none
Portas para Conferencia AV RRS feed

  • Pergunta

  • Ola a todos, estou com uma duvida,

    tenho o OCS 2007 R2 standard instalado e rodando com o OCS Front End + CWA em um servidor e o Edge  Consolidado em outro..


    Estou com duas placas de rede, uma na rede DMZ e outra direto na rede interna (acredito que os problemas ja começam por ai)

    Quando faço uma chamada de audio e video notei no meu firewall (isa 2006) que ele necessita das portas 50.000 a 59.999 liberdas para entrada da rede externa direcionando para o servidor edge e tambem que  a estação da rede interna precisa de uma série de portas de saida para Anywhere (pois nunca sei qual o ip onde o cliente remoto esta acessando o communicator)

    Ha como diminuir ou mesmo deixar sem essa range de portas que preciso liberar do isa para o edge e mesmo as do cliente da rede interna para saida???


    e outra duvida

    como faço pra ligar (caso não tenha mesmo como fazer apenas com uma placa de rede) para ligar as duas placas na DMZ, sendo que uma que sera setada como interface interna do Edge eu liberarei apenas pra rede interna e a outra para rede externa.


    Li diversos posts e alguns falam que consegue se fazer usando duas placas em uma mesma subrede alguns posts falam que é impossivel se for utilizado o mesmo gateway..

    afinal da pra fazer ou não??

    Obrigado
    segunda-feira, 20 de julho de 2009 19:39

Respostas

  • São duas coisas diferentes, suporte a NAT somente com o OCS R2 ou seja você não precisa colocar o IP válido no Edge pois irá utilizar NAT, porem este NAT não pode ser feito pelo ISA mas sim por outro firewall como o pix, checkpoint etc.
    Se você quiser utilizar o ISA como firewall então você não poderá utilizar a capacidade de NAT do R2 e então terá que colocar o IP válido na placa externa.

    Já os pré-requisitos são basicamente:
    2 placas
    3 IPs válidos
    3 certificados válidos
    1 IP interno
    1 certificado interno




    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    sexta-feira, 24 de julho de 2009 21:57

Todas as Respostas

  • Vamos lá:

    1) As estações (LAN) não falam diretamente como os clientes que estão na Internet, as estações falam com o Edge e o Edge sim fala com as estações na Internet. Da uma olhada nas portas e direções que elas precisam ser abertas, veja que a intranet (LAN) nunca fala diretamente com a Internet.

    http://brunoestrozi.blogspot.com/2009/06/ocs-r2-edge-agora-suporta-nat.html





    Para publicar o Edge através de NAT você não poderá utilizar o ISA isso porque ele não suporta NAT estatico, você terá que colocar o IP válido do A/V direto na placa do Edge, como no artigo abaixo:

    http://brunoestrozi.blogspot.com/2009/06/publicando-o-ocs-atraves-do-isa-2006.html

    Por fim, o remendado é utilizar duas placas de rede cada uma em um seguimento de rede diferente, isso por segurança pois assim você isola o trafego, mas se por algum motivo você não consiga seguimentar, é possivel você utilizar as duas placas no mesmo seguimento porem não é recomendado.

    []s,

    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    quarta-feira, 22 de julho de 2009 12:33
  • Mas eu tenho ele funcionando!! Ele é o R2 O Edge ta com duas placas, uma na rede DMZ que passa abaixo do Isa 2006 e a outra pra rede interna. Ele ta fucionando tanto conversa por IM quanto audio e video, mas o que notei é que quando realizo uma chamado de AV pelo communicator com um cliente externo eles realizam tipo uma chamada ponto a ponto, pois o meu pc interno tenta sair nas portas do range 50 mil direto no ip do cliente externo. e se eu liberar esse acesso a chamada funciona normal *Se eu possuo apenas um firewall, se eu tiver duas placas de rede no edge e uma estiver na rede interna minha DMZ fica sem fundamento por que se alguem acessar o edge ta na rede interna.. Correto?
    quarta-feira, 22 de julho de 2009 13:01
  • Justamente por isso que não está correto, o certo é as estações falarem apenas com o Edge.

