Какой порт у скайпа для скачивания присланных фото или файлов?
Здравствуйте. Ситуация такая: есть сеть. Все ПК ходят в инет через прокси, NAT отключен. Когда один человек другому кидает в скайпе картинки, то второй видит что пришла картинка, открывает ее в скайпе, но скачать не может. Как я понял, скайп скачивает со своего сервера эту картинку. Вопрос: кто-нибудь знает какой порт надо разрешить для того, чтобы скайп смог скачать эту картинку?
- Вопрос задан более трёх лет назад
- 198 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 1
System Integrator
Погуглил за вас:
Для корректной работы Skype в брандмауэре необходимо открыть следующие порты:
443/TCP
3478-3481/UDP
50000-60000/UDP-ПОРТ
Для качества взаимодействия пользователя со лучше всего возможен вызов эти порты требуются слишком:
1000-10000/TCP
50000-65000/TCP
16000-26000/TCP
Требования к портам и протоколам для серверов
Сводка. Ознакомьтесь с рекомендациями по использованию портов перед внедрением Skype для бизнеса Server.
Skype для бизнеса Server требуется, чтобы на внешних и внутренних брандмауэрах были открыты определенные порты. Кроме того, если в организации развернут протокол IPsec, то он должен быть отключен в диапазоне портов, используемых для доставки звука, видео и панорамного видео.
Хотя это может показаться немного пугающим, тяжелый подъем для планирования этого можно сделать с помощью средства планирования Skype для бизнеса Server 2015 года. После того как вы изучите вопросы мастера о функциях, которые вы планируете использовать, для каждого сайта, который вы определяете, вы можете просмотреть отчет о брандмауэре в отчете edge Администратор и использовать приведенные там сведения для создания правил брандмауэра. Вы можете также внести корректировки в используемые имена и IP-адреса. Подробнее см. Просмотр отчета по брандмауэру. Отчет администратора пограничного сервера можно экспортировать в электронную таблицу Excel. При этом отчет по брандмауэру будет находиться на одном из листов этого файла.
Сведения в этих таблицах можно найти в виде диаграммы, просмотрив плакат «Рабочие нагрузки протокола», связанный со статьей Технические схемы для Skype для бизнеса Server 2015 г.
- Если вы реализуете Skype для бизнеса Online (Microsoft 365 или Office 365), обратитесь к Microsoft 365 и Office 365 URL-адресам и диапазонам IP-адресов. При создании гибридной среды необходимо воспользоваться этим разделом, а также статьей Планирование гибридного подключения.
- Вы можете использовать аппаратный или программный брандмауэр. Нам не требуются определенные модели или версии. Важно, какие порты добавляются в список разрешений, чтобы брандмауэр не ухудшил работу Skype для бизнеса Server.
Сведения о портах и протоколах
В этом разделе приводится обзор портов и протоколов, используемых серверами, балансировщиками нагрузки и клиентами в развертывании Skype для бизнеса Server.
При запуске Skype для бизнеса Server в брандмауэре Windows открываются необходимые порты. Брандмауэр Windows уже должен быть запущен для большинства обычных приложений, но если он не используется, Skype для бизнеса Server будет работать без него.
Сведения о настройке брандмауэра для пограничных компонентов см. в статье Варианты пограничных серверов в Skype для бизнеса Server 2015.
В следующей таблице приводится список портов, которые должны быть открыты для каждой роли внутреннего сервера.
