Skype for Business Online bei Nutzung von SSL Deep Inspection
Häufig funktioniert die Skype for Business Anwendung nicht mit Skype for Business Online, wenn SSL Full Inspection in den Firewall Policies verwendet wird. Ursache dafür ist, dass Skype for Business Online Port 443 für die Verbindung zu den Microsoft Server verwendet und das empfangene Zertifikat das Originalzertifikat sein muss (signiert bei einer vertrauenswürdigen CA).
Zuerst müssen für jedes Skype for Business Online Subnetz ein Address Object angelegt werden. Im Beispiel legen wir nur zwei Address Objects an, die Liste aller benötigten Subnets ist zu finden unter:
https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2?rs=en-US&ui=en-US&ad=US#BKMK_LYO
config firewall address edit net_skype_for_business_01 set subnet <Subnet1-IP/Mask> next edit net_skype_for_business_02 set subnet <Subnet2-IP/Mask> next end
Nachdem alle Address Objects angelegt sind, legen wir zur einfacheren Administration ein Address Group Object an für alle Skype for Business Online Subnetze.
config firewall addrgrp edit nets_skype_for_business set member net_skype_for_business_01 net_skype_for_business_02 next end
Zum Abschluss benötigen wir eine Firewall Policy vom LAN zur Gruppe der Skype for Business Online Subnets, ohne eine SSL Inspection Policy zuzuweisen.
config firewall policy edit <Policy-ID> set srcintf <LAN-Interface> set dstintf <WAN-Interface> set srcaddr <LAN-Address-Object> set dstaddr nets_skype_for_business set schedule always set service HTTPS set nat enable next end
Die Policy muss über den allgemeinen Policies mit SSL Deep Inspection angelegt werden.
Internet Service Database
Seit FortiOS 5.6 lassen sich die mit FortiOS 5.4 eingeführten Internet Service Database Einträge auch an Firewall Policies binden. Das macht das Admin-Leben erheblich einfacher, da die unzähligen Microsoft Internet Adressen nicht manuell angelegt werden müssen, sondern online von Fortinet gepflegt werden. In der Firewall Policy muss nur noch der Service als Destination eingetragen werden – keine Destination-Adressen mehr und auch keine Ports. Das Ganze sieht dann wie folgt aus:
config firewall policy edit <Policy-ID> set srvintf <LAN-Interface> set dstintf <WAN-Interface> set srvaddr <LAN-Address-Object> set internet-service enable set internet-service-id 327781 set action accept set schedule <Schedule-Name> set nat enable next end
Die ID 327781
ist dabei die ID für den Internet Service Microsoft-Skype
. Verwendet man z.B. auch Exchange Online oder Office 365, so lassen sich zusätzlich noch die Internet Services Microsoft-Office365
mit ID 327782
und Microsoft-Outlook
mit ID 327791
auf diesem Weg freischalten.
Hi,
hier bietet sich auch an, eine SD-WAN-Rule für die dst-Ports UDP_3478-3481 anzulegen, sofern ein Loadbalancing aktiv ist. Andernfalls stocken die Skypesessions sporadisch, was sehr nervig ist. Danke für den Beitrag.
Schöne Grüße!