Θα ολοκληρώσουμε την εγκατάσταση του Consolidated Edge Server από το σημείο που την είχαμε αφήσει εδώ, ώστε μετά από τα επόμενα βήματα, οι χρήστες του συστήματός μας να μπορούν να συνδέονται στη σουίτα του MS Office Communications Server 2007 R2 ακόμη και όταν βρίσκονται εκτός του εταιρικού δικτύου και –όπως έχουμε ξαναπεί- χωρίς να είναι απαραίτητη η χρήση τεχνολογίας VPN!

Είχαμε αφήσει λοιπόν σε εκκρεμότητα τα παρακάτω :

Configure ISA Server 2006 SP1 Configure External DNS zone (autoexec.gr) Configure External Firewall (Cisco ASA sample setup)

Συνεχίζουμε λοιπόν από εκεί που είχαμε μείνει και :

 

Configure ISA Server 2006 SP1 :

Ας υπενθυμίσουμε εδώ, οτι ο ISA Server 2006 SP1 στην εγκατάστασή μας παίζει δύο ρόλους. Ο ένας είναι αυτός του Reverse Proxy for Publishing OCS Web Services & OCS Communicator Web Access και ο άλλος είναι αυτός του back-end firewall στην τοπολογία του δικτύου μας. Μπορείτε να ανατρέξετε στο προηγούμενο μέρος για να δείτε αναλυτικά την τοπολογία και το IP addressing. Επιπλέον, θα προσθέσουμε τώρα δύο επιπλέον διευθύνσεις στο External Interface, οι οποίες θα αντιστοιχούν σε κάθε ένα από τα Web Listeners :

OCS Web Farm Listener :	192.168.20.201 (public FQDN : ocs.autoexec.gr)
CWA Listener :	192.168.20.202 (public FQDN : cwa.autoexec.gr)

 

Ο ISA Server, θα κάνει Publish δύο web sites, μέσω https, συνεπώς θα χρειαστεί αντίστοιχα δύο certificates κατάλληλα για αυτή τη χρήση. Για λόγους ευκολίας, θα κάνουμε απλά export τα certificates που είχαμε παράξει για χρήση από τους εσωτερικούς servers, αφού αυτά στην πράξη διαθέτουν ως SAN’s όλα τα απαραίτητα ονόματα για να λειτουργήσει σωστά το web publishing. Θα εξάγουμε λοιπόν τα πιστοποιητικά από τον Front End Server που αφορά τα Web Components (FQDN : ocs.autoexec.gr) και από τον Communicator Web Access Server το αντίστοιχο (FQDN : cwa.autoexec.gr , SAN’s as.cwa.autoexec.gr & download.cwa.autoexec.gr).

Από την άλλη αν κάποιος το επιθυμεί, μπορεί να παράξει νέα πιστοποιητικά, ώστε να μην εμφανίζονται και τα εσωτερικά ονόματα στα certificates που είναι ορατά από το Internet.

Εισάγουμε κατόπιν στον ISA Server τα αντίστοιχα πιστοποιητικά μέσω του IIS και προχωράμε με το configuration.

Μετά την εφαρμογή όλων των κανόνων (access & web-publishing) ο ISA Server θα μοιάζει κάπως έτσι :

Τι σημαίνουν όμως όλα αυτά; Ας ξεκινήσουμε πρώτα με τα πρωτόκολα, τα οποία πρέπει να ορίσουμε (user defined) :

• A/V Authentication : TCP port 5062 / outbound
• PSOM-TLS : TCP port 8057 / outbound
• SIP-TLS : TCP port 5061 / outbound
• STUN : UDP port 3784 / send receive

Κατά δεύτερο παρατηρούμε ότι η ‘εισερχόμενη’ επικοινωνία από την DMZ προς το εσωτερικό δίκτυο, περιορίζεται σε DNS requests και σε SIP-TLS και ΜΟΝΟ!!!. Οποιαδήποτε άλλη επικοινωνία με το εσωτερικό δίκτυο, ξεκινάει ΑΠΟ το εσωτερικό δίκτυο (Front-End Server ή MOC clients) ΑΦΟΥ έχει πρώτα γίνει authenticated το εισερχόμενο request. Πραγματικά πολύ καλό security design από τη μεριά της Microsoft, με σημαντικές βελτιώσεις απέναντι στην προηγούμενη έκδοση και αξίζουν τα εύσημα για αυτό!

Τέλος τα Web Publishing rules, τα οποία χρησιμοποιούν SSL, και ‘βγάζουν’ προς τον έξω κόσμο τις υπηρεσίες που έχουμε αναφέρει και πιο πάνω…

Configure External DNS Servers :

Με βάση τα όσα έχουμε πει ως εδώ (αλλά και κάποια άλλα, που σας κρατάω κρυφά ακόμα) θα πρέπει να διαμορφώσουμε τις αντίστοιχες εγγραφές στους ΕΞΩΤΕΡΙΚΟΥΣ dns servers που διαθέτουμε, ώστε να μπορεί τελικά να λειτουργεί ο OCS2007R2 και από τον έξω κόσμο… Παραθέτω λοιπόν συνοπτικά τις απαραίτητες εγγραφές, δίνοντας παράληλα και τις αντιστοιχίες που ισχύουν για το ‘υποτιθέμενο’ NAT, το οποίο κάνει το εξωτερικό μας Firewall για τις ανάγκες του lab.

