4
Exchange OWA über Internet mit CiscoPIX501
Hallo!
Wir möchten gerne unseren Exchange Server für diverse Außenstellen von uns über unsere Homepage zugänglich machen.
Folgende Voraussetzungen (IPs alle beispielhaft) sind gegeben:
extern:
1) Homepage
- www.firmenname.de bei Internetprovider gehostet, Internetseite läuft komplett extern
- Exchange soll später über eine Unteradresse/einen Unterordner aufgerufen werden können (z.B. www.mail.firmenname.de oder
www.firmenname.de/mail)
im Firmennetzwerk:
2) Internetverbindung über Vodafone(ehemals Arcor) mit fester IP
3) CiscoPix 501 (IP 192.168.2.1) als Firewall und Gateway (wird über DHCP an alle Netzerkclients übertragen) für die Internetverbindung
4) Exchange-Server 2007 im gleichen Netzwerksegment (IP 192.168.2.2)
Theoretisch stelle ich mir das jetzt so vor:
An der Außenstelle ruft der MItarbeiter über den Browser die URL für den OWA-Zugriff auf (www.mail.firmenname.de). Mit dem Internetprovider wird
vereinbart, dass die Anfragen an diese Adresse an die feste IP-Adresse unseres Internetanschlusses und somit der CiscoPIx weitergeleitet werden.
Die CiscoPIx leitet eben diese ankommende Anfrage dann nochmals an den ExchangeServer im Netztwerk weiter und im Browser erscheint dann die
Anmeldung zum OWA, anmelden,usw.
So, nun das Problem:
Wie mache ich das?
Das Problem besteht hauptsächlich bei der CiscoPix, weil ich mich da nicht so sehr auskenne. Sind die EInstellungen auch per PDM machbar oder nur
über die Konsole? Welche Einstellungen (an welchen Stelle) müssen gemacht werden? Ist es auch möglich den ExchangeServer irgendwie über die PIX
direkt (ohne Zwischenschritt über Homepage-Provider) über Internet erreichbar machen? In der ExchangeKonsole kann man ja schließlich auch etwas
bzgl. interner und externer URL für OWA einstellen....
Bzgl. der Sicherheit: Soll möglichst ab dem Provider alles über Https laufen oder genügt es ab der PIX irgendwas bzgl. Verschlüsselung/sichere Leitung einzustellen?
Über Ratschläge die mich weiterbringen bzw. evtl. Komplettlösungen wäre ich sehr dankbar!
MfG
Wir möchten gerne unseren Exchange Server für diverse Außenstellen von uns über unsere Homepage zugänglich machen.
Folgende Voraussetzungen (IPs alle beispielhaft) sind gegeben:
extern:
1) Homepage
- www.firmenname.de bei Internetprovider gehostet, Internetseite läuft komplett extern
- Exchange soll später über eine Unteradresse/einen Unterordner aufgerufen werden können (z.B. www.mail.firmenname.de oder
www.firmenname.de/mail)
im Firmennetzwerk:
2) Internetverbindung über Vodafone(ehemals Arcor) mit fester IP
3) CiscoPix 501 (IP 192.168.2.1) als Firewall und Gateway (wird über DHCP an alle Netzerkclients übertragen) für die Internetverbindung
4) Exchange-Server 2007 im gleichen Netzwerksegment (IP 192.168.2.2)
Theoretisch stelle ich mir das jetzt so vor:
An der Außenstelle ruft der MItarbeiter über den Browser die URL für den OWA-Zugriff auf (www.mail.firmenname.de). Mit dem Internetprovider wird
vereinbart, dass die Anfragen an diese Adresse an die feste IP-Adresse unseres Internetanschlusses und somit der CiscoPIx weitergeleitet werden.
Die CiscoPIx leitet eben diese ankommende Anfrage dann nochmals an den ExchangeServer im Netztwerk weiter und im Browser erscheint dann die
Anmeldung zum OWA, anmelden,usw.
So, nun das Problem:
Wie mache ich das?
Das Problem besteht hauptsächlich bei der CiscoPix, weil ich mich da nicht so sehr auskenne. Sind die EInstellungen auch per PDM machbar oder nur
über die Konsole? Welche Einstellungen (an welchen Stelle) müssen gemacht werden? Ist es auch möglich den ExchangeServer irgendwie über die PIX
direkt (ohne Zwischenschritt über Homepage-Provider) über Internet erreichbar machen? In der ExchangeKonsole kann man ja schließlich auch etwas
bzgl. interner und externer URL für OWA einstellen....
Bzgl. der Sicherheit: Soll möglichst ab dem Provider alles über Https laufen oder genügt es ab der PIX irgendwas bzgl. Verschlüsselung/sichere Leitung einzustellen?
Über Ratschläge die mich weiterbringen bzw. evtl. Komplettlösungen wäre ich sehr dankbar!
