TMG FireWall Opgelost

Bij aankomst op kantoor op zaterdag 14 januari direct contact opgenomen met Boudewijn van BPMi. Hij heeft doormiddel van Lync Share Desktop connectie gemaakt met mijn computer. Internet was weer up en running. We konden hiermee direct aan de slag met Lync firewall rules. Na een aantal zaken nagekeken te hebben op de TMG server. En deze ook te hebben aangepast kon hij direct de eerste Acces an Server rules aanmaken. We hadden hierna direct conectie met de Lync server. Uitgaand verkeer en inkomend verkeer was weer mogelijk.

Na een final test kwam ik er achter dat uitgaand en inkomend verkeer wel aankwam, maar voice niet. Direct Boudewijn hierover gecontacteerd. Hij moest hierop overleggen met Maurice. De TCP poort 5060 is alleen voor het totstand maken van voice. Echter moeten er ook voice rules worden aangemaakt. Simple gezecht UDP poort 5000 tot 56000 moet voor de Interoute siptrunk volledig worden opengezet.

De volgende rules zijn voor voice aangemaakt:

Server†Punblishing rules:

  • SIP Server†UDP Recieve Send 5060
  • RTP Server TCP Inbound 5060
  • STUN Server UDP Recieve 3478
  • Voice Server UDP Recieve Send 5000 – 64999
  • Allow Lync rules Server††(meet – Dialin) TCP 443 Inbound

External Network Access Rules

  • SIP UDP Send recieve 5060
  • RTP TCP Outbound 5060
  • STUN UDP 3478 Send
  • External Voice UDP Send Recieve 5000-64999

Hierna kon er weer uitgebeld worden en ingebeld worden met Voice.

BPMi Adviseerde mij aangezien we gebruikmaken van interne hosting die voor de buitenkant is opengezet om SPLIT DNS te gebruiken. Dit houd in dat interne clients die netwavesystems.com gebruiken niet eerst naar buiten gaan om te controleren waar de server staat. En dan via de FireWall de route volgt naar binnen. Maar een extra DNS zone die de clients direct kunnen vertellen waar de server staat. Dit zorgd voor minder belasting op onze FireWall en internet verbinding. Deze DNS zone is aangemaakt met een kopie van de huidige DNS omgeving zoals deze gehost is bij IS. Daarbij zijn wel alle interne aderessen direct gekoppeld aan de interne servers.

Hiermee voorkomen we 2 dingen, minder netwerkverkeer voor interne adressen naar buiten toe. En we geven de gebruikers een enkele URL waardoor als zij buiten kantoor zijn dezelfde omgeving hebben als intern.

Doormiddel van interne Certificaten voor o.a. CRM, Insite, is het mogelijk om voor corp laptops SSO te genereneren deze hoeven hierna niet meer appart in te loggen aangezien deze authenticatie via het certificaat afhandelen.

Andere gebruikers die extern op hun thuis computer willen werken krijgen dan een inlog scherm en een melding dat het certificaat niet geldig is. Door door te gaan op de website en het certificaat op de thuis PC te installeren van af de website kan dit probleem opgelost worden. wel hebben deze dan geen SSO maar moeten elke keer inloggen.