Если мы ограничимся установкой стандартного сервера , мы получим функционал, ограниченный доступом только из внутренней сети, и не сможем установить соединение с внешними клиентами.
Использование Edge Server позволит нам значительно расширить возможности нашей системы :
- Подключать клиентов SFB из интернета;
- Поключать Веб-конференции
- Подключать мобильных клиентов (SFB mobile);
- Подключать Web-клиентов (через браузер);
- Осуществлять федерацию с другими компаниями SFB to SFB ;
- Осуществлять федерацию со Skype;
- Осуществлять федерацию с Office 365.
Для реализации всех описанных выше функциональных возможностей в SFB необходимо обязательно установить Edge Server в составе системы.
Содержание
Что такое Edge Server для Skype for besiness ?
Edge Server (пограничный сервер) — это отдельная роль в Skype for Business Server, устанавливается сам функционал, который обеспечивает подключение внешних клиентов к внутренней сети организации и позволяет обеспечить доступ к конференц-связи и другим функциям Skype for Business из интернета. Edge Server также позволяет устанавливать соединения и взаимодействовать с другими компаниями, использующими Skype for Business или Lync. В целом, Edge Server обеспечивает безопасность, управление и расширенные возможности для Skype for Business Server.
Что такое Reverse Proxy для Skype for besiness ?
Reverse Proxy (обратный прокси) — это сервер, который действует как посредник между клиентом и сервером, принимая запросы от клиента и перенаправляя их на соответствующие серверы внутри сети организации.
Reverse Proxy работает как посредник между клиентами и Frontend сервером, принимая входящие подключения на порты 443 и 80. Подключения на порт 443 перенаправляются на Frontend на порт 4443, а подключения на порт 80 перенаправляются на Frontend на порт 8080.
Чтобы обеспечить безопасность соединения между клиентами и Reverse Proxy, на нем установлен отдельный публичный сертификат, содержащий все необходимые имена, по которым клиенты могут подключаться к Reverse Proxy.
После настройки Reverse Proxy у вас заработают
- Мобильные приложения из Google Market & Apple Store
- Веб конференции
- Скачивание адресной книги и т.д
- Использование Skype Web App
- Быстрые сообщения
- Скачивание содержимого конференции
- Обеспечение работы Службы автообнаружения
Ниже проиллюстрирован пример работы
С точки зрения архитектуры, нам нужны дополнительные публичные IP-адреса для реализации функционала Skype для бизнеса. Рекомендуется иметь не менее 4 IP-адресов:
- 1 IP-адрес для Reverse Proxy
- 3 IP-адреса для Edge Server
Как минимум потребуется 2 IP-адреса:
- 1 IP-адрес для Reverse Proxy
- 1 IP-адрес для Edge Server
Плюсы и минусы
Использование одного IP-адреса имеет свои преимущества, такие как экономия адресного пространства. Однако есть и недостатки. Мы вынуждены менять стандартные порты, что может привести к проблемам с подключением, так как некоторые клиенты блокируют порты, отличные от 443. Например, порты 444 и 446 могут быть закрыты на брандмауэре клиента, что снижает удобство использования, а именно клиент не подключится если в его гостинице закрыты все порты кроме 443.
В данной статье я буду описывать установку с 3 ip адресами
Разбор удаленного подключение к Edge & Reverse Proxy
Для обеспечения корректной работы необходимо правильно настроить правила Firewall на маршрутизаторе . В данном случае на Edge имеется три внешних сервиса, каждый из которых использует отдельный белый IP-адрес.
Access Edge Service : используется для установления подключений при федерации между Edges разных компаний. Для Access Edge Service необходимо закрепить отдельный IP-адрес, на котором должны быть открыты порты
SIP/TLS(TCP:443) для подключения внешних клиентов к Edge
SIP/MTLS(TCP:5061) для подключения федераций.
Для федераций с системами XMPP также используется порт 5269.
Web Conference Edge Service использует только один порт —
PSOM/TLS(TCP:443).
AudioVideo Edge Service используется для передачи media-трафика. Для его работы необходимо открыть порты
STUN(UDP:3478) для передачи media-трафика от клиента
STUN(TCP:443)
RTP(UDP/TCP:50000-59999) для федерации с Office Comunication Server (старые системы).