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 125724
Url: https://administrator.de/contentid/125724
Printed on: April 25, 2024 at 00:04 o'clock
4 Comments
Latest comment
Du kannst alles per PDM machen.
Dein Provider hat relativ wenig damit zu tun. Deine Webseite eigentlich auch wenig.
Du musst dem IIS auf dem der OWA lauft ein Zertifikat installieren. Gibt's genügend Anleitungen.
Beim Cisco reicht eigentlich eine einfaches Port forwarding des SSL Ports auf den IIS
Dann kannst du schon mal per https://IP/exchange auf den OWA
Zum Schluss dann noch entweder eine Hosteintrag bei deinem Provider machen mit mail auf die IP des Exchange, dann sieht das ganze so aus.
https://mail.domain.de/exchange
Oder du leitest irgendwie anders auf die IP. Bleibt dir überlassen wie du's willst.
Dein Provider hat relativ wenig damit zu tun. Deine Webseite eigentlich auch wenig.
Du musst dem IIS auf dem der OWA lauft ein Zertifikat installieren. Gibt's genügend Anleitungen.
Beim Cisco reicht eigentlich eine einfaches Port forwarding des SSL Ports auf den IIS
Dann kannst du schon mal per https://IP/exchange auf den OWA
Zum Schluss dann noch entweder eine Hosteintrag bei deinem Provider machen mit mail auf die IP des Exchange, dann sieht das ganze so aus.
https://mail.domain.de/exchange
Oder du leitest irgendwie anders auf die IP. Bleibt dir überlassen wie du's willst.
HI!
Danke schonmal für die Antwort.
Aber irgendwas mache ich noch falsch.
Ich habe in den "Access rules" eine Regel hinzugefügt, dass "any" Verkehr über "outside" weitergeleitet wird an "IP-Mailserver" und "Https".
Wenn ich das mache kommt aber noch eine Aufforderung bzgl. NAT ( also "Translation rules") für den Mailsserver. Da hab ich gelesen, muss ich "static" (wegen der Richtugn der Security Levels der Interfaces) auswählen. Nur dann will er eine IP von mir. Welche gebe ich da ein? nehme ich die vom Mailserver, dann klappts nicht. Nehme ich die IP vom Outside-Interface dann habe ich plötzlich keine Internetverbindung mehr.
Und OWA über https://öffentliche, feste IP/owa bzw. https://öffentliche, feste IP/exchange klappt nicht.
Ich habe noch kein Zertifikat erstellt im Windows Server, weil ich erstmal generell testen wollte, ob der ZUgriff klappt. Und auch sonst habe ich in exchage nichts eingestellte, ausser der internen und externen URL für OWA (intern: https://Server-ip/owa, extern: https://feste,öffentlicheIP/owa)
Nochwas ist mir aufgefallen. Die öffentlich IP die wir vom INternetprovider bekommen haben, ist nicht anpingbar. Kann das einfach ein Sicherheitsmerkmal des Providers sein oder MUSS die Adresse anpingbar sein, damit das funktioniert?
Hier noch ein Teil meiner aktuellen Konfig (haben bereits schon VPN laufen auf der PIX):
Building configuration...
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password vSDdoOj8WM9Jln.S encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.0.1.235 MailServer
object-group service ExchangeOWA_Ports tcp
port-object eq www
port-object eq https
access-list 101 permit ip 192.0.1.0 255.255.255.0 192.168.211.0 255.255.255.0
access-list inside_access_in permit ip 192.0.1.0 255.255.255.0 192.168.211.0 255.255.255.0 log
access-list inside_access_in permit ip 192.0.1.0 255.255.255.0 any
access-list outside_access_in permit tcp interface outside object-group ExchangeOWA_Ports host MailServer object-group ExchangeOWA_Ports
access-list vpnvgwirges_splitTunnelAcl permit ip host 192.0.1.250 any
access-list vpnvgwirges_splitTunnelAcl permit ip host MailServer any
pager lines 24
logging timestamp
logging trap informational
logging device-id hostname
logging host inside 192.0.1.233 format emblem
logging host inside 192.0.1.250 format emblem
mtu outside 1456
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.0.1.233 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpnpool 192.168.211.1-192.168.211.254 mask 255.255.255.0
pdm location 192.0.1.250 255.255.255.255 inside
pdm location 192.0.1.0 255.255.255.0 outside
pdm location 192.168.211.0 255.255.255.0 outside
pdm location MailServer 255.255.255.255 inside
pdm location <öffentlicheIP> 255.255.255.255 outside
pdm logging informational 512
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) MailServer MailServer netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.0.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
Cryptochecksum:e42de1cb83b0447a69e4c606895ac919
: end
[OK]
Vielen Dank im Voraus!
Danke schonmal für die Antwort.
Aber irgendwas mache ich noch falsch.
Ich habe in den "Access rules" eine Regel hinzugefügt, dass "any" Verkehr über "outside" weitergeleitet wird an "IP-Mailserver" und "Https".
