Comment configurer son VPN pour optimiser les communications audios de Microsoft Teams


La connexion Vpn en dehors de certaines configurations très spécifiques n’est généralement pas un facteur d’amélioration des flux audio – Video de Teams.

Les VPN « attrape tout ou catch all » encapsule tout le trafic de la station de travail, le chiffre, le transporte en TCP à travers internet vers un centre de données. Le flux est alors déchiffré et est acheminé en TCP vers le point de service le plus proche du centre de données.

Ces nombreux sauts, le fait d’utiliser le réseau internet mais également le fait de chiffrer puis de déchiffrer et enfin, d’envoyer le flux audio vers un point de connexion Microsoft qui peut se situer à des milliers de kilomètres de l’utilisateur va dégrader considérablement la qualité audio et vidéo. C’est en fait le pire des scénarios. Il est donc impératif d’adapter votre configuration VPN pour qu’elle soit optimisée pour Teams, mais également pour les autres flux de données engendrés par l’activité Office 365.

Pour ce faire il faut prendre en compte 3 composants que sont :

  • Les flux temps réels
  • La géolocalisation
  • Les services proxy

Les flux temps Réel

Les flux temps réel doivent utiliser le protocole de transport UDP, moins fiable d’un point de vue transport que le protocole TCP, mais aussi moins lourd et de fait plus « rapide ». Il faut donc penser à faire une exception dans la configuration du vpn pour laisser sortir les flux UDP suivants depuis la station de travail.

Destination

13.107.64.0/18 52.112.0.0/14, 52.120.0.0/14

Port

UDP: 3478, 3479, 3480, 3481

La géolocalisation. Le but du jeu est de connecter la station de travail de l’utilisateur au plus près d’un point de services Microsoft. (On appellera cela, la porte Microsoft si vous le voulez bien). Porte d’entrée Microsoft qui permet ensuite d’emprunter le réseau Azure Network, réseau beaucoup plus rapide que le réseau Internet. La géolocalisation se fait par le biais de la résolution DNS. Si Un utilisateur Américain en Espagne est sur Internet avec son VPN Catch all en fonction, (lui-même connecté dans le Delaware) et tente de résoudre une ressource Microsoft, l’adresse qui lui sera retournée est un point de présence aux USA. La station de travail acheminera le flux d’Espagne vers les USA pour peut-être finalement renvoyé en Espagne si cet utilisateur tente de parler à un collègue à quelques kilomètres.

Par contre si le client VPN de la station de travail est paramétré pour que, lorsque l’utilisateur cherche à résoudre une ressource Microsoft, il soit contraint à utiliser son propre DNS en lieu et place de celui qui est fourni par la configuration VPN, alors notre américain en visite à Madrid sera correctement géolocalisé. Il devrait être connecté à une porte Microsoft proche de Madrid.

La configuration Proxy.

L’environnement Teams utilise le protocole Https pour la signalisation contrairement à Skype et bien souvent dans les configurations Vpn quand elles sont activées, la configuration d’un serveur proxy est forcée sur le poste de travail. Quels liens avec les serveurs la géolocalisation me direz-vous ?
Lorsque l’on utilise un serveur proxy, la résolution des requêtes Https est directement assurée non pas par votre station de travail mais par vos services de proxy. Services de proxy qui peuvent être à des milliers de kilomètres de vous, et par conséquent qui risquent de vous géolocaliser a l’autre bout de la planète.

Il est donc nécessaire également d’intervenir sur votre configuration proxy pour mettre en place des exclusions qui vont indiquer à la station de travail de ne pas utiliser les services proxy pour les ressources Office 365. Certains proxys Saas sont par ailleurs « 0365compatibles » et intègrent déjà ces mécanismes.

Il y a donc bien 3 aspects à prendre en compte pour se placer dans les meilleures conditions de sécurité avec un VPN qui fonctionne et qui est optimisé pour Teams et Office 365. A vos config donc !

Laurent TERUIN


Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s