Необходимые порты сервера (по ролям сервера)
Роль сервера | Имя службы | Порт | Протокол | Notes |
---|---|---|---|---|
Все серверы | Браузер SQL | 1434 | UDP | Браузер SQL для локальной реплицированной копии базы данных центрального хранилища управления. |
серверы Front-End | Служба переднего плана Skype для бизнеса Server | 5060 | TCP | При необходимости используется для статических маршрутов к доверенным службам серверами Standard Edition и серверами переднего плана, например серверами удаленного управления звонками. |
Серверы переднего плана | Служба переднего плана Skype для бизнеса Server | 5061 | TCP (TLS) | Используется серверами Standard Edition и серверами переднего плана для всех внутренних SIP-соединений между серверами (MTLS), для SIP-соединений между сервером и клиентом (TLS) и для SIP-соединений между серверами переднего плана и серверами-посредниками (MTLS). Также используется для соединений с сервером мониторинга. |
Серверы переднего плана | Служба переднего плана Skype для бизнеса Server | 444 | HTTPS TCP |
Используется для HTTPS-соединений между Focus (компонентом Skype для бизнеса Server, который управляет состоянием конференции) и отдельными серверами. Этот порт также используется для TCP-соединений между устройствами для обеспечения связи в филиалах и серверами переднего плана. |
Серверы переднего плана | Служба переднего плана Skype для бизнеса Server | 135 | DCOM и удаленный вызов процедур (RPC) | Используется для операций на базе DCOM, таких как перемещение пользователей, синхронизация репликаторов пользовательских данных и адресных книг. |
Серверы переднего плана | Служба конференций с обменом мгновенными сообщениями Skype для бизнеса Server | 5062 | TCP | Используется для входящих SIP-запросов в конференц-связи с использованием обмена мгновенными сообщениями. |
Серверы переднего плана | Служба веб-конференций Skype для бизнеса Server | 8057 | TCP (TLS) | Используется для прослушивания подключений по протоколу PSOM от клиента. |
Серверы переднего плана | Служба совместимости веб-конференций Skype для бизнеса Server | 8058 | TCP (TLS) | Используется для прослушивания подключений по протоколу PSOM от клиента Live Meeting и предыдущих версий Используется для прослушивания подключений по протоколу PSOM от клиента Live Meeting и предыдущих версий Skype для бизнеса Server. |
Серверы переднего плана | Служба аудио- и видеоконференций Skype для бизнеса Server | 5063 | TCP | Используется для входящих SIP-запросов на аудио- и видеоконференции. |
Серверы переднего плана | Служба аудио- и видеоконференций Skype для бизнеса Server | 57501-65535 | TCP/UDP | Диапазон портов, используемых для видеоконференций. |
Серверы переднего плана | Веб-служба совместимости Skype для бизнеса Server | 80 | HTTP | Используется для подключений от серверов переднего плана к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS), когда не используется HTTPS. |
Серверы переднего плана | Веб-служба совместимости Skype для бизнеса Server | 443 | HTTPS | Используется для подключений от серверов переднего плана к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS). |
Серверы переднего плана | Веб-служба совместимости Skype для бизнеса Server | 8080 | TCP и HTTP | Используется веб-компонентами для внешнего доступа. |
Серверы переднего плана | Компонент веб-сервера | 4443 | HTTPS | Связь по протоколу HTTPS (от обратного прокси-сервера) и по протоколу HTTPS между пулами переднего плана для автообнаружения входа. |
Серверы переднего плана | Компонент веб-сервера | 8060 | TCP (MTLS) | |
Серверы переднего плана | Компонент веб-сервера | 8061 | TCP (MTLS) | |
Серверы переднего плана | Компонент служб Mobility Services | 5086 | TCP (MTLS) | SIP-порт, используемый внутренними процессами служб Mobility Services. |
Серверы переднего плана | Компонент служб Mobility Services | 5087 | TCP (MTLS) | SIP-порт, используемый внутренними процессами служб Mobility Services. |
Серверы переднего плана | Компонент служб Mobility Services | 443 | HTTPS | |
Серверы переднего плана | Служба помощника по конференц-связи Skype для бизнеса Server (конференц-связь с телефонным подключением) | 5064 | TCP | Используется для входящих SIP-запросов для конференц-связи с телефонным подключением. |
Серверы переднего плана | Служба помощника по конференц-связи Skype для бизнеса Server (конференц-связь с телефонным подключением) | 5072 | TCP | Используется для входящих SIP-запросов для помощника по конференц-связи» (с телефонным подключением). |