Wenn ich das mache kommt aber noch eine Aufforderung bzgl. NAT ( also "Translation rules") für den Mailsserver. Da hab ich gelesen, muss ich "static" (wegen der Richtugn der Security Levels der Interfaces) auswählen. Nur dann will er eine IP von mir. Welche gebe ich da ein? nehme ich die vom Mailserver, dann klappts nicht. Nehme ich die IP vom Outside-Interface dann habe ich plötzlich keine Internetverbindung mehr.
Und OWA über https://öffentliche, feste IP/owa bzw. https://öffentliche, feste IP/exchange klappt nicht.
Ich habe noch kein Zertifikat erstellt im Windows Server, weil ich erstmal generell testen wollte, ob der ZUgriff klappt. Und auch sonst habe ich in exchage nichts eingestellte, ausser der internen und externen URL für OWA (intern: https://Server-ip/owa, extern: https://feste,öffentlicheIP/owa)
Nochwas ist mir aufgefallen. Die öffentlich IP die wir vom INternetprovider bekommen haben, ist nicht anpingbar. Kann das einfach ein Sicherheitsmerkmal des Providers sein oder MUSS die Adresse anpingbar sein, damit das funktioniert?
Hier noch ein Teil meiner aktuellen Konfig (haben bereits schon VPN laufen auf der PIX):
Building configuration...
- Saved
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password vSDdoOj8WM9Jln.S encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.0.1.235 MailServer
object-group service ExchangeOWA_Ports tcp
port-object eq www
port-object eq https
access-list 101 permit ip 192.0.1.0 255.255.255.0 192.168.211.0 255.255.255.0
access-list inside_access_in permit ip 192.0.1.0 255.255.255.0 192.168.211.0 255.255.255.0 log
access-list inside_access_in permit ip 192.0.1.0 255.255.255.0 any
access-list outside_access_in permit tcp interface outside object-group ExchangeOWA_Ports host MailServer object-group ExchangeOWA_Ports
access-list vpnvgwirges_splitTunnelAcl permit ip host 192.0.1.250 any
access-list vpnvgwirges_splitTunnelAcl permit ip host MailServer any
pager lines 24
logging timestamp
logging trap informational
logging device-id hostname
logging host inside 192.0.1.233 format emblem
logging host inside 192.0.1.250 format emblem
mtu outside 1456
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.0.1.233 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpnpool 192.168.211.1-192.168.211.254 mask 255.255.255.0
pdm location 192.0.1.250 255.255.255.255 inside
pdm location 192.0.1.0 255.255.255.0 outside
pdm location 192.168.211.0 255.255.255.0 outside
pdm location MailServer 255.255.255.255 inside
pdm location <öffentlicheIP> 255.255.255.255 outside
pdm logging informational 512
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) MailServer MailServer netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.0.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
Cryptochecksum:e42de1cb83b0447a69e4c606895ac919
: end
[OK]
Vielen Dank im Voraus!
Jupp da stimme ich zu. Und wie das Portforwarding eingestellt wird:
http://www.youtube.com/watch?v=Z2oM9FpPZd4
Und das Zertifikat ist nicht so schwer, musste über http:\\Zertifizierungsstelle\Certsrv beantragen, dann im IIS des Exchange unter (hab grad keinen zur Hand) ..., wenn du den Baum öffnest ist es glaub ich der dritte Knoten von oben, und dort unter den Eigenschaften kannst du das Zertifikat hinzufügen. Müsste ich nachsehen, wenn ich die Struktur sehe weiß ich wo. Kannst mich ja später nochmal fragen.
Tjo und das wars gröbste. Übrigens bekommst du ne Fehlermeldung wenn deine Clients später auf OWA mit einem von dir generierten Zertifikat zugreifen, das is aber nicht schlimm. Du kannst das Zertifikat oder direkt das Stammzertifikat den Clients ja mitgeben.
Gruss
S.
http://www.youtube.com/watch?v=Z2oM9FpPZd4
Und das Zertifikat ist nicht so schwer, musste über http:\\Zertifizierungsstelle\Certsrv beantragen, dann im IIS des Exchange unter (hab grad keinen zur Hand) ..., wenn du den Baum öffnest ist es glaub ich der dritte Knoten von oben, und dort unter den Eigenschaften kannst du das Zertifikat hinzufügen. Müsste ich nachsehen, wenn ich die Struktur sehe weiß ich wo. Kannst mich ja später nochmal fragen.
Tjo und das wars gröbste. Übrigens bekommst du ne Fehlermeldung wenn deine Clients später auf OWA mit einem von dir generierten Zertifikat zugreifen, das is aber nicht schlimm. Du kannst das Zertifikat oder direkt das Stammzertifikat den Clients ja mitgeben.
Gruss
S.
Hab alles so gemacht wie es im Video beschrieben ist, klappt trotzdem nicht. Keine Ahnung wo der Fehler liegt...
