請問在這種採NAT的LYNC環境,防火牆和EDGE的設定
-
2012年5月30日 下午 02:28
由外部硬體防火牆同時提供反向PROXY的服務
1.這種模式下防火牆規則要怎麼設定呢?
2.防火牆的內部要提供都是一定要用NAT嗎?
3.如果直接使用Public IP 那這台Server還有在防火牆保護下嗎?
4.如果EDGE外部介面是用Public IP,要怎樣做才會在防火牆內?一定要用NAT嗎?
5.正規的EDGE是要用3個Public IP 分別為Access EDGE . Web Meeting EDGE . A/V EDGE 提供服務
那用單一Public IP分別以Access EDGE(5061) . Web Meeting EDGE0(444) . A/V EDGE (442)提供服務, EDGE是從443接收連入連線還是從5061. 444 .442接收?
6.Web Meeting收到的連結是https://meet.XXX.com/XXXXX
外部DNS只有做_sip._tls.XXX.com 443 sip.XXX.com這筆SRV記錄和 sip.XXX.com 200.200.200.200筆A記錄
這樣不能解析得到https://meet.XXX.com 的IP吧,是否還要多增加記錄呢?
- 已編輯 Vincent,WU 2012年5月30日 下午 02:34
所有回覆
-
2012年5月30日 下午 03:29
Hi
1.如果您只有一個Public IP,您只能走NAT的方式去做(看您的圖似乎只有一個Public IP)
2.Edge對外的網卡並不一定要NAT也可以運作,您把防火牆設定成Bridge Mode,然後在Edge加一下Route Table就可以了
3.、4.同上,設成Bridge Mode您還是可以擋Port之類的,但是如果您是直接將Public IP設定在Edge的外部網卡上就沒辦法了
5.您已經將AV預設的443 Port改成442了,所以Edge不會再使用443做A/V Edge的功能
您可以參考決定外部 A/V 防火牆和連接埠需求
您可以在Edge上透過netstat -an -p TCP這個指令去確認
我猜想,您這問題應該跟您上一次的問題有關,上一篇文章這麼修改的目的主要是讓meet使用的443能夠讓外部做NAT
6.承第五的回答,是,要加meet的A record在外部,如果您只有一個Public IP,您就設定跟Edge轉入是同一組,然後在防火牆上設定將443轉到內部Enterprise Pool就可以了
您需要試想外部DNS查詢到的Meet跟Dialin您要如何透過NAT的Port的對應功能將轉進你要的機器中。
其實在做Application Share時,Lync Client會先去找meet,再去啟動A/V,大部分的人會認為A/V的Port有問題,其實是出在Meet解析不到或轉不到Port。
大概給您這幾個方向去思考囉~希望對您有幫助。
另外我會比較建議用兩個Public IP,一個是防火牆到Edge,一個是用來模擬Reverse Proxy到Enterprise Pools,這樣做起來會方便很多
Best Regards, Daniel Liang
- 已標示為解答 Vincent,WU 2012年5月30日 下午 07:24
- 已取消標示為解答 Vincent,WU 2012年5月31日 下午 02:25
- 已標示為解答 Vincent,WU 2012年5月31日 下午 02:25
- 已取消標示為解答 Vincent,WU 2012年5月31日 下午 02:25
- 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
-
2012年5月30日 下午 04:34
1.請問第2個 Public IP 用來模擬Reverse Proxy到Enterprise Pools的方式可以具體的說明嗎
想了很久還是不太確定
是指把拓撲中的前端集區的外部Web指向第2個Public IP的FQDN 嗎?
可是防火牆是硬體式的,而且外部Web不是要輸入FQDN嗎?
自己在內部DNS增加一筆A 記錄?
