Tach Leute,
seit dem Exchange-Hack Anfang März habe ich den direkten Zugang zu OWA bzw. ActiveSync (NAT) über https dicht gemacht (nach dem Hack ist vor dem Hack).
Nun habe ich folgendes Problem:
Da immer mehr mobile Mailclients bzw. auch die Endgeräte selbst (IOS) keine selbstsignierten Zertifikate mehr zulassen, wird es zunehmend schwieriger diese anzubinden. Da Ganze könnte
man nun mittels offizieller Zertifikate lösen (beispielsweise Let's Encrypt). Da ich mich aber dazu entschlossen habe den Zugang nur noch über VPN zu ermöglichen, habe ich nun
ein anderes Problem:
Wenn externer und interner Name wie empfohlen gleich sind und die entsprechenden DNS-Einträge beim Provider (wird ja benötigt für Zertifikatserneuerung) sowie im internen Netz
gesetzt sind, funktioniert der Zugriff mit ActiveSync logischerweise im Mobilnetz nicht mehr, weil das Mobilgerät über DNS die externe IP auflöst und es diesen Zugang nicht mehr gibt.
Da ich nun aber nicht den ganzen Traffic des Mobilgeräts über VPN tunneln will (zum Großteil private Geräte) kann ich die Anbindung nur über IP (Einstellungen Mailclients) durchführen.
Was natürlich wiederum bedeutet das die Zertifikatsprüfung fehlschlägt und bei den meisten Mailclients (z.B. Outlook) mittlerweile die Option gestrichen wurde, Zertifikatsfehler zu übergehen.
Habt ihr eine Idee wie ich das Problem lösen kann?
Servus,
lass doch in diesem Fall einfach den öffentlichen DNS Record weg und kauf ein öffentliches Zertifikat. Da in der Regel die Validierung per E-Mail erfolgt, brauchst du keine öffentlichen DNS Records, wenn Exchange nicht aus dem Internet erreichbar ist. Ich verstehe aber auch nicht ganz was du hiermit meinst:
...weil das Mobilgerät über DNS die externe IP auflöst...
wenn das Mobile im VPN den internen DNS Server nutzt, wird doch die interne IP aufgelöst...
Gruß,
Frank
Da immer mehr mobile Mailclients bzw. auch die Endgeräte selbst (IOS) keine selbstsignierten Zertifikate mehr zulassen
Hallo, im iOS kannst Du ein selbstsigniertes Zertifikat vertrauen, indem Du das CA als vertrauswürdig einstufst - Anleitung. Dann funktioniert auf jeden Fall die iOS Mail App mit ActiveSync, mit der Outlook App habe ich keine Erfahrung (Datenschutz ?). Für die DNS Auflösung könnte folgende Idee funktionieren: erstelle eine Subdomain z.B. sync.firma.de und nimm diese als SAN mit auf das Zertifikat. Du kannst dann im externen DNS als A-Record die interne IP Adresse eintragen.
Du ein selbstsigniertes Zertifikat vertrauen, indem Du das CA als vertrauswürdig
Ein selbstsigniertes Zertifikat hat per Definition keine ca. ;) abgesehen davon warte ich darauf, dass die VPNs dann irgendwann alle gehackt werden.
wie Frank schon schrieb, warum nicht einfach den internen DNS fragen, dann sollte es doch gehen.
funktioniert leider seit IOS 14.2.irgendwas nicht mehr. sonst wäre mein problem nicht vorhanden (einschränkung: wenn die verbindung vor dem update eingerichtet wurde, funktioniert
es noch, d.h. man kann trotz zertifikatsfehler "fortfahren". nach dem update fehlt der button bei neuen verbindungen.
@rest
ich möchte es eigentlich mit let's encrypt lösen. dafür brauche ich natürlich den externen dns-eintrag mit korrekter (externer) ip (läuft über firewall).
problem ist dann wohl das die app (openvpn connect) bzw. das mobilgerät generell zuerst den eigenen dns-server (provider/google oder whatever) befragt und
somit auch eine antwort (externe ip) erhält, was dann natürlich nicht funktioniert (weil eben kein nat mehr).
