blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Skype for Business Online bei Nutzung von SSL Deep Inspection

von · Veröffentlicht · Aktualisiert

Häufig funktioniert die Skype for Business Anwendung nicht mit Skype for Business Online, wenn SSL Full Inspection in den Firewall Policies verwendet wird. Ursache dafür ist, dass Skype for Business Online Port 443 für die Verbindung zu den Microsoft Server verwendet und das empfangene Zertifikat das Originalzertifikat sein muss (signiert bei einer vertrauenswürdigen CA).

Zuerst müssen für jedes Skype for Business Online Subnetz ein Address Object angelegt werden. Im Beispiel legen wir nur zwei Address Objects an, die Liste aller benötigten Subnets ist zu finden unter:
https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2?rs=en-US&ui=en-US&ad=US#BKMK_LYO

config firewall address
   edit net_skype_for_business_01
      set subnet <Subnet1-IP/Mask>
   next
   edit net_skype_for_business_02
      set subnet <Subnet2-IP/Mask>
   next
end

Nachdem alle Address Objects angelegt sind, legen wir zur einfacheren Administration ein Address Group Object an für alle Skype for Business Online Subnetze.

config firewall addrgrp
   edit nets_skype_for_business
      set member net_skype_for_business_01 net_skype_for_business_02
   next
end

Zum Abschluss benötigen wir eine Firewall Policy vom LAN zur Gruppe der Skype for Business Online Subnets, ohne eine SSL Inspection Policy zuzuweisen.

config firewall policy
   edit <Policy-ID>
      set srcintf <LAN-Interface>
      set dstintf <WAN-Interface>
      set srcaddr <LAN-Address-Object>
      set dstaddr nets_skype_for_business
      set schedule always
      set service HTTPS
      set nat enable
   next
end

Die Policy muss über den allgemeinen Policies mit SSL Deep Inspection angelegt werden.

Internet Service Database

Seit FortiOS 5.6 lassen sich die mit FortiOS 5.4 eingeführten Internet Service Database Einträge auch an Firewall Policies binden. Das macht das Admin-Leben erheblich einfacher, da die unzähligen Microsoft Internet Adressen nicht manuell angelegt werden müssen, sondern online von Fortinet gepflegt werden. In der Firewall Policy muss nur noch der Service als Destination eingetragen werden – keine Destination-Adressen mehr und auch keine Ports. Das Ganze sieht dann wie folgt aus:

config firewall policy
   edit <Policy-ID>
      set srvintf <LAN-Interface>
      set dstintf <WAN-Interface>
      set srvaddr <LAN-Address-Object>
      set internet-service enable
      set internet-service-id 327781
      set action accept
      set schedule <Schedule-Name>
      set nat enable
   next
end

Die ID 327781 ist dabei die ID für den Internet Service Microsoft-Skype. Verwendet man z.B. auch Exchange Online oder Office 365, so lassen sich zusätzlich noch die Internet Services Microsoft-Office365 mit ID 327782 und Microsoft-Outlook mit ID 327791 auf diesem Weg freischalten.

1 Antwort

  1. Thorsten Sult sagt:
    17. März 2023 um 11:37 Uhr

    Hi,

    hier bietet sich auch an, eine SD-WAN-Rule für die dst-Ports UDP_3478-3481 anzulegen, sofern ein Loadbalancing aktiv ist. Andernfalls stocken die Skypesessions sporadisch, was sehr nervig ist. Danke für den Beitrag.

    Schöne Grüße!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.