Mit den neueren VCS Versionen (8.2) und dem Jabber Client (ab 9.7) ist offiziell das Cisco MRA (Mobile and Remote Access) verfügbar. Hier kann man sich ohne VPN Client am Cisco Jabber Client anmelden und Corporate Calls oder Chats durchführen.
Ich werde hier mal grob beschreiben welche Schritte durchgeführt werden müssen und worauf geachtet werden sollte.
1. OVA deploy auf UCS oder virtueller Umgebung
2. Cisco ASA Firewall Rules je nach VCS deployment anpassen (Seite 26)
Mobility via Remote Access Deployment Guide
Es gibt ein DMZ deployment oder Expressway direkt mit PUBLIC IP.
3. Cisco PAKs registrieren
- Erst Software PAKs mit Serial Number (Core/Edge) registrieren
- Als zweites dann die Options mit der jeweiligen Serial Number (Core/Edge)
Am Ende sollte es so aussehen:
4. Basic System Konfiguration Core/Edge
- System Name (System – Administration)
- IP (System – IP)
- Static NAT Mode wenn DMZ Deployment (System – IP)
- DNS (System – DNS)
- Hostname (System – DNS)
- NTP (System – Time)
- Anmelde Domain erstellen für Jabber (Configuration – Domain) (Core)
- Hier geht auch Multiple Domain Deployment
- SIP Registrations -> ON (Configuration – Domain)
- IM&P Service -> ON (Configuration – Domain)
5. Internal DNS Einträge
- A Record auf Expreessway Edge PUBLIC IP (Nicht DMZ IP)
- A Record auf Expressway Core (LAN IP)
- SRV Record _cisco-uds._tcp.domain.com
- SRV Record _cuplogin. _tcp.domain.com
6. Public DNS
- A Record für Expressway Edge
- SRV Record _collab-edge._tls.domain.com
7. MRA aktivieren
- Configuration – Unified Communications – Configuration (Edge/Core)
- Whitelist für Picture Lookup (UDS only bei MRA) oder Voicemail service (Configure HTTP Server allow list) (Core)
8. CUCM Discover (Core)
- Configuration – Unified Communications – Unified CM Servers
- Hier den PUB angeben mit Admin Credentials
- TLS on/off je nach Bedarf
9. IM&P Discover (Core)
- Configuration – Unified Communications – IM&P Servers
- Hier den PUB angeben mit Admin Credentials
- TLS on/off je nach Bedarf
Nach den beiden Discovers werden automatische Search Rules angelegt auf den Expressways (Configuration – Dial Plan – Search Rules)
Solange es noch keine Traversal Zone zwischen dem Core und Edge gibt wird der Status beim IM&P Server noch als inactive angezeigt. (Configuration – Unified Communications – IM&P Servers)
10. Zertifikate
Damit der Core und der Edge eine TLS Verschlüsselung aufbauen können müssen Zertifikate generiert werden. Man hat hier auch keine andere Option, TLS ist hier ein MUST.
Core:
Der Core kann ein Zertifikat von einer internen CA ausgestellt bekommen. Hier einfach drauf achten, dass es ein „Client / Server Authentication“ Zertifikat ist.
Das CSR lässt man sich vom Expressway selbst erstellen:
Maintance – Security Certificates – Server Certificates – Generate CSR
Anschliessend lässt man sich das Zertifikat von der internen CA erstellen. Hat man das Zertifikat, muss man nun erst das Root CA / Intermediate CA Zertifikat auf den VCS hochladen und anschliessend das Server Zertifikat.
Root/intermediate: Maintance – Security Certificates – Trusted CA Certificate
Server: Maintance – Security Certificates – Server Certificate
Edge:
Das gleiche Spiel für den Edge, allerdings sollte man hier ein Zertifikat von einer Public Certificate Authority (DigiCert, Go Daddy, GeoTrust,…) nehmen, damit man auf den Mobiles nachher keine Zertifikatsprobleme / Meldungen bekommt. Natürlich muss das Root CA auch auf dem Mobile installiert sein, damit keine Zertifikatsmeldung erscheint.
Es muss hier zwinged ein SAN Zertifikat sein bzw. ein sogenanntes UCC Certificate (https://www.digicert.com/unified-communications-ssl-tls.htm)
Die Root Ca/Intermediate von der Public CA sollten auch auf dem Core als Trusted CA hochgeladen sein.
11. Traversal Zone
Auf Edge / Core wird nun die Traversal zone erstellt (Seite 21)
12. Tomcat Zertifikate vom IM&P und CUCM Server
Diese Zertifikate sollten auch auf dem Core Expressway als Trusted CA hochgeladen werden.
Abschliessend würde ich beide VCS neu starten da es hier immer wieder zu Problemen führt mit den Zertifikaten und erst nach einem Restart die CAs richtig integriert sind.
Hat man alles richtig gemacht, sollte auf dem Edge und Core unter Status – Unified Communications alles Active sein:
Wenn der Collab-Edge DNS Eintrag funktioniert dann sollte dem Login ohne VPN nix mehr im wege stehen. Prüfen kann man den collab-edge Eintrag mit nslookup zum beispiel:
Wenn man dann mit dem jabber von extern verbunden ist sollte es ähnlich aussehen wie hier:
Wenn man auf dem Expressway Control unter dem „unified communication“ status folgendes Bild hat
sollte man als erstes ins Expressway Event Log schauen was das Problem ist. (Status – Event Log )
Generell sind es eigentlich diese Punkte die man sehr im Auge behalten soll und extrem anfaäälig für Fehler sind:
- Interne / Externe DNS Einträge
- Zertifikate (Intern/Public)
- Firewall Rules
Also dann Happy MRA!
Cheers