Серверы переднего плана, на которых также работает совмещенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5070 | TCP | Используется сервером-посредником для входящих запросов от сервера переднего плана к серверу посреднику. |
Серверы переднего плана, на которых также работает соотнесенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5067 | TCP (TLS) | Используется для входящих SIP-запросов от шлюза ТСОП к серверу-посреднику. |
Серверы переднего плана, на которых также работает соотнесенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5068 | TCP | Используется для входящих SIP-запросов от шлюза ТСОП к серверу-посреднику. |
Серверы переднего плана, на которых также работает соотнесенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5081 | TCP | Используется для исходящих SIP-запросов от сервера-посредника к шлюзу ТСОП. |
Серверы переднего плана, на которых также работает соотнесенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5082 | TCP (TLS) | Используется для исходящих SIP-запросов от сервера-посредника к шлюзу ТСОП. |
Серверы переднего плана | Служба общего доступа к приложениям Skype для бизнеса Server | 5065 | TCP | Используется для входящих SIP-запросов на прослушивание для общего доступа к приложению. |
Серверы переднего плана | Служба общего доступа к приложениям Skype для бизнеса Server | 49152-65535 | TCP | Диапазон портов, используемых для общего доступа к приложению. |
Серверы переднего плана | Служба оповещения для конференц-связи Skype для бизнеса Server | 5073 | TCP | Используется для входящих SIP-запросов для службы оповещения для конференц-связи Skype для бизнеса Server (то есть для конференц-связи с телефонным подключением). |
Серверы переднего плана | Служба парковки вызовов Skype для бизнеса Server | 5075 | TCP | Используется для входящих SIP-запросов для приложения парковки вызовов. |
Серверы переднего плана | Служба проверки аудиосвязи Skype для бизнеса Server | 5076 | TCP | Используется для входящих SIP-запросов для службы проверки аудиосвязи. |
Серверы переднего плана | Неприменимо | 5066 | TCP | Используется для исходящего трафика в шлюзе службы Enhanced 9-1-1 (E9-1-1). |
Серверы переднего плана | Служба группы ответов Skype для бизнеса Server | 5071 | TCP | Используется для входящих SIP-запросов для приложения группы ответа. |
Серверы переднего плана | Служба группы ответов Skype для бизнеса Server | 8404 | TCP (MTLS) | Используется для входящих SIP-запросов для приложения группы ответа. |
Серверы переднего плана | Служба политики пропускной способности Skype для бизнеса Server | 5080 | TCP | Используется для контроля допуска звонков, осуществляемого службой политики пропускной способности в отношении пограничного аудио-/видео-трафика «TURN». |
Серверы переднего плана | Доступ к серверу общих файловых ресурсов Skype для бизнеса Server | 445 | SMB/TCP | Используется для получения адресной книги, содержимого собраний и других элементов, хранящихся на сервере общих файловых ресурсов. |
Серверы переднего плана | Служба политики пропускной способности Skype для бизнеса Server | 448 | TCP | Используется для контроля допуска звонков со стороны службы политики пропускной способности Skype для бизнеса Server. |
Серверы переднего плана, на которых находится центральное хранилище управления | Служба агента главного репликатора Skype для бизнеса Server | 445 | TCP | Используется для принудительной передачи данных настройки из центрального хранилища управления на серверы Skype для бизнеса Server. |
Все серверы | Браузер SQL | 1434 | UDP | Браузер SQL для локальной реплицированной копии данных сервера центрального хранилища управления в локальном экземпляре SQL Server |
Все внутренние серверы | Разное | 49152-57500 | TCP/UDP | Диапазон портов, используемых для аудиоконференций на всех внутренних серверах. Используется всеми серверами, выполняющими роль конечных точек для аудиосвязи: серверами переднего плана (для службы помощника по конференц-связи Skype для бизнеса Server, службы оповещения для конференц-связи Skype для бизнеса Server и службы аудио- и видеоконференций Skype для бизнеса Server) и сервером-посредником. |
Серверы Office Web Apps | 443 | Используется сервером Skype для бизнеса Server для подключения к серверу Office Web Apps. | ||
Директоры | Служба переднего плана Skype для бизнеса Server | 5060 | TCP | При необходимости используется для статических маршрутов к доверенным службам, таким как серверы удаленного управления звонками. |
Директоры | Служба переднего плана Skype для бизнеса Server | 444 | HTTPS TCP |
Обмен данными между сервером переднего плана и сервером директора. Также публикация клиентских сертификатов (на серверах переднего плана) и их проверка, если они уже опубликованы. |
Директоры | Веб-служба совместимости Skype для бизнеса Server | 80 | TCP | Используется для исходного подключения от директоров к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS). При обычной работе происходит переключение на трафик HTTPS с использованием порта 443 и протокола TCP. |
Директоры | Веб-служба совместимости Skype для бизнеса Server | 443 | HTTPS | Используется для подключения от директоров к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS). |
Директоры | Служба переднего плана Skype для бизнеса Server | 5061 | TCP | Используется для внутренних подключений между серверами и для клиентских подключений. |
Серверы-посредники | Служба посредника Skype для бизнеса Server | 5070 | TCP | Используется сервером-посредником для входящих запросов от сервера переднего плана. |
Серверы-посредники | Служба посредника Skype для бизнеса Server | 5067 | TCP (TLS) | Используется для входящих SIP-запросов от шлюза ТСОП. |
Серверы-посредники | Служба посредника Skype для бизнеса Server | 5068 | TCP | Используется для входящих SIP-запросов от шлюза ТСОП. |
Серверы-посредники | Служба посредника Skype для бизнеса Server | 5070 | TCP (MTLS) | Используется для SIP-запросов от серверов переднего плана. |
Сервер переднего плана сохраняемого чата | SIP-запрос сохраняемого чата | 5041 | TCP (MTLS) | |
Сервер переднего плана сохраняемого чата | Платформа Windows Communication Foundation (WCF) для сохраняемого чата | 881 | TCP (TLS) и TCP (MTLS) | |
Сервер переднего плана сохраняемого чата | Служба передачи файлов для сохраняемого чата | 443 | TCP (TLS) |
Для некоторых сценариев с удаленным управлением звонками требуется TCP-соединение между сервером переднего плана или директором и УАТС. Хотя в Skype для бизнеса Server TCP-порт 5060 больше не используется, при развертывании удаленного управления звонками создается конфигурация доверенного сервера, где полное доменное имя сервера линии RCC связывается с TCP-портом, который будет использоваться сервером переднего плана или директором для подключения к УАТС. Дополнительные сведения см. в описании командлета CsTrustedApplicationComputer в документации командной консоли Skype для бизнеса Server.
Для пулов, использующих только аппаратную балансировку нагрузки (без балансировки нагрузки на DNS), в следующей таблице представлены порты, которые должны быть открыты на аппаратных балансировщиках нагрузки.
Порты аппаратного балансировщика нагрузки при использовании только аппаратной балансировки нагрузки
Балансировщик нагрузки | Порт | Протокол |
---|---|---|
Балансировщик нагрузки сервера переднего плана | 5061 | TCP (TLS) |
Балансировщик нагрузки сервера переднего плана | 444 | HTTPS |
Балансировщик нагрузки сервера переднего плана | 135 | DCOM и удаленный вызов процедур (RPC) |
Балансировщик нагрузки сервера переднего плана | 80 | HTTP |
Балансировщик нагрузки сервера переднего плана | 8080 | TCP — получение клиентом и устройством корневого сертификата с сервера переднего плана, клиенты и устройства проходят проверку подлинности NTLM |
Балансировщик нагрузки сервера переднего плана | 443 | HTTPS |
Балансировщик нагрузки сервера переднего плана | 4443 | HTTPS (от обратного прокси-сервера) |
Балансировщик нагрузки сервера переднего плана | 5072 | TCP |
Балансировщик нагрузки сервера переднего плана | 5073 | TCP |
Балансировщик нагрузки сервера переднего плана | 5075 | TCP |
Балансировщик нагрузки сервера переднего плана | 5076 | TCP |
Балансировщик нагрузки сервера переднего плана | 5071 | TCP |
Балансировщик нагрузки сервера переднего плана | 5080 | TCP |
Балансировщик нагрузки сервера переднего плана | 448 | TCP |
Балансировщик нагрузки сервера-посредника | 5070 | TCP |
Балансировщик нагрузки на сервере переднего плана (если в пуле также работает сервер-посредник) | 5070 | TCP |
Балансировщик нагрузки директора | 443 | HTTPS |
Балансировщик нагрузки директора | 444 | HTTPS |
Балансировщик нагрузки директора | 5061 | TCP |
Балансировщик нагрузки директора | 4443 | HTTPS (от обратного прокси-сервера) |
В пулах переднего плана и пулах директоров, использующих балансировку нагрузки на DNS, также должны быть развернуты аппаратные балансировщики нагрузки. В следующей таблице показаны порты, которые должны быть открыты на этих аппаратных балансировщиках нагрузки.