    [],

    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    quarta-feira, 22 de julho de 2009 13:04
  • AH ok. e ese tutorial que voce passou não seria para o OCS R1?? no R2 com a nova função de NAT de portas do AV server o que muda? (editando) Bruno tu poderia me explicar melhor como a rede fica segura se ela tem uma placa direto na rede interna, pois se a minha dmz for comprometida logo a rede interna tambem esta pois o servidor esta com uma placa na rede interna e uma na DMZ certo?
    quarta-feira, 22 de julho de 2009 13:11
  • O tutorial serve tanto para o R1 quanto para o R2 a diferença é que neste cenário utilizando o ISA, o IP válido vai direto na placa externa do Edge, com isso não é necessário faz NAT.
    Já o suporte a NAT está disponivel somento ao R2.

    Quanto a colocar a placa interna direto na LAN, isso não é necessário você pode ter 2 DMZs uma que fala com a internet e outra que fala com a LAN sendo ambas em seguimentos diferentes.

    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    sexta-feira, 24 de julho de 2009 17:59
  • Mas o meu OCS É o Release 2 aqui voce colocou que o R2 matava todos os problemas da necessidade de um ip publico na placa externa do EDGE http://social.technet.microsoft.com/Forums/pt-BR/ocslivcommpt/thread/33295512-e6ee-41ea-8ba3-d049375d6831 Eu só preciso saber como configurar no ISA para utilizar, pois seguindo aquele tutorial de liberação ele é para o R1 pois as regras que ele instrui a criar são regras de roteamento e não de NAT. A minha dúvida é se no R2 eu preciso de um IP publico na placa de rede externa do EDGE ou não.. e se não preciso saber se eu preciso publicar IPS externos do ISA diferentes para cada serviço, pois os serviços de Access Edge, AV e Webconference todos acessam a porta 443 (tenho um certificado SAN de 3 nomes) Então no caso eu tenho 3 ips diferente na placa de rede externa do EDGE, digamos assim 192.168.50.1 - Access Edge 192.168.50.2 - AV Edge 192.168.50.3 - Web Conf Edge Sendo que o acesso ao access edge na porta 5061 e 443 se dará por um ip externo por exemplo 200.200.200.1 O acesso ao AV se dara nas portas 443 e no protocolo STUN em um outro ip que não o acima tipo 200.200.200.2 E o acesso ao Web Conf seria na porta 443 de um terceiro IP publico como o 200.200.200.3 É isso?? To muito confuso com realação a isso pois no outro topico vc disse que resolveria com o R2 e o rapaz disse no primeiro post que ele tinha isa, por isso ta meio confuso
    sexta-feira, 24 de julho de 2009 19:51
  • São duas coisas diferentes, suporte a NAT somente com o OCS R2 ou seja você não precisa colocar o IP válido no Edge pois irá utilizar NAT, porem este NAT não pode ser feito pelo ISA mas sim por outro firewall como o pix, checkpoint etc.
    Se você quiser utilizar o ISA como firewall então você não poderá utilizar a capacidade de NAT do R2 e então terá que colocar o IP válido na placa externa.

    Já os pré-requisitos são basicamente:
    2 placas
    3 IPs válidos
    3 certificados válidos
    1 IP interno
    1 certificado interno




    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    sexta-feira, 24 de julho de 2009 21:57
  • Agora ficou mais claro...

    tenho apenas mais uma duvida.. os ips publicos podem ser feitos NATs apenas para as portas necessárias correto??

    ou tem que ser dedicados para o OCS??

    Obrigado Bruno
    segunda-feira, 27 de julho de 2009 11:15
  • Pode, porem para o IP do A/V tem que ser NAT estatico, ou seja, não será feito por portas mas sim IP <> IP.

    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    terça-feira, 28 de julho de 2009 18:29