FC, aquí te dejo el enlace de lo como debes subir un certificado al EDGE, Front-END, el proceso es muy similar: http://bit.ly/QScFA7

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!