Порты аппаратного балансировщика нагрузки при использовании балансировки нагрузки на DNS
Балансировщик нагрузки | Порт | Протокол |
---|---|---|
Балансировщик нагрузки сервера переднего плана | 80 | HTTP |
Балансировщик нагрузки сервера переднего плана | 443 | HTTPS |
Балансировщик нагрузки сервера переднего плана | 8080 | TCP — получение клиентом и устройством корневого сертификата с сервера переднего плана, клиенты и устройства проходят проверку подлинности NTLM |
Балансировщик нагрузки сервера переднего плана | 4443 | HTTPS (от обратного прокси-сервера) |
Балансировщик нагрузки директора | 443 | HTTPS |
Балансировщик нагрузки директора | 4443 | HTTPS (от обратного прокси-сервера) |
Необходимые порты клиента
Компонент | Порт | Протокол | Notes |
---|---|---|---|
Клиенты | 67/68 | DHCP | Используется в Skype для бизнеса Server для поиска полного доменного имени регистратора (если DNS-запись SRV отсутствует, а вручную параметры не заданы). |
Клиенты | 443 | TCP (TLS) | Используется для SIP-трафика от клиента к серверу для доступа внешних пользователей. |
Клиенты | 443 | TCP (PSOM/TLS) | Используется для доступа внешних пользователей к сеансам веб-конференций. |
Клиенты | 443 | TCP (STUN/MSTURN) | Используется для доступа внешних пользователей к аудио- и видеосеансам и сеансам мультимедиа (TCP) |
Клиенты | 3478 | UDP (STUN/MSTURN) | Используется для доступа внешних пользователей к аудио- и видеосеансам и сеансам мультимедиа (UDP) |
Клиенты | 5061 | TCP (MTLS) | Используется для SIP-трафика от клиента к серверу для доступа внешних пользователей. |
Клиенты | 6891–6901 | TCP | Используется для передачи файлов между клиентами Skype для бизнеса и предыдущими клиентами. |
Клиенты | 1024-65535 * | TCP/UDP | Диапазон портов для передачи аудио (требуется минимум 20 портов). |
Клиенты | 1024-65535 * | TCP/UDP | Диапазон портов для передачи видео (требуется минимум 20 портов). |
Клиенты | 1024-65535 * | TCP | Одноранговая передача файлов (для передачи файлов во время конференций клиенты используют протокол PSOM). |
Клиенты | 1024-65535 * | TCP | Общий доступ к приложениям. |
Телефон общего пользования Aastra 6721ip Стационарный телефон Aastra 6725ip IP-телефон HP 4110 (телефон общего пользования) IP-телефон HP 4120 (стационарный телефон) IP-телефон общего доступа Polycom CX500 Стационарный IP-телефон Polycom CX600 Стационарный IP-телефон Polycom CX700 Телефон для IP-конференций Polycom CX3000 |
67/68 | DHCP | Используется перечисленными устройствами для поиска сертификата Skype для бизнеса Server, подготовки полных доменных имен и поиска полного доменного имени регистратора. |
* Чтобы настроить определенные порты для этих типов мультимедиа, используйте командлет CsConferencingConfiguration (параметры ClientMediaPortRangeEnabled, ClientMediaPort и ClientMediaPortRange).
Программы установки для клиентов Skype для бизнеса автоматически создают на клиентском компьютере необходимые исключения брандмауэра операционной системы.
Порты, используемые для доступа внешних пользователей, требуются для любого сценария, где клиент должен преодолевать брандмауэр организации (например, для любых внешних коммуникаций или собраний, размещаемых другими организациями).
Исключения IPsec
Для корпоративных сетей, где развернут протокол IPSec (см. документ IETF RFC 4301-4309), необходимо отключить IPSec для диапазона портов, используемых для доставки аудио, видео и панорамного видео. Это связано с необходимостью избежать каких-либо задержек при распределении портов мультимедиа из-за согласования IPsec.
В следующей таблице описаны рекомендуемые исключения IPsec.
Рекомендуемые исключения IPsec
Имя правила | Исходный IP-адрес | Конечный IP-адрес | Протокол | Исходный порт | Конечный порт | Требование проверки подлинности |
---|---|---|---|---|---|---|
Внутренние входящие данные пограничного сервера аудио- и видеоданных | Любой | Внутренние данные пограничного сервера аудио- и видеоданных | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Внешние входящие данные пограничного сервера аудио- и видеоданных | Любой | Внешние данные пограничного сервера аудио- и видеоданных | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Внутренние исходящие данные пограничного сервера аудио- и видеоданных | Внутренние данные пограничного сервера аудио- и видеоданных | Любой | UDP & TCP | Любой | Любой | Не проходить проверку подлинности |
Внешние исходящие данные пограничного сервера аудио- и видеоданных | Внешние данные пограничного сервера аудио- и видеоданных | Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Входящие данные сервера-посредника | Любой | Серверы- посредники |
UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Исходящие данные сервера-посредника | Серверы- посредники |
Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Входящие данные помощника по конференц-связи | Любой | Сервер переднего плана с помощником по конференц-связи | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Исходящие данные помощника по конференц-связи | Сервер переднего плана с помощником по конференц-связи | Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Входящие данные аудио- и видеоконференций | Любой | Серверы переднего плана | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Исходящие данные аудио- и видеоконференций | Серверы переднего плана | Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Входящие данные Exchange | Любой | Единая система обмена сообщениями Exchange | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Входящие данные серверов совместного использования приложений | Любой | Серверы совместного использования приложений | TCP | Любой | Любой | Не проходить проверку подлинности |
Исходящие данные серверов совместного использования приложений | Серверы совместного использования приложений | Любой | TCP | Любой | Любой | Не проходить проверку подлинности |
Исходящие данные Exchange | Единая система обмена сообщениями Exchange | Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
Клиенты | Любой | Любой | UDP | Указанный диапазон портов мультимедиа | Любой | Не проходить проверку подлинности |
Какие порты использует Skype
Какие порты использует программа Skype по-умолчанию, как установить используемые порты самостоятельно, какие проблемы могут возникнуть при смене портов.
Какие порты использует Скайп? Нередко неопытные пользователи не знают ответа на этот вопрос. Вот ответ для всех интересующихся, по какому порту работает Скайп: этой программе для адекватной работы необходимы два порта. Их номера — 80 и 443. Они служат не только Скайпу. Некоторым другим программам, например, браузеру Internet Explorer, также служит 80 порт. И в этом нет ничего странного. Порты Skype и других программ могут совпадать.
Если говорить обобщенно, то порты просто необходимы при передаче и приеме данных. Его номер указывается в данных, и компьютер понимает, какая программа будет осуществлять их обработку. Это может быть Skype, ICQ, Mail.ru Агент или даже браузер.
Но вернемся к Скайпу. Рассмотрим, как открыть порт через Cкайп.
- Заходим в Скайп.
- Выбираем «Инструменты».
Нажимаем на «Инструменты»
Выбираем «Настройки»
Нажимаем на «Дополнительно»
Выбираем «Соединение»
Вписываем значение
Сохраняем данные
Ищем проверку
Вписываем значение
Соединение открыто
Вот так мы быстро и успешно открыли port Skype. Это заняло у нас всего несколько минут, мы не прилагали особых усилий.
