none
Реализация внешних подключений к Lync без Edge сервера с одним внешним IP через NAT RRS feed

  • Общие обсуждения

  • День добрый, по моему вопросу вижу несколько похожих тем, но хочу собрать все мнения в кучу.

    Есть небольшая совсем организация которой необходим свой локальный Lync, в организации проблемы с инфраструктурой...  есть проблема с получением дополнительных внешних IP... по сути сеть работает за железным NAT, всё, DMZ нет.

    Вопрос номер раз - необходим ли EDGE вообще или можно без него.

    Вопрос два - если всё таки необходим, то возможна ли его реализация в существующей схеме сети без DMZ, т.е. просто пронатить необходимые порты на внутренний IP. и.. да, чую в данной реализации траблы на тему Revers proxy

    6 марта 2014 г. 10:12

Все ответы

  • добрый день.

    минимальное кол-во ip адресов 2, но можно поднять и на одном, без участия reverse proxy, в этом случае у вас не будет работать адресная книга, аватарки, поиск по имени и прочие веб службы, но поиск по sip адресу работать будет, внешний клиент будет подключаться и голос с видео ходить.

    edge нужен, ну то есть можно "колхозить" пробросы портов прямо на front end, но за такой ответ меня здесь по голове не погладят. почему? потому что это не безопасно, это через одно место + там еще будет куча проблем с dns, сертификатами и прочим. поэтому два варианта - либо edge для внешнего доступа, либо поднимайте с клиента vpn соединение. 

    по поводу dmz. на edge у вас будет 2 сетевых интерфейса, они должны быть в разных подсетях. всё. вы можете строить и более сложную структуру и фильтровать траффик еще и после внутреннего интерфейса, но как я понял и этого хватит.


    6 марта 2014 г. 11:05
  • Если планируется внешний доступ к Lync и федерация, то без Edge не обойтись. Да и Reverse Proxy тоже лишним не будет. Плюс коммерческие сертификаты. Посчитайте,  может выгоднее было бы оформить подписку на Office 365? Там есть тарифные планы для малого бизнеса, очень недорогие. В таком случае нужен только зарегистрированный на вас домен.

    Do not multiply entities beyond what is necessary

    6 марта 2014 г. 11:11
  • 365 не соответствует политике холдинга, не вариант к сожалению. 

    Ок, раз без доп IP не обойтись тогда интересует реализация малой кровью, попробую выбить еще внешних адресов. Сколько всё таки необходимо для реализации полного функционала, 2? И тогда остаётся вопрос по проксе... мне не до конца понятна необходимость при реализации с edge сервером который будет напрямую глядеть внешними интерфейсами в интернет.

    6 марта 2014 г. 11:22
  • edge для внешнего доступа - http://technet.microsoft.com/en-us/library/gg398918.aspx

    Reverse Proxy для работы всего этого хозяйства:

    • Enabling external users to download meeting content for your meetings.
    • Enabling external users to expand distribution groups.
    • Enabling remote users to download files from the Address Book service.
    • Accessing the Lync Web App client.
    • Accessing the Dial-in Conferencing Settings webpage.
    • Accessing the Location Information service.
    • Enabling external devices to connect to Device Update web service and obtain updates. 
    • Enabling mobile applications to automatically discover and use the mobility (Mcx) URLs from the Internet.
    • Enabling the Lync 2013 client, Lync Windows Store app and Lync 2013 Mobile client to locate the Lync Discover (autodiscover) URLs and use Unified Communications Web API (UCWA).

    http://technet.microsoft.com/en-us/library/gg398069.aspx

    и да, послушайте Дмитрия, офис365 самое просто решение, которое конфигурируется за полчаса.



    6 марта 2014 г. 11:35
  • всё... сообразил, обратный прокси нужен для доступа к фронтэнду внутри сети напряму, похоже 4 IP это минимум если не разбрасывать доступ по нестандартным портам.
    6 марта 2014 г. 12:05
  • а вы вообще читали, что я написал в первом комментарии?

    4 адреса это рекомендуемая конфигурация из документации, 3 для edge, 1 для reverse proxy.

    Можно сделать на 2-х внешних адресах и все будет работать на стандартных портах

    , это поддержка самого линка при создании топологии.

    http://technet.microsoft.com/en-us/library/jj204756.aspx


    6 марта 2014 г. 16:51
  • ага, а я понял что "в этом случае у вас не будет работать адресная книга, аватарки, поиск по имени и прочие веб службы" относится ко всему предложению... ок, почитаем.
    7 марта 2014 г. 3:09
  • Антон, немного не соглашусь относительно одного публичного IP для Edge по части стандартных портов. Каким образом возможно опубликовать три разных сервиса на одном IP адресе и 1-м порту (443)?

    Do not multiply entities beyond what is necessary

    7 марта 2014 г. 5:39
  • да Дмитрий, все верно, вылетело из головы, что там srv запись _sip._tls для конфигурации с 3мя ip стандартный порт 443, а не 5061 + webconf на другой порт.

    my bad. )



    7 марта 2014 г. 6:32