Кроме того, на Edge имеется сервис Reverse Proxy, который использует порты HTTP(80) и HTTPS(443) для обработки входящих запросов на проксирование трафика на внутренние ресурсы
Для правильной работы Edge Server необходимо наличие двух интерфейсов — внешнего и внутреннего. Кроме того, Edge Server требует установки двух сертификатов: один для внешнего интерфейса и один для внутреннего.
Мы будем использовать конфигурацию из 3 ip адресов.
Внешние DNS записи для Edge Server
Для настройки Skype for Business 2019 и публикации необходимых DNS-записей во внешней зоне DNS, следует опубликовать следующие записи:
Для Edge сервера
Описание | Тип записи | Имя записи | Значение |
Для обнаружение федерации | SRV | _sipfederationtls._tcp.myitproject.ru | sip.myitproject.ru |
Для подключения внешних клиентов. Ссылается на TCP:443 порт. | SRV | _sip._tls.myitproject.ru | sip.myitproject.ru |
SRV | |||
Это имя будет использоваться в том числе для подключения клиентов снаружи. | A | sip.myitproject.ru | 77.73.29.41 |
The Web Conferencing Edge service enables external users to join meetings that are hosted on your internal Skype for Business Server environment. | A | wc.myitproject.ru. | 77.73.29.42 |
The A/V Edge service makes audio, video, application sharing and file transfer available to external users. | A | av.myitproject.ru. | 77.73.29.43 |
Для Reverse Proxy сервера
Описание | Тип записи | Имя записи | Значение |
External record for client AutoDiscover, also used by Mobility, Skype for Business Web App, and scheduler Web app, resolved by the reverse proxy server | A | lyncdiscover.myitproject.ru. | 77.73.29.44 |
Proxy to Skype for Business Web Service | A | meet.myitproject.ru. | 77.73.29.44 |
Required to enable client to server web traffic, such as downloading the Skype for Business Web App. | A | webext.myitproject.ru. | 77.73.29.44 |
A | |||
Proxy to Skype for Business Web Service | A | dialin.myitproject.ru. | 77.73.29.44 |
Конфиг для mikrotik с пробросом портов для edge,reverse proxy
Прокидывать порты будем на Edge (sfbedge.ctdrus.loc) на его external сетевой интерфейс
В конфигурации mikrotik Ether2 — это wan интерфейс
#SRC NAT
/ip firewall nat
add action=src-nat chain=srcnat disabled=yes to-addresses=77.73.29.39
add action=netmap chain=srcnat out-interface=ether2 src-address=192.168.1.5-192.168.1.20 to-addresses=77.73.29.43
#### PORT FORWARD
add action=dst-nat chain=dstnat comment=sip.itproject.ru dst-address=77.73.29.41 dst-port=443 in-interface=ether2 \
protocol=tcp to-addresses=192.168.1.13 to-ports=443
add action=dst-nat chain=dstnat comment="sip.itproject.ru - MTLS" dst-address=77.73.29.41 dst-port=5061 in-interface=\
ether2 protocol=tcp to-addresses=192.168.1.13 to-ports=5061
add action=dst-nat chain=dstnat comment=wc.itproject.ru dst-address=77.73.29.42 dst-port=443 in-interface=ether2 \
protocol=tcp to-addresses=192.168.1.13 to-ports=443
add action=dst-nat chain=dstnat comment=av.itproject.ru dst-address=77.73.29.43 dst-port=443 in-interface=ether2 \
protocol=tcp to-addresses=192.168.1.13 to-ports=443
add action=dst-nat chain=dstnat comment="av.itproject.ru- STUN" dst-address=77.73.29.43 dst-port=3478 in-interface=ether2 \
protocol=tcp to-addresses=192.168.1.13 to-ports=3478
add action=dst-nat chain=dstnat comment="av.itproject.ru- RTP" dst-address=77.73.29.43 dst-port=50000-59999 in-interface=\
ether2 protocol=tcp to-addresses=192.168.1.13 to-ports=50000-59999
#### Reverse proxy prot forward
add action=dst-nat chain=dstnat comment="Reverse Proxy 443" dst-address=77.73.29.44 dst-port=443 in-interface=\
ether2 protocol=tcp to-addresses=192.168.1.14 to-ports=443