Если порт для входящих соединений Skype недоступен, а такие ситуации возникают относительно часто, в качестве альтернативы следует использовать порты 80 и 443. Необходимо просто вписать какой-либо из этих значений в окно «Использовать порт«. Таким образом, если в Skype недоступен порт, можно просто вписать стандартный вариант – он будет доступным.
Итак, мы выяснили, какие порты использует Skype. Это порты 80 и 443. Ознакомившись со статьей, даже ребенок сможет ответить на вопрос, какой порт в Скайпе используется. Также мы разобрались в некоторых проблемах, которые могут возникнуть у пользователей.
Автор: Наталья Воронова
Skype for business 2015. Часть 9. Удалённый доступ к SfB
Развёртывания внутреннего пула или стандартного сервера даст нам только «внутренний» функционал, но не даст возможности подключаться извне.
Edge Server или пограничный сервер, позволяет значительно расширить функционал:
- Подключение клиентов SfB из интернета
- Подключение мобильных клиентов (SfB mobile)
- Подключение Web-клиентов (Подключение к конференциям через браузер)
- Федерация с другими компаниями Lync/SfB
- Федерация со Skype
- Федерация с Office 365
Итак, для SfB, Edge Server является обязательным компонентом для реализации всего перечисленного выше функционала.
Реализация удалённого доступа
Как уже было сказано, функции для удаленного доступа реализуются с помощью Edge Server.
Edge Server является ролью SfB и его нельзя совместить с Front-End Server или со Standard SfB Server. Т.е. без Edge Server обойтись нельзя.
Edge Server не является членом домена и находится в DMZ.
Для реализации удаленного доступа нам также понадобится Reverse Proxy. Reverse Proxy — это не роль SfB, и может быть реализован различными продуктами.
С точки зрения архитектуры нам понадобятся белые IP адреса.
Рекомендуется 4 IP:
— 1 Для Reverse Proxy
— 3 для Edge server
Минимально 2 IP:
— 1 Для Reverse Proxy
— 1 для Edge server
Edge требует два интерфейса: внешний и внутренний
Edge также требует установки двух сертификатов: один на внешнем интерфейсе, другой на внутреннем.
Все клиенты, кто подключаются из интернета, подключаются к Edge. И Edge проксирует Media traffic, SIP traffic от клиента на внутренний Front-End.
Для шифрования коммуникаций, необходимо иметь коммерческий, публичный, доверенный сертификат на внешнем интерфейсе Edge.
На внутреннем интерфейсе Edge можно использовать внутренний сертификат.
Схема портов
Понятно, что для правильной работы необходимо корректно настроить правила Firewall.
На Edge мы имеем три внешних сервиса, каждый из которых использует отдельный белый IP:
- Access Edge Service — к нему подключаются внешние клиенты. С этим сервисом устанавливается подключения при федерации между Edges разных компаний.
Для Access Edge Service должен быть закреплён отдельный IP, и на нём должно быть открыто несколько портов:
— SIP/TLS(TCP:443) — по этому порту подключаются внешние клиенты к Edge.
— SIP/MTLS(TCP:5061) — по этому порту подключаются федерации. Для федераций с системами XMPP дополнительно используется порт 5269 - Web Conference Edge Service
Использует только один порт:
— PSOM/TLS(TCP:443) - AudioVideo Edge Service — интерфейс, по которому идёт media трафик.
— STUN(UDP:3478) — Передача media-трафика от клиента.
— STUN(TCP:443)
— RTP(UDP/TCP:50000-59999) — Федерация с Office Comunication Server (старые системы)
Также имеем сервисе Reverce Proxy:
DNS записи для Edge Server
Как видно, во внешнюю зону понадобится добавить группу DNS записей.
Как уже было сказано, Edge Server имеет три разных сервиса. И каждый из них будет иметь свою запись типа A. Каждый сервис имеет отдельное имя и разрешается в отдельный IP адрес.
Также понадобится запись типа A sip.ciscomaster.ru, которая будет разрешаться в Access Edge IP address. Это имя будет использоваться в том числе для подключения клиентов снаружи.
