Compartir a través de


Lync Server: Abrir el Puerto 5061/TCP para las Federaciones en un Firewall Cisco ASA 5510 (es-ES)

​A estas alturas no creo que nadie que utilice Lync Server no tenga claro que para poder configurar la federación, debemos permitir hacia la IP de Acceso del EDGE el puerto 5061 en TCP. En su momento había publicado distintos artículos de cómo configurar un EDGE:

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_14.png 

 

Ahora que tenemos claro que el puerto utilizado para la federación es el 5061 en TCP, vamos a ver cómo podemos configurar nuestro Firewall Cisco ASA 5510 para permitir las comunicaciones hacia nuestro EDGE si hemos implementado el EDGE detrás de NAT. Su configuración es muy sencilla, pero voy a tratar de describir los pasos que debemos dar para configurarlo. Vamos a configurarlo mediante ASDM para facilitar su configuración a los técnicos que no estén acostumbrados a manejarlo a diario.  Yo he utilizado un Cisco ASA 5510 con las siguientes características:

 

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_13.png 

Pues comentado esto, abrimos nuestro ASDM, vamos a Access Rules y en la interface WAN (Level 0) pulsamos con el botón secundario del ratón y pulsamos en Add Access Rule. Lo que haremos aquí básicamente es configurar una ACL para permitir o no la conexión al puerto 5061 en nuestra interface WAN de entrada, pero aquí no "abrimos" el puerto aún.

 

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_1.png 

Debemos especificiar la IP de Origen, Destino y Servicio.

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_2.png 

Por defecto, el Cisco ASA no tiene como protocolo predefinido el puerto 5061 (solo tiene SIP en TCP y UDP)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_3.png 

Para poder crear nuestro propio servicio pulsamos en Add y TCP Service Group...

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_4.png 

Escribiemos el nombre del Grupo, Descripción (opcional), seleccionamos Create new member, escribimos el número de puerto (5061) y pulsamos en ADD

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_5.png 

Una vez que hemos pulsado en Add podemos pulsar en OK para completar la creación del servicio

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_6.png 

Ahora que lo tenemos creado, lo podemos buscar y agregarlo para aplicarlo a la ACL

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_7.png 

Pulsamos en OK  para finalizar la configuración de la ACL. Si queremos filtrar la conexión al servicio, podemos establecer la opción de source con la IP de origen. Sino la tenemos creada como un objeto, pulsamos en los tres puntos de la derecha y creamos el nuevo objeto (equipo) con la IP correspondiente (similar a la creación del servicio)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_8.png 

La primera parte la hemos completado, ya tenemos nuestra ACL configurada

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_9.png 

Por último vamos a configurar el Port Forwarding (redirección de puertos), para ello pulsamos en NAT Rules y luego en Add Static NAT Rules... sobre la interface privada (Level 100) que se corresponde con el gateway de los equipos que se conectan a Internet mediante este dispositivo

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_10.png 

Aquí debemos prestar algo de atención para que nos funcione a la primera, no tiene nada en especial para los que estamos acostumbrados a trabajar con estos dispositivos pero para el resto es posible que sí. En la primera parte (Original) debemos elegir la interface Interna (LAN en mi caso) y en source escribimos la dirección IP del servidor al cual queremos enviar las peticiones recibidas desde Internet al puerto 5061. En nuestro caso debemos especificar la IP de acceso del EDGE. En la opción Translated debemos seleccionar la interface WAN (Level 0) en mi caso se llamad Internet, pero como nuestro Firewall puede tener más de una IP Pública nos permite elegir si queremos especificar la IP Pública por lo que esperamos que nos llegue las conexiones al puerto 5061 o bien sino tenemos más que una IP Pública en el Firewall podemos elegir User Interface IP Addres. Lo último que debemos especificar es el número de puerto del servicio y hablitando la casilla de PAT, en ambas casillas (Original Port y Traslated Port) escribimos el número de puerto. En caso de que quisiéramos que la petición nos llegase por el puerto 5061 y la enviásemos a otro puerto diferente si tendríamos que colocar diferentes puertos. OJO, para este servicio lo vamos a dejar tal cual lo veis en la imagen:

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_11.png 

Para finalizar pulsamos en Apply y ya tenemos publicado nuestro servicio de federaciones a nivel de configuración de dispositivos de seguridad

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Lync_Edge_Federaci%C3%B3n_Firewall_Cisco_12.png  

El procedimiento para otros dispositivos de seguridad será similar, parecido o no, pero lo que si debemos tener claro es que el puerto que debemos tener accesible desde internet es el 5061 en TCP.