Zugriff ActiveSync ...
 
Notifications
Clear all

Zugriff ActiveSync über VPN

16 Posts
4 Users
0 Reactions
4,500 Views
(@the_observer)
Active Member
Joined: 4 years ago
Posts: 8
Topic starter  

Tach Leute,

seit dem Exchange-Hack Anfang März habe ich den direkten Zugang zu OWA bzw. ActiveSync (NAT) über https dicht gemacht (nach dem Hack ist vor dem Hack).

Nun habe ich folgendes Problem:

Da immer mehr mobile Mailclients bzw. auch die Endgeräte selbst (IOS) keine selbstsignierten Zertifikate mehr zulassen, wird es zunehmend schwieriger diese anzubinden. Da Ganze könnte

man nun mittels offizieller Zertifikate lösen (beispielsweise Let's Encrypt). Da ich mich aber dazu entschlossen habe den Zugang nur noch über VPN zu ermöglichen, habe ich nun

ein anderes Problem:

Wenn externer und interner Name wie empfohlen gleich sind und die entsprechenden DNS-Einträge beim Provider (wird ja benötigt für Zertifikatserneuerung) sowie im internen Netz

gesetzt sind, funktioniert der Zugriff mit ActiveSync logischerweise im Mobilnetz nicht mehr, weil das Mobilgerät über DNS die externe IP auflöst und es diesen Zugang nicht mehr gibt.

Da ich nun aber nicht den ganzen Traffic des Mobilgeräts über VPN tunneln will (zum Großteil private Geräte) kann ich die Anbindung nur über IP (Einstellungen Mailclients) durchführen.

Was natürlich wiederum bedeutet das die Zertifikatsprüfung fehlschlägt und bei den meisten Mailclients (z.B. Outlook) mittlerweile die Option gestrichen wurde, Zertifikatsfehler zu übergehen.

 

Habt ihr eine Idee wie ich das Problem lösen kann?

This topic was modified 4 years ago 2 times by the_observer

   
Quote
Frank Zöchling
(@franky)
Honorable Member Admin
Joined: 15 years ago
Posts: 512
 

Servus,

lass doch in diesem Fall einfach den öffentlichen DNS Record weg und kauf ein öffentliches Zertifikat. Da in der Regel die Validierung per E-Mail erfolgt, brauchst du keine öffentlichen DNS Records, wenn Exchange nicht aus dem Internet erreichbar ist. Ich verstehe aber auch nicht ganz was du hiermit meinst:

...weil das Mobilgerät über DNS die externe IP auflöst...

wenn das Mobile im VPN den internen DNS Server nutzt, wird doch die interne IP aufgelöst...

Gruß,

Frank

 


   
ReplyQuote

(@exsus)
Trusted Member
Joined: 4 years ago
Posts: 83
 
Veröffentlicht von: @the_observer

Da immer mehr mobile Mailclients bzw. auch die Endgeräte selbst (IOS) keine selbstsignierten Zertifikate mehr zulassen

Hallo, im iOS kannst Du ein selbstsigniertes Zertifikat vertrauen, indem Du das CA als vertrauswürdig einstufst - Anleitung. Dann funktioniert auf jeden Fall die iOS Mail App mit ActiveSync, mit der Outlook App habe ich keine Erfahrung (Datenschutz ?). Für die DNS Auflösung könnte folgende Idee funktionieren: erstelle eine Subdomain z.B. sync.firma.de und nimm diese als SAN mit auf das Zertifikat. Du kannst dann im externen DNS als A-Record die interne IP Adresse eintragen.


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @exsus

Du ein selbstsigniertes Zertifikat vertrauen, indem Du das CA als vertrauswürdig

Ein selbstsigniertes Zertifikat hat per Definition keine ca. ;) abgesehen davon warte ich darauf, dass die VPNs dann irgendwann alle gehackt werden.

wie Frank schon schrieb, warum nicht einfach den internen DNS fragen, dann sollte es doch gehen.


   
ReplyQuote

(@the_observer)
Active Member
Joined: 4 years ago
Posts: 8
Topic starter  

@exsus

 

funktioniert leider seit IOS 14.2.irgendwas nicht mehr. sonst wäre mein problem nicht vorhanden (einschränkung: wenn die verbindung vor dem update eingerichtet wurde, funktioniert

es noch, d.h. man kann trotz zertifikatsfehler "fortfahren". nach dem update fehlt der button bei neuen verbindungen.

 

@rest

 

ich möchte es eigentlich mit let's encrypt lösen. dafür brauche ich natürlich den externen dns-eintrag mit korrekter (externer) ip (läuft über firewall).

problem ist dann wohl das die app (openvpn connect) bzw. das mobilgerät generell zuerst den eigenen dns-server (provider/google oder whatever) befragt und

somit auch eine antwort (externe ip) erhält, was dann natürlich nicht funktioniert (weil eben kein nat mehr).