Также понадобится несколько записей SRV
Тип | Запись | Значение | Пояснение |
SRV | _sipfederationtls._tcp.ciscomaster.ru | Access Edge FQDN: access.ciscomaster.ru | Для обнаружения при федерации. Ссылается на порт TCP:5061 |
SRV | _sip._tls.ciscomaster.ru | Access Edge FQDN: access.ciscomaster.ru | Для подключения внешних клиентов. Ссылается на TCP:443 порт. |
SRV | _xmpp-server._tcp.ciscomaster.ru | Access Edge FQDN: access.ciscomaster.ru | Для обнаружения XMPP федерации |
A | sip.ciscomaster.ru | Access Edge IP address | Это имя будет использоваться в том числе для подключения клиентов снаружи. |
A | Access Edge FQDN: access.ciscomaster.ru | Access Edge IP address | |
A | A/V Edge FQDN: av.ciscomaster.ru | A/V Edge IP address | |
A | WebConf Edge FQDN: conf.ciscomaster.ru | WebConf Edge IP address |
На практике используют следующие имена:
Тип | Запись | Значение | Пояснение |
SRV | _sipfederationtls._tcp.ciscomaster.ru | Access Edge FQDN: access.ciscomaster.ru | Для обнаружения при федерации. Ссылается на порт TCP:5061 |
SRV | _sip._tls.ciscomaster.ru | Access Edge FQDN: access.ciscomaster.ru | Для подключения внешних клиентов. Ссылается на TCP:443 порт. |
SRV | _xmpp-server._tcp.ciscomaster.ru | Access Edge FQDN: access.ciscomaster.ru | Для обнаружения XMPP федерации |
A | sip.ciscomaster.ru | 195.209.104.188 | Это имя будет использоваться в том числе для подключения клиентов снаружи. |
A | Access Edge FQDN: sip.ciscomaster.ru | 195.209.104.188 | Access Edge Service |
A | A/V Edge FQDN: av.ciscomaster.ru | 195.209.104.190 | A/V Edge Service |
A | WebConf Edge FQDN: wc.ciscomaster.ru | 195.209.104.189 | Web Conferencing Access Edge Service |
Как итог:
Наиболее часто используют следующие имена:
FQDN | IP | Описание |
sip.ciscomaster.ru | 195.209.104.188 | Access Edge Service |
wc.ciscomaster.ru | 195.209.104.189 | Web Conferencing Access Edge Service |
av.ciscomaster.ru | 195.209.104.190 | A/V Edge Service |
Реально в DNS для тестовых целей было добавлено:
Задачи, выполняемые Reverse Proxy
Reverse Proxy — обязательный компонент, поскольку без него очень многое не будет работать.
Трафик сигнализации мобильных клиентов идёт через Reverse Proxy (Media идет через Edge)
Также через Reverse Proxy клиенты подключаются через Internet Browser (ссылка на конференцию)
Обеспечение работы Службы автообнаружения
Скачивание адресной книги
Развертывание группы рассылки в контакт-листе.
Скачивание содержимого конференции
Reverse Proxy и порты
Reverse Proxy — принимает подключения по порту 443, и перенаправляет это подключение на Frontend на порт 4443. Также он принимает входящий порт 80 и перенаправляет это подключение на Frontend на порт 8080.
На Reverse Proxy стоит отдельный публичный сертификат, в котором имеются все необходимые имена, по которым подключаются клиенты к Reverse Proxy.
Здесь нужен коммерческий сертификат.
DNS записи Reverse Proxy
В нашем случае это будут имена:
lyncdiscover.ciscomaster.ru 195.209.104.201
meet.ciscomaster.ru 195.209.104.201
dial-in.ciscomaster.ru 195.209.104.201
webext.ciscomaster.ru 195.209.104.201
или в DNS мы пропишем:
Мы рассматриваем ситуацию с использованием 3-х адресов под Edge и 1 адрес под Reverse Proxy.
Решения под Reverse Proxy
— Kemp Loadmaster 2600
— TMG 2010
— IIS ARR
— Web Application Proxy
— Sophos UTM
— Другие решения