TMG FireWall Opgelost

Bij aankomst op kantoor op zaterdag 14 januari direct contact opgenomen met Boudewijn van BPMi. Hij heeft doormiddel van Lync Share Desktop connectie gemaakt met mijn computer. Internet was weer up en running. We konden hiermee direct aan de slag met Lync firewall rules. Na een aantal zaken nagekeken te hebben op de TMG server. En deze ook te hebben aangepast kon hij direct de eerste Acces an Server rules aanmaken. We hadden hierna direct conectie met de Lync server. Uitgaand verkeer en inkomend verkeer was weer mogelijk.

Na een final test kwam ik er achter dat uitgaand en inkomend verkeer wel aankwam, maar voice niet. Direct Boudewijn hierover gecontacteerd. Hij moest hierop overleggen met Maurice. De TCP poort 5060 is alleen voor het totstand maken van voice. Echter moeten er ook voice rules worden aangemaakt. Simple gezecht UDP poort 5000 tot 56000 moet voor de Interoute siptrunk volledig worden opengezet.

De volgende rules zijn voor voice aangemaakt:

Server†Punblishing rules:

  • SIP Server†UDP Recieve Send 5060
  • RTP Server TCP Inbound 5060
  • STUN Server UDP Recieve 3478
  • Voice Server UDP Recieve Send 5000 – 64999
  • Allow Lync rules Server††(meet – Dialin) TCP 443 Inbound

External Network Access Rules

  • SIP UDP Send recieve 5060
  • RTP TCP Outbound 5060
  • STUN UDP 3478 Send
  • External Voice UDP Send Recieve 5000-64999

Hierna kon er weer uitgebeld worden en ingebeld worden met Voice.

BPMi Adviseerde mij aangezien we gebruikmaken van interne hosting die voor de buitenkant is opengezet om SPLIT DNS te gebruiken. Dit houd in dat interne clients die netwavesystems.com gebruiken niet eerst naar buiten gaan om te controleren waar de server staat. En dan via de FireWall de route volgt naar binnen. Maar een extra DNS zone die de clients direct kunnen vertellen waar de server staat. Dit zorgd voor minder belasting op onze FireWall en internet verbinding. Deze DNS zone is aangemaakt met een kopie van de huidige DNS omgeving zoals deze gehost is bij IS. Daarbij zijn wel alle interne aderessen direct gekoppeld aan de interne servers.

Hiermee voorkomen we 2 dingen, minder netwerkverkeer voor interne adressen naar buiten toe. En we geven de gebruikers een enkele URL waardoor als zij buiten kantoor zijn dezelfde omgeving hebben als intern.

Doormiddel van interne Certificaten voor o.a. CRM, Insite, is het mogelijk om voor corp laptops SSO te genereneren deze hoeven hierna niet meer appart in te loggen aangezien deze authenticatie via het certificaat afhandelen.

Andere gebruikers die extern op hun thuis computer willen werken krijgen dan een inlog scherm en een melding dat het certificaat niet geldig is. Door door te gaan op de website en het certificaat op de thuis PC te installeren van af de website kan dit probleem opgelost worden. wel hebben deze dan geen SSO maar moeten elke keer inloggen.

TMG FireWall

?Op donderdag 12 januari merkte ik dat op de TMG server verkeer van interne clients niet intern worden geroute door de TMG server. Dit was in de log bestanden op in de denied server rules na te lezen. hierdoor ben ik nagegaan waar deze wel naar toe werden verwezen. Dit bleek het perimeter netwerk dat in oktober naar behoefte van MS lync edge server is aangepast.

Doordat clients naar het perimeter netwerk worden verwezen wordt het interne verkeer van en naar webapplicaties die gebruik maken van het FQDN verwezen naar niets. Problemen die hiermee te maken hebben is:

  • Verkeer komt niet aan op de webserver en men krijgt een 502 error.
  • WSUS diensten die verwijzen naar FQDN kunnen niet updaten
  • MOM aanvragen om clients en servers controleren worden niet gevonden en monitoring van servers geven een foutieve status door waardoor er niet proactief kan worden gehandeld.

Na het aanpassen vanhet perimeter netwerk kon TMG niet meer laden en de storage server van TMG gaf foutmeldingen. Na uitzoeken hebben we dit hersteld naar oorsprokelijke instellingen.

Vrijdag 13 januarie ben ik rond 12:00 er achtergekomen dat intern wel uitgebeld kon worden, maar er kon niet meer ingebeld worden. Hierdoor heb ik contact gezocht met interoute, zij konden niet direct mij vertellen wat het probleem kon zijn en hebben het incident doorgezet naar het NOC. Hierop heb ik contact opgemonen met BPMI. aangezien de TMG packetes werden dienied door de TMG server op de default rule. Alle instellingen voor Lync waren hersteld zoals deze op de ochtend van donderdag 12 januarie waren.

Ik ben door Maurice Perijn door verbonden in een conf call met Boudewijn Plomp een Security specialist met kennis van MS TMG 2010 server. We zijn alle rulles voor Lync doorlopen en kwamen wederom er achter dat het perimeter netwerk voor problemen zorgde. Na het verwijderen van onjuiste noteringen binnen TMG kon ik geen conectie meer kijgen met de storage service. Deze zorgt voor het correct oplsaan van de Firewall rules. Na wikken en wegen of het mogelijk is om de service te herstellen heb ik rond 15:00 besloten om de server op nieuw op te bouwen met als doel de eerste behoeften (internet) weer aan de praat te krijgen. Ik zou dan met hulp van Bouwdewijn de Lync Firewall rulles kunnen herstellen.

Om 17:00 waren de basis settings voor het internet verkeer weer hersteld. DNS forwarding was weer vankracht en internet kon weer organisatie wijd worden gebruikt. Lync werkt nog niet zaterdag 14 januarie heb ik hiervoor telefonische overleg met bouwdewijn om Lync weer aan de paraat te krijgen zidat maandag ochtend men weer telefonisch bereikbaar is. In navolging hiervan zal ik de CRM, APT, Insite en Extranet Websites weer beschikbaar stellen. Interne clients kunnen weer met FQDN comuniceren waardoor bovenstaande diensten zoals MOM en WSUS weer normaal functioneren.