Naja alternativ einfach ein Zertifikat kaufen. Kostet pro Jahr nun wirklich keine Unsummen, an denen eine Firma (und auch Privat nicht) pleite gehen wird. ;)
d.h. ihr seht da auch keine andere lösung?! schade...
aber trotzdem danke für den input! ?
eine frage noch:
nehmen wir an eine firma hostet ihre webseite bei so einem wix-hoster und bekommt dann autom. ein zertifikat (vermutl. auch let's encrypt) für domain.tld und www.domain.tld.
nehmen wir weiterhin an das zertifkat (private key) ist nicht exportierbar und es sind auch keine ssl-zertifikate von drittanbietern importier- bzw. nutzbar.
ich muß also für den exchange-server ein weiteres ssl-zertifikat kaufen, z.B. *.domain.tld (im einfachsten fall).
kann sich das irgendwie gegenseitig in die quere kommen?
kann sich das irgendwie gegenseitig in die quere kommen?
Nein warum sollte es? Und ich würde kein Wildcard für Exchange nutzen. ;)
ich möchte es eigentlich mit let's encrypt lösen. dafür brauche ich natürlich den externen dns-eintrag mit korrekter (externer) ip (läuft über firewall).
problem ist dann wohl das die app (openvpn connect) bzw. das mobilgerät generell zuerst den eigenen dns-server (provider/google oder whatever) befragt und
somit auch eine antwort (externe ip) erhält, was dann natürlich nicht funktioniert (weil eben kein nat mehr).
Kann man der VPN Config nicht mitgeben, für welche Namen/Zonen die VPN Verbindung zu nutzen ist? Wär vermutlich das einfachste.
in der konfiguration (autom. erzeugt) steht nichts dergleichen. müßte man dann vermutl. händisch anpassen (was ich vermeiden will).
es wird lediglich der dns-server und die suchdomain (über dhcp der firewall) zugewiesen. und es ist natürlich eine .local (aus historischen gründen), die logischerweise nicht
mir der externen domain übereinstimmt.
@norbertfe: wieso kein wildcard-zert?
kann es generell ein problem geben wenn es für die gleiche (sub-)domain (oder wildcard) bei unterschiedlichen zertifizierungsstellen ein zertifikat gibt? oder hängt das nur von der jeweiligen verwendung ab?
st natürlich eine .local (aus historischen gründen), die logischerweise nicht
mir der externen domain übereinstimmt.
In diesem Fall musst Du die automatisch erstellte OpenVPN Konfigurationsdatei anpassen. Ich habe OpenVPN nicht im Einsatz, deshalb folgende Tipps: evtl. kannst Du auf den Server in den Einstellungen von OpenVPN die Domain hinterlegen. Wenn nicht, dann evtl. die Domain in der automatisch generierten Konfigurationsdatei anpassen.
Du kannst Dir für eine Domain mit seinen Subdomains so viele Zertifikate ausstellen lassen, wie Du willst.
Hat bei einem Mobilgerät die Verbindung über VPN überhaupt Vorrang?? Soll heißen: Würde denn eine offizielle Domain überhaupt zuerst über den VPN-Tunnel angefragt werden?
Hinweis: Ja, ich kann auch schon groß (schreiben)! ? Bin also mehrfach begabt! ?
@norbertfe: wieso kein wildcard-zert?
1. Weil das im Allgemeinen dazu führt, dass jeder das selbe Zertifikat verwendet auf allen Services und Servern und
2. Weil er teilweise mehr Konfigurationsaufwand im Exchange bedingt.
Bye
Norbert
zu 1. Zu welchen Problemen kann das führen?
Weil das prinzipbedingt ein Problem ist, wenn mehrere (unterschiedliche) Server das selbe Zertifikat verwenden. Wenn’s dir egal ist, dann nenn es nicht Problem ;)