Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSEC-over-HTTPS und OWA gleichzeitig zur Verfügung stellen (Problem, da gleicher Port)

Frage Netzwerke Router & Routing

Mitglied: Ralf71

Ralf71 (Level 1) - Jetzt verbinden

10.02.2011, aktualisiert 18.10.2012, 6063 Aufrufe, 8 Kommentare

Hallo Forum,

wir haben einen SBS2003, der sowohl PPTP VPN terminiert, als auch OWA incl. ActiveSync für die Handys zur Verfügung stellt.
hierzu haben wir am Router die Ports 1723 und 443 an den SBS weitergeleitet. Dies funktioniert schon seit Jahren wunderbar.

In letzter Zeit häufen sich allerdings Probleme unserer Außendienstler. Sie kommen z.B. aus Hotels in USA oder per UMTS (auch in Deutschland) manchmal nicht mehr ins VPN.
Hierzu habe ich bereits gelesen, das manche Provider die benötigten Ports nicht routen, bzw. aktiv sperren. Auch IPSEC wäre demnach keine Lösung.
Nun habe ich gesehen, das unser LANCOM 1711VPN Router im Zusammenspiel mit dem LANCOM Advanced VPN Client einen "IPSEC-over-HTTPS" Tunnel ermöglicht, der automatisch verwendet wird, wenn die Anmeldung per IPSEC scheitert.
Erste Versuche führten auch zum Erfolg, aber natürlich nur, wenn ich die Port 443 Weiterleitung an den SBS deaktiviere.
Ein PAT erscheint mir auch nicht möglich, da wohl der OWA sich nicht dazu überreden lässt auf einem anderen Port als 443 zu arbeiten und dieser andere Port ja wiederum vom Provider gesperrt sein könnte.

Brauche ich nun einen zweiten DSL Anschluss, um mein Problem lösen zu können?
Oder kann man sich an einem Anschluss von der Telekom zwei öffentliche IP's zuweisen lassen?
Oder gibt es eine andere, elegante Lösung für mein Problem?


Vielen Dank für Eure Hilfe.
Gruß
Ralf
Mitglied: aqui
10.02.2011, aktualisiert 18.10.2012
Ja, die elegante Lösung für dich heisst ein SSL VPN. Das ist derzeit die komfortableste Lösung und viele Midrange Router wie z.B. Daytek usw. supporten sie ebenfalls:
http://www.administrator.de/wissen/ssl-vpns-im-enterprise-umfeld-87895. ...
Damit ersparst du dir diese komplette Frickelei !
Bitte warten ..
Mitglied: Ralf71
10.02.2011 um 16:22 Uhr
...ja aber da liegt doch genau das Problem:
wenn der Router auf dem SSL Port 443 horcht um eingehende SSL VPN Anfragen bedienen zu können, kann er doch nicht gleichzeitig diesen Port an den SBS forwarden, um anderen Mitarbeitern den Outlook Web Access und den Firmenhandys die Exchange Synchronisierung zu ermöglichen.
Bitte warten ..
Mitglied: aqui
10.02.2011 um 17:44 Uhr
Das Problem ist dann doch obsolet wenn du mit SSL VPNs arbeitest. Dann brauchst du keinerlei Port Forwarding mehr, denn jeder kommt über die interne IP an OWA ran.
Beides zusammen ist technisch so nicht lösbar oder nur mit Port Translation.
Bitte warten ..
Mitglied: Ralf71
10.02.2011 um 18:04 Uhr
Ja, dann muss ich aber doch, um an ActiveSync zu kommen, zunächst das SSL-VPN aufbauen.
Können das denn die Email Clients von iPhone &Co?
Bitte warten ..
Mitglied: aqui
10.02.2011 um 18:09 Uhr
Meist ja weil der SSL Client via Java in den Browser geladen wird was die auch können.
Es gibt aber manche Router die supporten nur Active X. Das ist dann aus mit nicht MS Produkten !! Von sowas lässt man also besser die Finger !!
Bitte warten ..
Mitglied: Ralf71
10.02.2011 um 18:37 Uhr
hmm, soviel ich weiß können iPhones kein Java. Und wenn, dann müsste ich ja erst in den Browser, um manuell ein VPN aufzubauen und dann zurück in den Email-Client...
Automatischer Emailabgleich wäre auch nicht möglich, sei denn ich würde Tag und Nacht im VPN verweilen.

Um ans OWA zu gelangen müssten sich die Mitarbeiter prinzipiell zweimal einloggen, erst im VPN des Routers und dann am Server.
Hierzu müsste ich jedem OWA User auch einen VPN Zugang bereitstellen, den ich im Router Administrieren müsste.

Das erscheint mir zu viel Frickelei. Da lass ich mir lieber einen zweiten DSL Anschluss legen....
Bitte warten ..
Mitglied: aqui
11.02.2011 um 21:10 Uhr
Nein, die Authentisierung reichst du vom VPN Router per Radius an den Server weiter und lässt das dort im AD erledigen. Das erspart dir doppeltes Login. Oder eben du nutzt Zertifikate, dann brauchst du gar kein Login mehr, das wäre das eleganteste...und sicherste ! Passwörter kann man auch der Oma verraten !
Bitte warten ..
Mitglied: Ralf71
14.02.2011 um 09:03 Uhr
Also das mit dem Radius hört sich gut an, das werde ich mir mal näher anschauen.
Es bleibt nur noch das Problem, das die iPhones kein Java können... (und da kippt die Sache)
Bitte warten ..
Ähnliche Inhalte
Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Netzwerke
Sophos L2TP over IPSec Nutzer

Frage von Dome1988 zum Thema Netzwerke ...

Windows Server
gelöst L2TP over IPSEC (6)

Frage von sardldb zum Thema Windows Server ...

Firewall
Sophos - L2TP over IPsec - Windows 10 Client (4)

Frage von fluluk zum Thema Firewall ...

Neue Wissensbeiträge
Sicherheit

How I hacked hundreds of companies through their helpdesk

Information von SeaStorm zum Thema Sicherheit ...

Erkennung und -Abwehr

Ccleaner-Angriff war nur auf große Unternehmen gemünzt

(10)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Sicherheit

Eventuell neue Lücke in Intels ME

Information von sabines zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Humor (lol)
Freidach Beitrag (25)

Frage von Penny.Cilin zum Thema Humor (lol) ...

Lizenzierung
Programm soll in verschiedenen Versionen lizenziert sein (20)

Frage von Yanmai zum Thema Lizenzierung ...

Windows 7
SSD - Win7 Lags (19)

Frage von ph5555 zum Thema Windows 7 ...

Humor (lol)
Wo ist der Fehler auf dem Bild? (17)

Information von the-buccaneer zum Thema Humor (lol) ...