2.外部防火牆是要設成下面這樣嗎
3.拓撲中的前端集區的外部Web 到底是指向sip.XXX.com還是其他?(沒有TMG做的反向PROXY的情況下)
- 已編輯 Vincent,WU 2012年5月30日 下午 07:17
- 已編輯 Vincent,WU 2012年5月30日 下午 07:25
- 已編輯 Vincent,WU 2012年5月31日 下午 02:25
-
2012年5月31日 下午 06:23
Hi
1.對。相當於您的Enterprise Pool的外部FQDN還有額外的Public IP可以NAT進去給它,NAT給它的防火牆概念就有點類似Reverse Proxy
如果您只有一個Public IP這部份我會建議您開80、8080、443、4443這四個都轉進去
2.其實您只要把80、8080、443、4443這四個目的Port轉給192.168.10.30(Enterprise Pool),就可以了
然後您在依照我先前提供給您的外部防火牆去設定Edge的Port(其實也是大部分都全開),只是A/V的443變成442而已
您這個表讓我看起來像是您的環境有兩道防火牆...
3.sip.domain.com指的是Edge的外部IP會使用5061、444、442...等,如防火牆表所示
meet.domain.com解析出來是Enterprise Pools的外部IP會使用80跟443
lync_ext_web.domain.com解析出來是Enterprise Pools的外部IP,會使用8080跟4443
Best Regards, Daniel Liang
- 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
-
2012年6月1日 上午 12:24
設成下圖這樣? NAT是像灰色的部分那樣做嗎?
-
2012年6月2日 上午 05:05
Hi
如果您的NAT有辦法進行轉Port的話,這樣做就是正確的
如果沒辦法的話,您最後兩個需要改成如下圖,相對的會比較不安全一點,但還是可以用。
外部使用者解析,其實Lync Ext Web Site,內部跟外部都一樣,只是Client連過來時會走443
沒辦法轉Port的話,就讓他走內部Site一樣可以用。
Best Regards, Daniel Liang
- 已編輯 Daniel-LiangMVP 2012年6月2日 上午 05:12
- 已標示為解答 Vincent,WU 2012年6月3日 下午 07:10
-
2012年6月3日 下午 07:21
不好意思
想請教一下
1.為何 meet.domain.com會用PORT 443呢?
meet.domain.com 和Web Meeting 定義的Port 444不一樣嗎?
如果有轉PORT功能meet.domain.com的NAT還是443嗎?
防火牆應該是下面哪一種?
NAT記錄中的lync_ext_web.domain.com是該用443還是4443(如果有轉PORT功能的話)?
2.sip.domain.com只NAT PORT 5061到EDGE嗎? 那Web Meeting 的 PORT 444、A/V的 PORT 442不用NAT到EDGE嗎?
3. 外部DNS的SRV記錄:
_sip._tls.domain.com 是要用PORT 443 還是用 PORT 5061呢?
還是PORT 5061 444 442都要建立?
- 已編輯 Vincent,WU 2012年6月3日 下午 07:25
- 已編輯 Vincent,WU 2012年6月3日 下午 07:36
- 已編輯 Vincent,WU 2012年6月3日 下午 07:46
- 已編輯 Vincent,WU 2012年6月3日 下午 07:46
- 已編輯 Vincent,WU 2012年6月3日 下午 07:55
- 已編輯 Vincent,WU 2012年6月3日 下午 08:00
-
2012年6月4日 上午 01:38
Hi
1.這個疑問,您可以在這篇文章找到答案Components Required for External User Access
外部使用者確實會透過Web Conferencing Edge Service來進入到內部的Meet,但是會透過Meet.domain.com來下載會議內容
它會走https://meet.domain.com,所以是443 Port
至於Lync_Ext_web.domain.com,有轉Port功能的話,就是443轉192.168.100.30-TCP 4443
2.都要喔~我這張圖只是針對您最後兩條去說明而已,您之前所提到的都要設
3.只要指定Access Edge Service的那個Port就可以了
Best Regards, Daniel Liang
- 已標示為解答 Vincent,WU 2012年6月4日 上午 04:47
.png)
