Microsoft Lync Server
Header

Lync Server: Abrir el Puerto 5061/TCP para las Federaciones en un Firewall Cisco ASA 5510

julio 22nd, 2013 | Posted by Santiago Buitrago in Lync Server

A estas alturas no creo que nadie que utilice Lync Server no tenga claro que para poder configurar la federación, debemos permitir hacia la IP de Acceso del EDGE el puerto 5061 en TCP. En su momento había publicado distintos artículos de cómo configurar un EDGE:

Lync_Edge_Federación_Firewall_Cisco_14.png
Ahora que tenemos claro que el puerto utilizado para la federación es el 5061 en TCP, vamos a ver cómo podemos configurar nuestro Firewall Cisco ASA 5510 para permitir las comunicaciones hacia nuestro EDGE si hemos implementado el EDGE detrás de NAT. Su configuración es muy sencilla, pero voy a tratar de describir los pasos que debemos dar para configurarlo. Vamos a configurarlo mediante ASDM para facilitar su configuración a los técnicos que no estén acostumbrados a manejarlo a diario.  Yo he utilizado un Cisco ASA 5510 con las siguientes características:
 
Lync_Edge_Federación_Firewall_Cisco_13.png
Pues comentado esto, abrimos nuestro ASDM, vamos a Access Rules y en la interface WAN (Level 0) pulsamos con el botón secundario del ratón y pulsamos en Add Access Rule. Lo que haremos aquí básicamente es configurar una ACL para permitir o no la conexión al puerto 5061 en nuestra interface WAN de entrada, pero aquí no "abrimos" el puerto aún.
 
Lync_Edge_Federación_Firewall_Cisco_1.png
Debemos especificiar la IP de Origen, Destino y Servicio.
Lync_Edge_Federación_Firewall_Cisco_2.png
Por defecto, el Cisco ASA no tiene como protocolo predefinido el puerto 5061 (solo tiene SIP en TCP y UDP)
Lync_Edge_Federación_Firewall_Cisco_3.png
Para poder crear nuestro propio servicio pulsamos en Add y TCP Service Group…
Lync_Edge_Federación_Firewall_Cisco_4.png
Escribiemos el nombre del Grupo, Descripción (opcional), seleccionamos Create new member, escribimos el número de puerto (5061) y pulsamos en ADD
Lync_Edge_Federación_Firewall_Cisco_5.png
Una vez que hemos pulsado en Add podemos pulsar en OK para completar la creación del servicio
Lync_Edge_Federación_Firewall_Cisco_6.png
Ahora que lo tenemos creado, lo podemos buscar y agregarlo para aplicarlo a la ACL
Lync_Edge_Federación_Firewall_Cisco_7.png
Pulsamos en OK  para finalizar la configuración de la ACL. Si queremos filtrar la conexión al servicio, podemos establecer la opción de source con la IP de origen. Sino la tenemos creada como un objeto, pulsamos en los tres puntos de la derecha y creamos el nuevo objeto (equipo) con la IP correspondiente (similar a la creación del servicio)
Lync_Edge_Federación_Firewall_Cisco_8.png
La primera parte la hemos completado, ya tenemos nuestra ACL configurada
Lync_Edge_Federación_Firewall_Cisco_9.png
Por último vamos a configurar el Port Forwarding (redirección de puertos), para ello pulsamos en NAT Rules y luego en Add Static NAT Rules… sobre la interface privada (Level 100) que se corresponde con el gateway de los equipos que se conectan a Internet mediante este dispositivo
Lync_Edge_Federación_Firewall_Cisco_10.png
Aquí debemos prestar algo de atención para que nos funcione a la primera, no tiene nada en especial para los que estamos acostumbrados a trabajar con estos dispositivos pero para el resto es posible que sí. En la primera parte (Original) debemos elegir la interface Interna (LAN en mi caso) y en source escribimos la dirección IP del servidor al cual queremos enviar las peticiones recibidas desde Internet al puerto 5061. En nuestro caso debemos especificar la IP de acceso del EDGE. En la opción Translated debemos seleccionar la interface WAN (Level 0) en mi caso se llamad Internet, pero como nuestro Firewall puede tener más de una IP Pública nos permite elegir si queremos especificar la IP Pública por lo que esperamos que nos llegue las conexiones al puerto 5061 o bien sino tenemos más que una IP Pública en el Firewall podemos elegir User Interface IP Addres. Lo último que debemos especificar es el número de puerto del servicio y habilitando la casilla de PAT, en ambas casillas (Original Port y Traslated Port) escribimos el número de puerto. En caso de que quisiéramos que la petición nos llegase por el puerto 5061 y la enviásemos a otro puerto diferente si tendríamos que colocar diferentes puertos. OJO, para este servicio lo vamos a dejar tal cual lo veis en la imagen:
Lync_Edge_Federación_Firewall_Cisco_11.png
Para finalizar pulsamos en Apply y ya tenemos publicado nuestro servicio de federaciones a nivel de configuración de dispositivos de seguridad
Lync_Edge_Federación_Firewall_Cisco_12.png
 
El procedimiento para otros dispositivos de seguridad será similar, parecido o no, pero lo que si debemos tener claro es que el puerto que debemos tener accesible desde internet es el 5061 en TCP.

Espero que os sea de utilidad!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *