En los escenarios anteriores (Esquemas de red para nuestras implementaciones de Lync Server (Parte I) y Esquemas de red para nuestras implementaciones de Lync Server (Parte II)) siempre hemos tenido que cambiar la configuración del EDGE, ajustando los puertos de los distintos servicios a publicar. Ahora nos encontramos con un escenario ideal para empresas pequeñas que quieren implementar Lync, no tener problemas de conectividad desde las redes externas y disponer de todas las funcionalidades del producto. De ahí que contemos con una conexión de datos que tiene 4 direcciones IP Públicas, las cuales configuraremos en nuestro router/firewall para realizar las distintas publicaciones (Pulsar en la imagen para verla a tamaño real).
Seguimos con el mismo escenario que los anteriores en cuanto a las subredes, una subred 192.168.0.0/24 para la LAN1 (red local) y una subred 172.26.0.0/28 (la hemos amplicado de 6 a 14 hosts) para las interfaces externas del Reverse-Proxy y EDGE. Como ahora con 4 IP Públicas tenemos la posibilidad de publicar cada servicio del EDGE en su puerto nativo, configuraremos el EDGE con nombres e IP diferentes para cada servicio. De ahí que tengamos que ampliar la subred que estábamos utilizando hasta la fecha, de un /28 a /29. Si bien es cierto que con la /28 no tendríamos problemas, nos daremos algunas IPs más para otros servicios que queramos implementar en esa subred (publicar un RDS, Servidor SSTP, etc..). Sí no queremos publicar más que los serviciores del Reverse-Proxy y EDGE, entonces dejaremos la subred en /28, porque tendremos más que suficiente: 1 IP para el Router, 1 IP para el Reverse-Proxy 3 IPs para el EDGE y aún así nos sobraría una. Comentado esto, la configuración del EDGE en las interfaces externas ahora podría quedar de la siguiente forma:
En nuestro caso como hemos implementado NAT también para esta subred, lo que haremos será configurar el EDGE con estas direcciones IP, tanto para la interface interna (192.168.0.16) como para las interfaces externas (172.26.0.3, 172.26.0.4, 172.26.0.5) y como estamos detrás de NAT le indicaremos la IP Pública que configuraremos para los perimetrales de A/V (213.213.213.5)
Como ahora disponemos de 3 IP Públicas para los servicios del EDGE, configuraremos los puertos estándar para cada servicio (443, 5061 y 5269), de esta forma evitaremos en redes externas el bloqueo de la conexión, el puerto 443 se suele permitir en el 99% de las redes
A nivel de configuración de router, lo que nos queda es redireccionar los puertos hacia el EDGE en base a la configuración que hemos publicado en Lync:
El resto de configuraciones que había comentado en el primer artículo se mantienen, puesto que tenemos un solo router y tenemos que poder realizar todas las configuraciones con el. Básicamente crear dos subredes, una para los equipos de la LAN y otra para las interfaces externas del Reverse-Proxy y EDGE, crear un filtrado en el router para que no se puedan comunicar entre ellas y crear de alguna forma una "DMZ" para la subred 172.26.0.0/28 de los servicios que vamos a publicar. Como en este caso además tenemos cuatro IP Públicas, tenemos lo necesario para poder configurar de forma estándar nuestra topología, como diferencia a mayores de la configuración de los puertos debemos configurar varios registros DNS:
Como el EDGE tiene la interface interna en la misma subred que los equipos y servidores (192.168.0.0./24), no tendremos que realizar más configuración en el EDGE. Este tercer esquema es el más común, porque al final los clientes suelen solicitar a su ISP varias direcciones IP Públicas para configurar Lync con todos los servicios vía puertos estándar. La red prácticamente no se tiene que modificar y únicamente como siempre crear una subred IP a mayores y configurar NAT sobre ella sino se dispone otro router o hardware específico para configurar VLAN o DMZ. Si tuvíeramos un segundo router, aunque no fuese un modelo profesional, podríamos conectar las interfaces públicas del Reverse-Proxy y EDGE al switch integrado que todos traen y ahí configurar la subred 172.26.0.0/28 (o la que queráis), de tal forma que así si la tendríamos separada de la red local ya a nivel físico. En estos esquemas trato de buscar alternativas con lo que puede tener el cliente, pero está claro que todo se puede mejorar o configurar de otra forma si se tiene una partida económica para el proyecto. Pero igualmente, podemos conseguir el mismo servicio adaptando la infraestructura IT a lo que tenemos.
Espero que os sea de utilidad!!!
Leave a Reply