none
請問在這種採NAT的LYNC環境,防火牆和EDGE的設定

    問題

  • 由外部硬體防火牆同時提供反向PROXY的服務

    1.這種模式下防火牆規則要怎麼設定呢?


    2.防火牆的內部要提供都是一定要用NAT嗎?


    3.如果直接使用Public IP 那這台Server還有在防火牆保護下嗎?


    4.如果EDGE外部介面是用Public IP,要怎樣做才會在防火牆內?一定要用NAT嗎?


    5.正規的EDGE是要用3個Public IP 分別為Access EDGE . Web Meeting EDGE . A/V EDGE 提供服務

    那用單一Public IP分別以Access EDGE(5061) . Web Meeting EDGE0(444) . A/V EDGE (442)提供服務, EDGE是從443接收連入連線還是從5061. 444 .442接收?


    6.Web Meeting收到的連結是https://meet.XXX.com/XXXXX

    外部DNS只有做_sip._tls.XXX.com   443    sip.XXX.com這筆SRV記錄和 sip.XXX.com 200.200.200.200筆A記錄

    這樣不能解析得到https://meet.XXX.com 的IP吧,是否還要多增加記錄呢?


    • 已編輯 Vincent,WU 2012年5月30日 下午 02:34
    2012年5月30日 下午 02:28

解答

  • Hi

    1.如果您只有一個Public IP,您只能走NAT的方式去做(看您的圖似乎只有一個Public IP)

    2.Edge對外的網卡並不一定要NAT也可以運作,您把防火牆設定成Bridge Mode,然後在Edge加一下Route Table就可以了

    3.、4.同上,設成Bridge Mode您還是可以擋Port之類的,但是如果您是直接將Public IP設定在Edge的外部網卡上就沒辦法了

    5.您已經將AV預設的443 Port改成442了,所以Edge不會再使用443做A/V Edge的功能

    您可以參考決定外部 A/V 防火牆和連接埠需求

    您可以在Edge上透過netstat -an -p TCP這個指令去確認

    我猜想,您這問題應該跟您上一次的問題有關,上一篇文章這麼修改的目的主要是讓meet使用的443能夠讓外部做NAT

    6.承第五的回答,是,要加meet的A record在外部,如果您只有一個Public IP,您就設定跟Edge轉入是同一組,然後在防火牆上設定將443轉到內部Enterprise Pool就可以了

    您需要試想外部DNS查詢到的Meet跟Dialin您要如何透過NAT的Port的對應功能將轉進你要的機器中。

    其實在做Application Share時,Lync Client會先去找meet,再去啟動A/V,大部分的人會認為A/V的Port有問題,其實是出在Meet解析不到或轉不到Port。

    大概給您這幾個方向去思考囉~希望對您有幫助。

    另外我會比較建議用兩個Public IP,一個是防火牆到Edge,一個是用來模擬Reverse Proxy到Enterprise Pools,這樣做起來會方便很多


    Best Regards, Daniel Liang

    • 已標示為解答 Vincent,WU 2012年5月30日 下午 07:24
    • 已取消標示為解答 Vincent,WU 2012年5月31日 下午 02:25
    • 已標示為解答 Vincent,WU 2012年5月31日 下午 02:25
    • 已取消標示為解答 Vincent,WU 2012年5月31日 下午 02:25
    • 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
    2012年5月30日 下午 03:29
  • Hi

    1.對。相當於您的Enterprise Pool的外部FQDN還有額外的Public IP可以NAT進去給它,NAT給它的防火牆概念就有點類似Reverse Proxy

    如果您只有一個Public IP這部份我會建議您開80、8080、443、4443這四個都轉進去

    2.其實您只要把80、8080、443、4443這四個目的Port轉給192.168.10.30(Enterprise Pool),就可以了

    然後您在依照我先前提供給您的外部防火牆去設定Edge的Port(其實也是大部分都全開),只是A/V的443變成442而已

    您這個表讓我看起來像是您的環境有兩道防火牆...

    3.sip.domain.com指的是Edge的外部IP會使用5061、444、442...等,如防火牆表所示

    meet.domain.com解析出來是Enterprise Pools的外部IP會使用80跟443

    lync_ext_web.domain.com解析出來是Enterprise Pools的外部IP,會使用8080跟4443


    Best Regards, Daniel Liang

    • 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
    2012年5月31日 下午 06:23
  • Hi

    如果您的NAT有辦法進行轉Port的話,這樣做就是正確的

    如果沒辦法的話,您最後兩個需要改成如下圖,相對的會比較不安全一點,但還是可以用。

    外部使用者解析,其實Lync Ext Web Site,內部跟外部都一樣,只是Client連過來時會走443

    沒辦法轉Port的話,就讓他走內部Site一樣可以用。


    Best Regards, Daniel Liang


    • 已編輯 Daniel-Liang 2012年6月2日 上午 05:12
    • 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
    2012年6月2日 上午 05:05
  • Hi

    1.這個疑問,您可以在這篇文章找到答案Components Required for External User Access

    外部使用者確實會透過Web Conferencing Edge Service來進入到內部的Meet,但是會透過Meet.domain.com來下載會議內容

    它會走https://meet.domain.com,所以是443 Port

    至於Lync_Ext_web.domain.com,有轉Port功能的話,就是443轉192.168.100.30-TCP 4443

    2.都要喔~我這張圖只是針對您最後兩條去說明而已,您之前所提到的都要設

    3.只要指定Access Edge Service的那個Port就可以了


    Best Regards, Daniel Liang

    • 已標示為解答 Vincent,WU 2012年6月4日 上午 04:47
    2012年6月4日 上午 01:38

所有回覆

  • Hi

    1.如果您只有一個Public IP,您只能走NAT的方式去做(看您的圖似乎只有一個Public IP)

    2.Edge對外的網卡並不一定要NAT也可以運作,您把防火牆設定成Bridge Mode,然後在Edge加一下Route Table就可以了

    3.、4.同上,設成Bridge Mode您還是可以擋Port之類的,但是如果您是直接將Public IP設定在Edge的外部網卡上就沒辦法了

    5.您已經將AV預設的443 Port改成442了,所以Edge不會再使用443做A/V Edge的功能

    您可以參考決定外部 A/V 防火牆和連接埠需求

    您可以在Edge上透過netstat -an -p TCP這個指令去確認

    我猜想,您這問題應該跟您上一次的問題有關,上一篇文章這麼修改的目的主要是讓meet使用的443能夠讓外部做NAT

    6.承第五的回答,是,要加meet的A record在外部,如果您只有一個Public IP,您就設定跟Edge轉入是同一組,然後在防火牆上設定將443轉到內部Enterprise Pool就可以了

    您需要試想外部DNS查詢到的Meet跟Dialin您要如何透過NAT的Port的對應功能將轉進你要的機器中。

    其實在做Application Share時,Lync Client會先去找meet,再去啟動A/V,大部分的人會認為A/V的Port有問題,其實是出在Meet解析不到或轉不到Port。

    大概給您這幾個方向去思考囉~希望對您有幫助。

    另外我會比較建議用兩個Public IP,一個是防火牆到Edge,一個是用來模擬Reverse Proxy到Enterprise Pools,這樣做起來會方便很多


    Best Regards, Daniel Liang

    • 已標示為解答 Vincent,WU 2012年5月30日 下午 07:24
    • 已取消標示為解答 Vincent,WU 2012年5月31日 下午 02:25
    • 已標示為解答 Vincent,WU 2012年5月31日 下午 02:25
    • 已取消標示為解答 Vincent,WU 2012年5月31日 下午 02:25
    • 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
    2012年5月30日 下午 03:29
  • 1.請問第2個 Public IP 用來模擬Reverse Proxy到Enterprise Pools的方式可以具體的說明嗎

    想了很久還是不太確定

    是指把拓撲中的前端集區的外部Web指向第2個Public IP的FQDN 嗎?

