Cerrar
InicioComunicaciones UnificadasLync ServerEdge Lync: Configuración de Red (Parte III)

Edge Lync: Configuración de Red (Parte III)

El entorno que tenemos ahora mismo es el siguiente en cuanto a la configuración del EDGE:

VLAN 100
IP Interna: 192.168.250.32 /24
Máscara Interna: 192.168.250.32 /24
Gateway Interno: NO TIENE GATEWAY
DNS Interna: NO TIENE DNS
VLAN 101
IP SIP ACCESS: 172.18.0.2 /28
Máscara SIP ACCESS: 255.255.255.248
Gateway SIP ACCESS: 172.18.0.1 (Interface TMG)
DNS SIP ACCESS: 8.8.8.8
IP WEBCONF: 172.18.0.3 /28
Máscara WEBCONF: 255.255.255.248
Gateway WEBCONF: 172.18.0.1  (Interface TMG)
DNS WEBCONF: 8.8.8.8
IP AV: 172.18.0.4 /28
Máscara AV: 255.255.255.248
Gateway AV: 172.18.0.1 (Interface TMG)
DNS AV: 8.8.8.8
Y la configuración del TMG en cuanto a las interfaces de la red del EDGE, la red del Front-END y las Interfaces Públicas que utilizaremos para la publicación de los distintos servicios:
VLAN 102 (Red EDGE Interfaces Externas)
IP LAN TMG: 172.18.0.1
VLAN 100 (Red Interna)
IP LAN TMG: 192.168.250.1
DIRECCIONAMIENTO INTERNET (SIMULADO)
IP WAN 1: 200.200.200.1
IP WAN 2: 200.200.200.2
IP WAN 3: 200.200.200.3

IP WAN 4: 200.200.200.4

Una vez que tenemos las interfaces configuradas y sincronizado el Front-END con el EDGE con la configuación publicada, empezaremos a revisar que reglas debemos configurar en el TMG y que certificados debemos tener en el TMG y EDGE.  Antes necesitamos crear los protocolos necesarios en el TMG posteriormente utilizarlos en las reglas de publicación, para crear un nuevo protocolo debes ir a:  Firewall Policy – Toolbox – Protocols

EDGE_LYNC_TMG_8.jpg

EDGE A/V 50-59: 50000-59999/TCP y UDP

EDGE_LYNC_TMG_9.jpg

EDGE AV STUN/MSTURN: 3478/UDP

EDGE_LYNC_TMG_10.jpg

El resto de protocolos para la publicación del EDGE ya vienen por defecto creados en el TMG, y serían los siguientes (estas definiciones de protoclo no se pueden modificar):

SIPS Server: 5061/TCP

EDGE_LYNC_TMG_11.jpg
HTTPS Server: 443/TCP

EDGE_LYNC_TMG_12.jpg

Una vez tenemos creados los protocolos necesarios, vamos a configurar las distintas reglas de publicación del EDGE:

Edge Federaciones (5061/TCP)

EDGE_LYNC_TMG_2.jpgEDGE_LYNC_TMG_3.jpg

EDGE_LYNC_TMG_4.jpg

Aqui podriamos filtrar a nivel IP Origen quien se podrá conectar para federarse con nosotros, esto limitará los intentos inválidos de conexión para federarse o ataques DDOS al puerto 5061 que es muy jugoso por lo que implica. Está claro que en función de nuestra configuración de Acceso Externo podemos permitir quien se va a federar con nosotros, pero de esta forma eliminaríamos los intentos de conexión inválidos al EDGE.

EDGE_LYNC_TMG_5.jpg
EDGE_LYNC_TMG_6.jpgEDGE_LYNC_TMG_7.jpg
La Publicación de los puertos 443/TCP para los servicios de Acceso, WebConf y A/V se publicarán en tres reglas diferentes de similar configuración a la regla de las federaciones, modificando la IP Pública, IP Privada y Protocolo:

Nombre Regla Protocolo IP Servidor IP Pública
EDGE SIP/TLS HTTPS Server 172.18.0.2 200.200.200.1
EDGE WEBCONF PSOM/TLS HTTPS Server 172.18.0.3 200.200.200.2
EDGE AV STUN/TCP HTTPS Server 172.18.0.4 200.200.200.3
EDGE AV 50-59 TCP-UDP EDGE AV 50-59 IN 172.18.0.4 200.200.200.3
EDGE AV STUN EDGE AV STUN/MSTURN IN 172.18.0.4 200.200.200.3

Ahora nos quedaría configurar la regla que utilizaremos para publicar los servicios web de Lync para los distintos servicios que están alojados en el Front-END (POOL) o Director (POOL), para ello crearemos una única regla publicando las siguientes URLs:

https://dialin.dominio.com (Conferencias)

https://meet.dominio.com (Reuniones Online)

https://lyncdiscover.dominio.com (Servicios Mobile)

https://lync.dominio.com (nombre FQDN de los Servicios Web)

Antes debemos crear un LISTENER en HTTPS para la utilización del mismo en nuestra regla de publicación de servidores web. Para la creación del LISTENER vamos a Firewall Policy – Toolbox – Network Objets:

EDGE_LYNC_TMG_13.jpg

Opciones de nuestro LISTENER:

EDGE_LYNC_TMG_14.jpgEDGE_LYNC_TMG_15.jpg
Comentaros que debemos asignar un certificado a este listener, si tenéis un certifidado wilcard sería lo ideal, puesto que podréis utilizar este certificado para publicar más URL del mismo dominio con el mismo LISTENER. En este caso yo he elegido la opción de un único certificado para este LISTENER, pero si queremos hacerlo por cada IP podríamos si así lo requiere nuestra instalación fuera de Lync

EDGE_LYNC_TMG_17.jpg

Podemos configurar el LISTENER para autenticación por Formularios, puesto que luego cada regla  de publicación podremos configurar opciones diferentes. De esta forma podríamos utilizar la autenticación por formularios del TMG en otras reglas de publicación como por ejemplo: SharePoint. Exchange. Eso si, no debemos configurar nada en las opciones de la pestaña de Formularios sino lo aplicará  para todas las reglas que utilicemos la autenticación por formularios y no podremos tener distintos formularios por cada publicación, además marcaremos las opciones de cambio de contraseña.

EDGE_LYNC_TMG_18.jpgEDGE_LYNC_TMG_19.jpg

Una vez configurado el LISTENER procedemos a configurar la regla de publicación de servidores Web con las siguientes opciones:

EDGE_LYNC_TMG_20.jpgEDGE_LYNC_TMG_21.jpg
EDGE_LYNC_TMG_22.jpgEDGE_LYNC_TMG_23.jpg

EDGE_LYNC_TMG_24.jpgEDGE_LYNC_TMG_25.jpg
Yo solo redirecciono al puerto 4443 porque el listener solo lo tengo en el 443, si en el mismo LISTENER tuvieramos habilitado las peticiones HTTP entonces podríamos habilitar la redirección al puerto HTTP 8080. Yo recomiendo utilizar únicamente HTTPS (por motivos obvios),  además de tener un LISTENER por cada protocolo para segregar las distintas reglas de publicación

EDGE_LYNC_TMG_26.jpgEDGE_LYNC_TMG_27.jpg

Con esto tendríamos publicado nuestro EDGE y las URL del Front-END a través del TMG de forma segura. Recordad que en los artículos anteriores hablamos de filtrar la salida a internet del EDGE, aquí únicamente debéis crear las reglas de acceso a Internet desde el EDGE según este esquema:

EDGE_LYNC_TMG_28.jpg

Por lo que según nuestro escenario, debemos crear las siguientes reglas de acceso: (los protocolos EDGE AV STUN/MSTURN OUT  y EDGE AV STUN/MSTURN OUT se deben crear como los anteriores pero en vez de entrada esto son como tráfico de salida)

Regla Protocolo Origen Destino
ACCESS EDGE Internet HTTP 172.18.0.2 Internet
ACCESS EDGE Internet SIP 172.18.0.2 Internet
ACCESS EDGE Internet DNS 172.18.0.2 Internet
AV EDGE Internet EDGE AV STUN/MSTURN OUT 172.18.0.4 Internet
AV EDGE Internet EDGE AV 50-59 OUT 172.18.0.4 Internet

Otra que debemos tener en cuenta es la configuración de las Reglas de Red, debemos configurar la IP Pública que presentará el servicio de Acceso del EDGE, puesto que será el único que iniciará una conexión hacia Internet, el resto siempre responderán a peticiones desde Internet y ya saben devolver correctamente el tráfico de retorno. Pensad que es el que se conectará para federarse con otros EDGE, si lo hiciese con el POOL de Públicas que tenemos en el TMG deberíamos declarar varias IP para su registro DNS. Para configurar una regla de Red en el TMG os muestro algunas capturas de pantalla:

EDGE_LYNC_TMG_29.jpgEDGE_LYNC_TMG_30.jpg

EDGE_LYNC_TMG_31.jpg

Esta es la parte más importante, debemos especificar la IP Pública que utilizará siempre que se conecte a Internet (resolución DNS, Federaciones, HTTP)

EDGE_LYNC_TMG_32.jpg
Una vez completada esta última configuración, ya tenemos nuestro EDGE publicado a Internet a través de TMG. Todo esto se puede complicar mucho más, porque no he hablado nada tener distintas VLANs a nivel de switch, ni de DMZ, etc… solo he querido comentar como configurar de manera simple nuestro EDGE y servicios web de nuestra infraestructura de Lync. Tampoco he comentado nada de los certificados a excepción de los que debe tener el TMG para la publicación de los Servicios Web. El EDGE debe tener correctamente configurados los certificados necesarios sino tampoco funcionará. Tampoco he puntualizado como se deberían ordenar las reglas del TMG, puesto que esto será en otro artículo y sin hacer referencia a Lync, puesto que seria una regla más de publicación o acceso en el conjunto de la solución.

Espero que os sea de utilidad!!!

Skype supera ya los
Preparación USB Boo

sbuytrago@asirsl.com

5 COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This