Lync Server: Abrir el Puerto 5061/TCP para las Federaciones en un Firewall Cisco ASA 5510 (es-ES)
A estas alturas no creo que nadie que utilice Lync Server no tenga claro que para poder configurar la federación, debemos permitir hacia la IP de Acceso del EDGE el puerto 5061 en TCP. En su momento había publicado distintos artículos de cómo configurar un EDGE:
- Edge Lync: Configuración de Red (Parte I)
- Edge Lync: Configuración de Red (Parte II)
- Edge Lync: Configuración de Red (Parte III)
- Federación Skype con Lync
- Federación y Acceso de Usuarios Externos
- Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013)
- Federar Lync OnLine con tu Lync On Premise
- Federar Lync 2013 con Google Talk
- Configurar Comunicaciones Externas en Lync Online
- Provisioning Guide for Lync-Skype Connectivity: Lync Server 2013 and Lync Online
- Integración Oficial de Lync con Skype
- Integración Oficial de Lync con Skype (Parte II)
- Guía de MSFT para Federar Lync con Skype
Ahora que tenemos claro que el puerto utilizado para la federación es el 5061 en TCP, vamos a ver cómo podemos configurar nuestro Firewall Cisco ASA 5510 para permitir las comunicaciones hacia nuestro EDGE si hemos implementado el EDGE detrás de NAT. Su configuración es muy sencilla, pero voy a tratar de describir los pasos que debemos dar para configurarlo. Vamos a configurarlo mediante ASDM para facilitar su configuración a los técnicos que no estén acostumbrados a manejarlo a diario. Yo he utilizado un Cisco ASA 5510 con las siguientes características:
Pues comentado esto, abrimos nuestro ASDM, vamos a Access Rules y en la interface WAN (Level 0) pulsamos con el botón secundario del ratón y pulsamos en Add Access Rule. Lo que haremos aquí básicamente es configurar una ACL para permitir o no la conexión al puerto 5061 en nuestra interface WAN de entrada, pero aquí no "abrimos" el puerto aún.
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_1.png
Debemos especificiar la IP de Origen, Destino y Servicio.
Por defecto, el Cisco ASA no tiene como protocolo predefinido el puerto 5061 (solo tiene SIP en TCP y UDP)
Para poder crear nuestro propio servicio pulsamos en Add y TCP Service Group...
Escribiemos el nombre del Grupo, Descripción (opcional), seleccionamos Create new member, escribimos el número de puerto (5061) y pulsamos en ADD
Una vez que hemos pulsado en Add podemos pulsar en OK para completar la creación del servicio
Ahora que lo tenemos creado, lo podemos buscar y agregarlo para aplicarlo a la ACL
Pulsamos en OK para finalizar la configuración de la ACL. Si queremos filtrar la conexión al servicio, podemos establecer la opción de source con la IP de origen. Sino la tenemos creada como un objeto, pulsamos en los tres puntos de la derecha y creamos el nuevo objeto (equipo) con la IP correspondiente (similar a la creación del servicio)
La primera parte la hemos completado, ya tenemos nuestra ACL configurada
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_9.png
Por último vamos a configurar el Port Forwarding (redirección de puertos), para ello pulsamos en NAT Rules y luego en Add Static NAT Rules... sobre la interface privada (Level 100) que se corresponde con el gateway de los equipos que se conectan a Internet mediante este dispositivo
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_10.png
Aquí debemos prestar algo de atención para que nos funcione a la primera, no tiene nada en especial para los que estamos acostumbrados a trabajar con estos dispositivos pero para el resto es posible que sí. En la primera parte (Original) debemos elegir la interface Interna (LAN en mi caso) y en source escribimos la dirección IP del servidor al cual queremos enviar las peticiones recibidas desde Internet al puerto 5061. En nuestro caso debemos especificar la IP de acceso del EDGE. En la opción Translated debemos seleccionar la interface WAN (Level 0) en mi caso se llamad Internet, pero como nuestro Firewall puede tener más de una IP Pública nos permite elegir si queremos especificar la IP Pública por lo que esperamos que nos llegue las conexiones al puerto 5061 o bien sino tenemos más que una IP Pública en el Firewall podemos elegir User Interface IP Addres. Lo último que debemos especificar es el número de puerto del servicio y hablitando la casilla de PAT, en ambas casillas (Original Port y Traslated Port) escribimos el número de puerto. En caso de que quisiéramos que la petición nos llegase por el puerto 5061 y la enviásemos a otro puerto diferente si tendríamos que colocar diferentes puertos. OJO, para este servicio lo vamos a dejar tal cual lo veis en la imagen:
Para finalizar pulsamos en Apply y ya tenemos publicado nuestro servicio de federaciones a nivel de configuración de dispositivos de seguridad
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_12.png
El procedimiento para otros dispositivos de seguridad será similar, parecido o no, pero lo que si debemos tener claro es que el puerto que debemos tener accesible desde internet es el 5061 en TCP.