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Naja alternativ einfach ein Zertifikat kaufen. Kostet pro Jahr nun wirklich keine Unsummen, an denen eine Firma (und auch Privat nicht) pleite gehen wird. ;)


   
ReplyQuote

(@the_observer)
Active Member
Joined: 4 years ago
Posts: 8
Topic starter  

d.h. ihr seht da auch keine andere lösung?! schade...

aber trotzdem danke für den input! ? 


   
ReplyQuote
(@the_observer)
Active Member
Joined: 4 years ago
Posts: 8
Topic starter  

eine frage noch:

 

nehmen wir an eine firma hostet ihre webseite bei so einem wix-hoster und bekommt dann autom. ein zertifikat (vermutl. auch let's encrypt) für domain.tld und www.domain.tld.

nehmen wir weiterhin an das zertifkat (private key) ist nicht exportierbar und es sind auch keine ssl-zertifikate von drittanbietern importier- bzw. nutzbar.

 

ich muß also für den exchange-server ein weiteres ssl-zertifikat kaufen, z.B. *.domain.tld (im einfachsten fall).

 

kann sich das irgendwie gegenseitig in die quere kommen?

 

 


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @the_observer

kann sich das irgendwie gegenseitig in die quere kommen?

 

Nein warum sollte es? Und ich würde kein Wildcard für Exchange nutzen. ;)


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @the_observer

ich möchte es eigentlich mit let's encrypt lösen. dafür brauche ich natürlich den externen dns-eintrag mit korrekter (externer) ip (läuft über firewall).

problem ist dann wohl das die app (openvpn connect) bzw. das mobilgerät generell zuerst den eigenen dns-server (provider/google oder whatever) befragt und

somit auch eine antwort (externe ip) erhält, was dann natürlich nicht funktioniert (weil eben kein nat mehr).

Kann man der VPN Config nicht mitgeben, für welche Namen/Zonen die VPN Verbindung zu nutzen ist? Wär vermutlich das einfachste.


   
ReplyQuote

(@the_observer)
Active Member
Joined: 4 years ago
Posts: 8
Topic starter  

in der konfiguration (autom. erzeugt) steht nichts dergleichen. müßte man dann vermutl. händisch anpassen (was ich vermeiden will).

es wird lediglich der dns-server und die suchdomain (über dhcp der firewall) zugewiesen. und es ist natürlich eine .local (aus historischen gründen), die logischerweise nicht

mir der externen domain übereinstimmt.

 

@norbertfe: wieso kein wildcard-zert?

 

kann es generell ein problem geben wenn es für die gleiche (sub-)domain (oder wildcard) bei unterschiedlichen zertifizierungsstellen ein zertifikat gibt? oder hängt das nur von der jeweiligen verwendung ab?

 


   
ReplyQuote
(@exsus)
Trusted Member
Joined: 4 years ago
Posts: 83
 
Veröffentlicht von: @the_observer

st natürlich eine .local (aus historischen gründen), die logischerweise nicht

mir der externen domain übereinstimmt.

In diesem Fall musst Du die automatisch erstellte OpenVPN Konfigurationsdatei anpassen. Ich habe OpenVPN nicht im Einsatz, deshalb folgende Tipps: evtl. kannst Du auf den Server in den Einstellungen von OpenVPN die Domain hinterlegen. Wenn nicht, dann evtl. die Domain in der automatisch generierten Konfigurationsdatei anpassen.

Du kannst Dir für eine Domain mit seinen Subdomains so viele Zertifikate ausstellen lassen, wie Du willst.


   
ReplyQuote

(@the_observer)
Active Member
Joined: 4 years ago
Posts: 8
Topic starter  

Hat bei einem Mobilgerät die Verbindung über VPN überhaupt Vorrang?? Soll heißen: Würde denn eine offizielle Domain überhaupt zuerst über den VPN-Tunnel angefragt werden?

 

Hinweis: Ja, ich kann auch schon groß (schreiben)! ? Bin also mehrfach begabt! ?

This post was modified 4 years ago by the_observer

   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @the_observer

@norbertfe: wieso kein wildcard-zert?

 

1. Weil das im Allgemeinen dazu führt, dass jeder das selbe Zertifikat verwendet auf allen Services und Servern und

2. Weil er teilweise mehr Konfigurationsaufwand im Exchange bedingt.

 

Bye

Norbert


   
ReplyQuote

(@the_observer)
Active Member
Joined: 4 years ago
Posts: 8
Topic starter  

@norbertfe

 

zu 1. Zu welchen Problemen kann das führen?

zu 2. OK


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @the_observer

zu 1. Zu welchen Problemen kann das führen?

Weil das prinzipbedingt ein Problem ist, wenn mehrere (unterschiedliche) Server das selbe Zertifikat verwenden. Wenn’s dir egal ist, dann nenn es nicht Problem ;)


   
ReplyQuote

Share: