Hallo zusammen,
ich habe bei einem Kunden einen Exchange Server 2019 stehen, der von außen nicht erreichbar ist, da der komplette externe
Traffic über ein VPN zu einem Dienstleister geleitet wird. Die Mails bekommt und versendet er über ein SMTP Relay, alles funktioniert
auch innerhalb der Domäne wunderbar.
Jetzt müsste ich für einen Benutzer dennoch den Zugang ermöglichen, damit dieser über sein Mobiltelefon Mails abrufen kann.
Ich bin jetzt schon soweit, dass ich auf dem Host, auf dem der Exchange läuft, eine pfSense VM installiert habe. Diese hängt an
einem LANCOM VDSL Router. Dem Exchange habe ich einen 2. NIC verpasst (LAN von pfSense).
Auf der pfSense läuft ein HA Proxy, Zertifikate sind mit Let's Encrypt für die Wildcard DynDNS Domain *.xxxxxxx.de eingerichtet.
Der Zugriff von außen über OWA https://outlook.xxxxxxxx.de/owa funktioniert ohne Fehler.
Ich kriege aber keine Verbindung mit Outlook oder Telefon hin und weiß nicht, wo ich suchen soll. Wahrscheinlich liegt es an den
Zertifikaten, aber das ist für mich, wie sagt man, Neuland.
Habt ihr eine Idee, wo ich suchen muss? Mein Kopf qualmt gerade schon.
VG
pasu
Ich kriege aber keine Verbindung mit Outlook oder Telefon hin und weiß nicht, wo ich suchen soll.
Fehlermeldungen wären ganz interessant. Ansonsten ist eine 2. NIC im Exchange eh irgendwie "doof". Kann man machen, würde ich aber versuchen zu vermeiden. Vor allem dürfte es mit einem Reverseproxy vermutlich sogar egal sein, wenn der im selben Netz stehen sollte.
da der komplette externe
Traffic über ein VPN zu einem Dienstleister geleitet wird
Hallo,
anscheinend hat Dein Kunde ein durchdachtes Sicherheitskonzept und hat bewusst alle Zugänge aus dem Internet blockiert. Du reißt mit Deiner "Bypass" Lösung eine Lücke in dieses Konzept. Willst Du das wirklich? Wäre es nicht der bessere Weg, das Handy über das vorhandene VPN zu verbinden und dann ActiveSync darüber einzurichten?
Hallo exsus,
ich mache das ja nicht, weil das meine Idee ist, sondern weil das der explizite Wunsch des Chefs ist.
Das Thema Sicherheit habe ich ihm erklärt - auch gerade wegen des letzten Exchange Exploits.
Daher habe ich den Weg gewählt, keine direkte Portweiterleitung zu machen, sondern die pfSense dazwischen
zu schalten und dazu noch einen Reverse-Proxy. Ich werde noch einen MAC Filter setzen und schauen, dass ich
alles so sicher bekomme, wie es irgendwie geht.
Dazu muss es aber erst einmal funktionieren :(
VG
pasu
OK, verstanden. Ich habe selber eine OPNSense im Einsatz und ActiveSync läuft bei mir über einen eigenen Port und einem eigenen virtuellen Verzeichnis mit User Zertifikaten. Durch die Zertifikate hast Du eine zusätzliche Sicherheit, da hierdurch ein anonymer Aufruf der Exchange Website nicht möglich ist. Durch das eigene, virtuelle Verzeichnisse kannst Du für EAS einen eigenen Port einrichten (besseres Handling z.B. Firewall Regel, Zertifikat zuweisen) und die anderen Exchange Dienste (OWA, ECP, EWS etc.) sind nicht über das Internet erreichbar. Kannst Du natürlich auch über den Reverse Proxy blockieren. Infos zur dieser Konstellation findest Du unter virtuelles Verzeichnis einrichten und User Zertifikate. Des Weiteren habe ich noch über GeoIP in der Firewall die Zugriff auf EAS auf die notwendigen Länder beschränkt. Bei iPhones kannst Du EAS mit User Zertifikaten nur über Profile einrichten. Hierzu benögist Du entweder einen MDM, eine Mac (Apple Profile Software läuft nur dort) oder die kostenlose Software "imazing Profil Editor".
Vielen Dank für die Tipps. Leider bin ich, wie gesagt, noch neu in der Exchange Welt.
Gibt es zu der Lösung, die Du da einsetzt, evtl. ein Tutorial. Meine Kenntnisse reichen schlichtweg und einfach
(noch) nicht aus. Ansonsten teste ich einfach mal weiter (natürlich nicht am Produktivsystem, bisher läuft das
alles in einer Testumgebung).
Leider kenne ich keine vollständige Anleitung. Fange erst einmal mit dem virtuellen Verzeichnis an. Danach User Zertifikat, falls Du es verwenden willst (wäre auf jeden Fall meine Empfehlung). Und dann die Einrichtung der Firewall. Bei Fragen helfe ich Dir gerne weiter, soweit ich das kann. Noch ein Tipp bzgl. neues, virtuelles Verzeichnis: auf jeden Fall nach erfolgreicher Einrichtung das originale EAS Verzeichnis löschen, da ansonsten Probleme beim Einspielen von CU auftreten.
Remove-ActiveSyncVirtualDirectory -identity "Microsoft-Server-ActiveSync (Default Website)"
Eine andere Idee - Du kannst mit pfsense auch einen VPN Server (IPSec oder OpenVPN) einrichtungen und dann das Handy über VPN verbinden. Wäre der sichere und wahrscheinlich auch der einfachere Weg.