Skype for Business и Juniper SRX внешний доступ

Небольшой пост по конкретной проблеме в взаимодействии Skype for Business и Juniper SRX.

Проблема: Показ экрана работает внутри сети. Показ экрана не работает при подключении снаружи.

Проблема оказалась в следующем:

Что происходит по шагам:

  1. SfB клиент инициирует TCP подключение отправив SYN сегмент
  2. SfB сервер сбрасывает это TCP подключения отправив RST сегмент
  3. Juniper записывает эту TCP сессию на удаление через 2 секунды
  4. Клиент снова инициирует TCP подключение с теми же самими параметрами (IP адрес источника, IP адрес получателя, порт и протокол)
  5. Сервер принимает TCP подключение
  6. Но для Juniper эта та же самая сессия, помеченная для удаления
  7. Спустя приблизительно 1,5 секунды с момента установления TCP сессии Juniper разрывает сессию
  8. Все следующие пакеты от клиента будут отбрасываться Juniper потому что они не подпадают ни под одну отслеживаемую сессию. И они не смогу создать новую сессию потому что не содержат SYN флага.

Проблемы могло бы не быть, если выполнялось одно из условий:

  • Клиент Skype for Business инициировал каждое новое соединение TCP с новым портом
  • SRX закрывал TCP сессию сразу при получении RST сегмента

К счастью, в SRX существует возможность отключить 2 секундное ожидание перед разрывом TCP сессии. Существует даже отдельная KB на сайте Juniper посвященная этой проблеме [2].

В разделе конфигурации security flow tcp-session есть параметры изменяющие работу с TCP сессиями. Нас интересует настройка rst-invalidate-session. Если ее включить, то соединение будет разрываться сразу при получении RST сегмента.

Решение кратко:
В режиме конфигурации SRX ввести

set security flow tcp-session rst-invalidate-session
commit
exit

Источник 1

Источник 2

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s