FQDN	Type	Record	Nat’ed IP (External DMZ)
_sip._tls.autoexec.gr	SRV	sip.autoexec.gr (port 443)	-
sip.autoexec.gr	A (host)	192.168.30.21	192.168.20.21
ocs.autoexec.gr	A (host)	192.168.30.201	192.168.20.201
cwa.autoexec.gr	A (host)	192.168.30.202	192.168.20.202
as.cwa.autoexec.gr	Alias	cwa.autoexec.gr	-
download.cwa.autoexec.gr	Alias	cwa.autoexec.gr	-

 

Configure External Firewall (Cisco PIX/ASA)

Τελευταίο βήμα, αποτελεί το external firewall setup. Για τις ανάγκες της εγκατάστασης, έχουμε χρησιμοποιήσει ένα Firewall Cisco PIX 501, ενώ το ίδιο configuration μπορεί να χρησιμοποιηθεί σε οποιοδήποτε Cisco PIX / ASA appliance. Φυσικά με βάση τους κανόνες (NAT, Access Rules) μπορεί κανείς να αναπαράγει τις ρυθμίσεις σε οποιδήποτε άλλο Software ή Hardware Firewall!

Τα NAT rules, προκύπτουν και από αυτά που αναφέραμε στο προηγούμενο βήμα (Configure External DNS Servers) Τα Access Rules (access-list acl_in) προκύπτουν ως εξής : Επιτρέπουμε εισερχόμενο SSL (443) σε όλες τις public διευθύνσεις / services sip : Edge Server ocs : Published Web Farm cwa : Published Communicator Web Access Ειδικά για τον Edge Server (SIP) επιτρέπουμε επιπλέον : tcp 5061 (for federation / PIC) udp 3478 (STUN for UDP over NAT) Πρακτικά από εδώ περνάει όλο το audio / video tcp 8443 & 8444 τα οποία είναι τα non-default ports για τα services του Edge Server (ξαναδιαβάστε το προηγούμενο post…)

 

Για να μην ξεχαστούμε, ΕΠΕΙΔΗ χρησιμοποιήσαμε NAT για το A/V edge service, θα πρέπει να προβούμε στις εξής ενέργειες (δεν χρειάζονται αν δεν έχουμε NAT).

Κάνουμε check το “External IP address is translated by NAT” και επιπλέον, επειδή όταν η IP είναι NAT’ed, ο Edge Server κατά το auto provisioning (περισσότερα σε επόμενα, ‘τεχνολογικού’ περιεχομένου άρθρα) δίνει την IP του A/V Edge Server μέσω δικού του DNS Lookup (με το record sip.autoexec.gr) και όχι με DNS Lookup του client, και ΕΠΕΙΔΗ o Edge Server κοιτάει εσωτερικούς DNS Servers, ώστε να μιλάει σωστά με το εσωτερικό δίκτυο, του προσθέτουμε την ακόλουθη εγγραφή στο HOSTS file … (C:\Windows\System32\Drivers\Etc\Hosts)

192.168.30.21 sip.autoexec.gr

όπου η παραπάνω IP είναι η Public NAT’ed διεύθυνση και είναι ΙΔΙΑ με αυτή του Public DNS Server μας!

 

Με τα παραπάνω, ολοκληρώνεται η εγκατάσταση του Consolidated Edge Server και οι χρήστες μας θα πρέπει να είναι σε θέση να συνδέονται με τον ίδιο τρόπο, είτε βρίσκονται εντός του εταιρικού δικτύου, είτε βρίσκονται έξω από αυτό.

Η συνέχεια θα περιλαμβάνει τη σύνδεση της υποδομής μας με το ‘φωνητικό’ δίκτυο και συγκεκριμένα με ένα IP PBX,το Cisco Unified Communications Manager Express, ώστε να μπορούμε να επικοινωνούμε με την υπόλοιπη δομή Voice της εταιρείας, αλλά και με τον έξω κόσμο (ο ΟΤΕ μας ενώνει και δε συμμαζεύεται…)

 

***

Σημείωση : Σκόπιμα δεν έχω εμβαθύνει στο configuration των επιμέρους προϊόντων (MS ISA, Cisco PIX) γιατί δεν αποτελούν ακριβώς αντικείμενο αυτής της σειράς, και κατά κάποιον τρόπο έχω θεωρήσει πως διαθέτουμε ήδη κάποιο σχετικό υπόβαθρο. Ασχολήθηκα λοιπόν περισσότερο με το ποιο είναι το τελικό / απαραίτητο Configuration ώστε να τεθεί το σύστημα σε λειτουργία και όχι με τη διαδικασία παραμετροποίησης των τρίτων προϊόντων. Αν παρόλα αυτά υπάρχει ενδιαφέρον, μπορούμε να παραθέσουμε και ένα σχετικό άρθρο που να επεξηγεί καλύτερα τη διαδικασία με την οποία κάνουμε το σχετικό Configuration.

***