    可是防火牆是硬體式的,而且外部Web不是要輸入FQDN嗎?

    自己在內部DNS增加一筆A 記錄?

    2.外部防火牆是要設成下面這樣嗎

    3.拓撲中的前端集區的外部Web 到底是指向sip.XXX.com還是其他?(沒有TMG做的反向PROXY的情況下)




    • 已編輯 Vincent,WU 2012年5月31日 下午 02:25
    2012年5月30日 下午 04:34
  • Hi

    1.對。相當於您的Enterprise Pool的外部FQDN還有額外的Public IP可以NAT進去給它,NAT給它的防火牆概念就有點類似Reverse Proxy

    如果您只有一個Public IP這部份我會建議您開80、8080、443、4443這四個都轉進去

    2.其實您只要把80、8080、443、4443這四個目的Port轉給192.168.10.30(Enterprise Pool),就可以了

    然後您在依照我先前提供給您的外部防火牆去設定Edge的Port(其實也是大部分都全開),只是A/V的443變成442而已

    您這個表讓我看起來像是您的環境有兩道防火牆...

    3.sip.domain.com指的是Edge的外部IP會使用5061、444、442...等,如防火牆表所示

    meet.domain.com解析出來是Enterprise Pools的外部IP會使用80跟443

    lync_ext_web.domain.com解析出來是Enterprise Pools的外部IP,會使用8080跟4443


    Best Regards, Daniel Liang

    • 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
    2012年5月31日 下午 06:23
  • 設成下圖這樣? NAT是像灰色的部分那樣做嗎?

    2012年6月1日 上午 12:24
  • Hi

    如果您的NAT有辦法進行轉Port的話,這樣做就是正確的

    如果沒辦法的話,您最後兩個需要改成如下圖,相對的會比較不安全一點,但還是可以用。

    外部使用者解析,其實Lync Ext Web Site,內部跟外部都一樣,只是Client連過來時會走443

    沒辦法轉Port的話,就讓他走內部Site一樣可以用。


    Best Regards, Daniel Liang


    • 已編輯 Daniel-Liang 2012年6月2日 上午 05:12
    • 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
    2012年6月2日 上午 05:05
  • 不好意思

    想請教一下

    1.為何 meet.domain.com會用PORT 443呢?

    meet.domain.com 和Web Meeting 定義的Port  444不一樣嗎?

    如果有轉PORT功能meet.domain.com的NAT還是443嗎?

    防火牆應該是下面哪一種?

    NAT記錄中的lync_ext_web.domain.com是該用443還是4443(如果有轉PORT功能的話)?

    2.sip.domain.com只NAT PORT 5061到EDGE嗎? 那Web Meeting 的 PORT 444、A/V的 PORT 442不用NAT到EDGE嗎?

    3. 外部DNS的SRV記錄:

    _sip._tls.domain.com 是要用PORT 443 還是用 PORT 5061呢?

    還是PORT 5061 444 442都要建立?






    • 已編輯 Vincent,WU 2012年6月3日 下午 08:00
    2012年6月3日 下午 07:21
  • Hi

    1.這個疑問,您可以在這篇文章找到答案Components Required for External User Access

    外部使用者確實會透過Web Conferencing Edge Service來進入到內部的Meet,但是會透過Meet.domain.com來下載會議內容

    它會走https://meet.domain.com,所以是443 Port

    至於Lync_Ext_web.domain.com,有轉Port功能的話,就是443轉192.168.100.30-TCP 4443

    2.都要喔~我這張圖只是針對您最後兩條去說明而已,您之前所提到的都要設

    3.只要指定Access Edge Service的那個Port就可以了


    Best Regards, Daniel Liang

    • 已標示為解答 Vincent,WU 2012年6月4日 上午 04:47
    2012年6月4日 上午 01:38