locked
External IP address is translated by NAT. В чем отличие A\V внешнего доступа собственного и федеративного пользователя? RRS feed

  • Вопрос

  • Имеем следующую конфигурацию OCS 2007 R2 EDGE:
    - все три роли EDGE установлены на одном физическом сервере
    - имеем один внутренний сетевой интерфейс, один внешний сетевой интерфейс
    - на внешнем сетевом интерфейсе - три частных IP адреса
    - у каждой роли EDGE отдельное сетевое имя, используемые порты согласно документации, сертификаты выданы внутренним корпоративным ЦС
    - доступ в Интернет через NAT устройство. DNAT, SNAT настроены согласно документации по развертыванию EDGE. (+ прим.: DNAT, SNAT настроены для всех трех IP адресов, не только для адреса роли A\V)
    - опция "External IP address is translated by NAT" в настройках роли A\V Edge ВЫКЛЮЧЕНА.
    Теперь собственно опыты:
    1.
    - пользователь собственный (из нашей OCS организации, назовем его так), подключается коммуникатором R2 из Интернет, начинаем IM беседу с одним пользователем из локальной сети организации - нормально.
    - дальше, добавляем к IM звук. Все хорошо. Звук есть!.. Беседуем.
    - дальше, добавляем картинку. Все отлично. Картинка, звук есть! Беседуем, завершаем беседу, все хорошо.
    2. То же самое птытаемся проделать с федеративным контактом, который находится в Интернет (собственный пользователь в локальной сети <-> федеративный контакт из Интернет) - звук\видео не работает (ошибка типа ".. пользователь перестал принимать звук от ..").
    --
    Собственный пользователь из Интернет и Федеративный пользователь из Интернет физически подключались с одного и того же места - с моего ноутбука, так что маршруты трафика в обоих опытах одинаковые. Внутренний пользователь также не изменялся - рабочая станция в локальной сети компании.
    Вопрос:
    Собственно можно понять, почему в опыте №2 не работает звук\видео - потому что не включена опция "External IP address is translated by NAT" а внешний интерфейс a\v EDGE находится за NAT.
    НО почему в опыте №1 звук\видео работает?
    Какое отличие в A\V коммуникациях у собственного внешнего пользователя и федеративного?
    Кто может прокомментировать данное поведение?
    Спасибо.
    ===
    Такой же эффект работает\не работает также распространяется на функционал Desktop Sharing в Communicator 2007 R2.


    http://mamyshev.com
    22 декабря 2009 г. 12:57

Все ответы

  • внешний пользователь (ноутбук в тесте) имеет публичный адрес или частный адрес из друной сети? как выходит в интернет. напрямую или через proxy?

    22 декабря 2009 г. 18:54
  • внешний пользователь (ноутбук в тесте) имеет публичный адрес или частный адрес из друной сети? как выходит в интернет. напрямую или через proxy?


    Александр, спасибо за отклик.

    Мой ноутбук в опытах находился в локальной сети моей компании. Федеративный пользователь - это я, с OCS 2007 R2 своей компании.
    Локальная сеть моей компании - это частные адреса. Диаппазоны частных адресов локальных сетей двух компаний не пересекаются.
    Локальная сеть моей компании по отношению к Интернет находится за NAT (ISA Server) - выход в Интернет через ISA Server 2006 SP1, на ноутбуке установлен ISA Firewall Client, ОС на ноутбуке Windows 7.

    ===================================
    Update
    ===========
    Провел опыт №1 и №2 из своей домашней сети.
    Домашня сеть - это ADSL WiFi роутер, он же NAT для Интернет <-> домашняя сеть, диапазон IP доманшей сети не пересекаются ни с кем. Ноутбук - тот же.
    Все полностью воспроизводится:
    - пользователь организации "А" при внешнем доступе к OCS из Интернет в свою организацию "А" - может общаться звуком\видео с пользователем внутри локальной сети организации "А"
    - федеративный пользователь (пользователь организации "Б"), находясь в Интернет (т.е. он сейчас в сценарии внешнего доступа к своей организации "Б") не может общаться звуком\видео с пользователем организации "А", находящемся в локальной сети организации "А".
    ---
    Пользователя организации "А", находящегося в локальной сети имитировал так:
    - виртуальная машина (все на моем же ноутбуке), ОС Windows XP, Communicator 2007 R2
    - поднят VPN из виртуалки в сеть организации "А" - т.е. этот клиент по сути находится в локальной сети организации "А".
    VPN в виртуалке - Cisco VPN Client.
    ==================================
    З.Ы.: Хочу как бы лишний раз напомнить - - опция "External IP address is translated by NAT" в настройках роли A\V Edge ВЫКЛЮЧЕНА.
    По идее опыт №1 должен быть неудачным в части звук \ видео как и №2, однако работает. Почему?

    http://mamyshev.com
    22 декабря 2009 г. 20:18
  • Полагаю, для сценария с federation, сервер передает адрес и порт в SIP.
    Для пользователя есть возможность откатиться на другие сценарии подключения (443 tcp и 3478 UDP). в этом случае в sip передается просто имя A/V Edge.
    Проверить можно просмотрев SIP трафик на Edge

    23 декабря 2009 г. 7:55