Edge Lync: Configuración de Red (Parte II)

IP AV: 172.18.0.4 /28

Máscara AV: 172.18.0.3 /28

Gateway AV: 172.18.0.1

DNS AV: 8.8.8.8

Ahora vamos a ver como vamos a configurar nuestro EDGE si le configuramos directamente las IP Públicas en las interfaces EXTERNAS., este sería el escenario:

Como las direcciones IP Públicas las tiene directamente el EDGE, debemos configurar un firewall en el servidor para protegernos de los ataques externos. Es este caso vamos a configurar el propio firewall de Windows Server 2008 R2, tenemos que hacer lo mismo (en cuanto a permitir o no el acceso desde el exterior, está claro que una cosa es NAT y otra las reglas de FW que vamos a crear) que cuando teniamos NAT, pero en vez de hacer port forwarding lo que debemos hacer es bloquear o permitir las conexiones a los puertos que utilizan los servicios de Lync en el EDGE:

Aqui os dejo un ejemplo de las reglas de FW que debemos configurar únicamente de ENTRADA A NUESTRO EDGE (tanto en las IP Públicas como Privadas desde la redes internas)

En la primera regla que véis hemos compartido la misma para permitir el acceso al puerto 443 desde cualquier origen, tanto desde la red EXTERNA como INTERNA. Si queremos segregarla por una parte tendríamos el acceso desde Internet a las IP Públicas y otra a la red INTERNA del EDGE pero como origen el Front-END y subredes internas para las comunicaciones de los clientes Internos.

Lo que he hecho es configurar los puertos necesarios filtrando por origen, destino y ámbito en donde ha sido posible (se me ha colado un perifl de Dominio, pero es Privado claramente). La IP INTERNA del EDGE es la 192.168.250.32 y la del Front-END es la 192.168.250.39. El resto de reglas  están deshabilitadas, por lo que no se podrá tener acceso a esos otros puertos  puesto que no están explicitamente habilitados.  Os recuerdo que el rango de puertos de AV (50000-59999) solo se deben abrir en la interface externa únicamente. La comunicación de los clientes internos co nlos externos tunelizarán las conexiones de media a través del puerto 3478 (UDP) y 443 (TCP). Por lo que en la regla Lync AV AS (UDP 3478) IN debéis añadir a parte del Front-END como he hecho yo, debéis añadir a vuestras subredes internas para permitir que se conecten a la interna del EDGE. Esto es así porque no está permitido configurar NAT entre la Interface INTERNA del EDGE y las subredes locales. Así, cada conexión de entrada a los puerto 443 o 3478 contendría una única dirección IP y puerto de origen. Mientras que en la parte externa del servidor EDGE de los hosts remotos pueden estar detrás de NAT o varios servidores EDGE federados podría intentar abrir conexiones desde el mismo puerto de origen.

Las reglas salientes os las dejo a vosotros que las configuréis, pero serían las siguientes:

Os adjunto las reglas del FW de Windows Server 2008 R2 exportadas, recordad que debéis ajustar la configuración en función de vuestras necesidades (direccionamientos, ámbitos, etc…). Además, no he tenido en cuentra tráfico de retorno, etc.. eso es algo que debéis configurar vosotros. Lo que os adjunto es la BASE para que la importéis y tengáis que modificar únicamente lo necesario, pero no os puedo garantizar su funcionamiento al 100% porque cada escenario es un mundo.

El resto de tareas para la interface INTERNA del EDGE en cuanto a rutas estáticas eso debéis hacerlo igual, no difiere del documento anterior. Aqui solo hemos tratado la configuración de las interfaces EXTERNAS del EDGE  y como exponerlas a Internet con sin Software ni Hardware adicional al servidor. La modificación del fichero HOST más de lo mismo, se tiene que realizar igualmente.

Aun nos queda otro artículo más para esta serie de la configuración de Red del EDGE, será enfocado a configurar el EDGE con el TMG como Firewall. Además, en el último artículo nos centraremos en la seguridad de las interfaces de red del EDGE y la red local: VLANs, Filtrado, etc…

Espero que os sea de utilidad!!