8
IPSEC-over-HTTPS und OWA gleichzeitig zur Verfügung stellen (Problem, da gleicher Port)
Hallo Forum,
wir haben einen SBS2003, der sowohl PPTP VPN terminiert, als auch OWA incl. ActiveSync für die Handys zur Verfügung stellt.
hierzu haben wir am Router die Ports 1723 und 443 an den SBS weitergeleitet. Dies funktioniert schon seit Jahren wunderbar.
In letzter Zeit häufen sich allerdings Probleme unserer Außendienstler. Sie kommen z.B. aus Hotels in USA oder per UMTS (auch in Deutschland) manchmal nicht mehr ins VPN.
Hierzu habe ich bereits gelesen, das manche Provider die benötigten Ports nicht routen, bzw. aktiv sperren. Auch IPSEC wäre demnach keine Lösung.
Nun habe ich gesehen, das unser LANCOM 1711VPN Router im Zusammenspiel mit dem LANCOM Advanced VPN Client einen "IPSEC-over-HTTPS" Tunnel ermöglicht, der automatisch verwendet wird, wenn die Anmeldung per IPSEC scheitert.
Erste Versuche führten auch zum Erfolg, aber natürlich nur, wenn ich die Port 443 Weiterleitung an den SBS deaktiviere.
Ein PAT erscheint mir auch nicht möglich, da wohl der OWA sich nicht dazu überreden lässt auf einem anderen Port als 443 zu arbeiten und dieser andere Port ja wiederum vom Provider gesperrt sein könnte.
Brauche ich nun einen zweiten DSL Anschluss, um mein Problem lösen zu können?
Oder kann man sich an einem Anschluss von der Telekom zwei öffentliche IP's zuweisen lassen?
Oder gibt es eine andere, elegante Lösung für mein Problem?
Vielen Dank für Eure Hilfe.
Gruß
Ralf
wir haben einen SBS2003, der sowohl PPTP VPN terminiert, als auch OWA incl. ActiveSync für die Handys zur Verfügung stellt.
hierzu haben wir am Router die Ports 1723 und 443 an den SBS weitergeleitet. Dies funktioniert schon seit Jahren wunderbar.
In letzter Zeit häufen sich allerdings Probleme unserer Außendienstler. Sie kommen z.B. aus Hotels in USA oder per UMTS (auch in Deutschland) manchmal nicht mehr ins VPN.
Hierzu habe ich bereits gelesen, das manche Provider die benötigten Ports nicht routen, bzw. aktiv sperren. Auch IPSEC wäre demnach keine Lösung.
Nun habe ich gesehen, das unser LANCOM 1711VPN Router im Zusammenspiel mit dem LANCOM Advanced VPN Client einen "IPSEC-over-HTTPS" Tunnel ermöglicht, der automatisch verwendet wird, wenn die Anmeldung per IPSEC scheitert.
Erste Versuche führten auch zum Erfolg, aber natürlich nur, wenn ich die Port 443 Weiterleitung an den SBS deaktiviere.
Ein PAT erscheint mir auch nicht möglich, da wohl der OWA sich nicht dazu überreden lässt auf einem anderen Port als 443 zu arbeiten und dieser andere Port ja wiederum vom Provider gesperrt sein könnte.
Brauche ich nun einen zweiten DSL Anschluss, um mein Problem lösen zu können?
Oder kann man sich an einem Anschluss von der Telekom zwei öffentliche IP's zuweisen lassen?
Oder gibt es eine andere, elegante Lösung für mein Problem?
Vielen Dank für Eure Hilfe.
Gruß
Ralf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 160521
Url: https://administrator.de/contentid/160521
Printed on: April 19, 2024 at 01:04 o'clock
8 Comments
Latest comment
Ja, die elegante Lösung für dich heisst ein SSL VPN. Das ist derzeit die komfortableste Lösung und viele Midrange Router wie z.B. Daytek usw. supporten sie ebenfalls:
SSL-VPNs im Enterprise Umfeld
Damit ersparst du dir diese komplette Frickelei !
SSL-VPNs im Enterprise Umfeld
Damit ersparst du dir diese komplette Frickelei !
...ja aber da liegt doch genau das Problem:
wenn der Router auf dem SSL Port 443 horcht um eingehende SSL VPN Anfragen bedienen zu können, kann er doch nicht gleichzeitig diesen Port an den SBS forwarden, um anderen Mitarbeitern den Outlook Web Access und den Firmenhandys die Exchange Synchronisierung zu ermöglichen.
wenn der Router auf dem SSL Port 443 horcht um eingehende SSL VPN Anfragen bedienen zu können, kann er doch nicht gleichzeitig diesen Port an den SBS forwarden, um anderen Mitarbeitern den Outlook Web Access und den Firmenhandys die Exchange Synchronisierung zu ermöglichen.
Das Problem ist dann doch obsolet wenn du mit SSL VPNs arbeitest. Dann brauchst du keinerlei Port Forwarding mehr, denn jeder kommt über die interne IP an OWA ran.
Beides zusammen ist technisch so nicht lösbar oder nur mit Port Translation.
Beides zusammen ist technisch so nicht lösbar oder nur mit Port Translation.
Ja, dann muss ich aber doch, um an ActiveSync zu kommen, zunächst das SSL-VPN aufbauen.
Können das denn die Email Clients von iPhone &Co?
Können das denn die Email Clients von iPhone &Co?
Meist ja weil der SSL Client via Java in den Browser geladen wird was die auch können.
Es gibt aber manche Router die supporten nur Active X. Das ist dann aus mit nicht MS Produkten !! Von sowas lässt man also besser die Finger !!
Es gibt aber manche Router die supporten nur Active X. Das ist dann aus mit nicht MS Produkten !! Von sowas lässt man also besser die Finger !!
hmm, soviel ich weiß können iPhones kein Java. Und wenn, dann müsste ich ja erst in den Browser, um manuell ein VPN aufzubauen und dann zurück in den Email-Client...
Automatischer Emailabgleich wäre auch nicht möglich, sei denn ich würde Tag und Nacht im VPN verweilen.
Um ans OWA zu gelangen müssten sich die Mitarbeiter prinzipiell zweimal einloggen, erst im VPN des Routers und dann am Server.
Hierzu müsste ich jedem OWA User auch einen VPN Zugang bereitstellen, den ich im Router Administrieren müsste.
Das erscheint mir zu viel Frickelei. Da lass ich mir lieber einen zweiten DSL Anschluss legen....
Automatischer Emailabgleich wäre auch nicht möglich, sei denn ich würde Tag und Nacht im VPN verweilen.
Um ans OWA zu gelangen müssten sich die Mitarbeiter prinzipiell zweimal einloggen, erst im VPN des Routers und dann am Server.
Hierzu müsste ich jedem OWA User auch einen VPN Zugang bereitstellen, den ich im Router Administrieren müsste.
Das erscheint mir zu viel Frickelei. Da lass ich mir lieber einen zweiten DSL Anschluss legen....
Nein, die Authentisierung reichst du vom VPN Router per Radius an den Server weiter und lässt das dort im AD erledigen. Das erspart dir doppeltes Login. Oder eben du nutzt Zertifikate, dann brauchst du gar kein Login mehr, das wäre das eleganteste...und sicherste ! Passwörter kann man auch der Oma verraten !
Also das mit dem Radius hört sich gut an, das werde ich mir mal näher anschauen.
Es bleibt nur noch das Problem, das die iPhones kein Java können... (und da kippt die Sache)
Es bleibt nur noch das Problem, das die iPhones kein Java können... (und da kippt die Sache)
