Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSEC-over-HTTPS und OWA gleichzeitig zur Verfügung stellen (Problem, da gleicher Port)

Frage Netzwerke Router & Routing

Mitglied: Ralf71

Ralf71 (Level 1) - Jetzt verbinden

10.02.2011, aktualisiert 18.10.2012, 5786 Aufrufe, 8 Kommentare

Hallo Forum,

wir haben einen SBS2003, der sowohl PPTP VPN terminiert, als auch OWA incl. ActiveSync für die Handys zur Verfügung stellt.
hierzu haben wir am Router die Ports 1723 und 443 an den SBS weitergeleitet. Dies funktioniert schon seit Jahren wunderbar.

In letzter Zeit häufen sich allerdings Probleme unserer Außendienstler. Sie kommen z.B. aus Hotels in USA oder per UMTS (auch in Deutschland) manchmal nicht mehr ins VPN.
Hierzu habe ich bereits gelesen, das manche Provider die benötigten Ports nicht routen, bzw. aktiv sperren. Auch IPSEC wäre demnach keine Lösung.
Nun habe ich gesehen, das unser LANCOM 1711VPN Router im Zusammenspiel mit dem LANCOM Advanced VPN Client einen "IPSEC-over-HTTPS" Tunnel ermöglicht, der automatisch verwendet wird, wenn die Anmeldung per IPSEC scheitert.
Erste Versuche führten auch zum Erfolg, aber natürlich nur, wenn ich die Port 443 Weiterleitung an den SBS deaktiviere.
Ein PAT erscheint mir auch nicht möglich, da wohl der OWA sich nicht dazu überreden lässt auf einem anderen Port als 443 zu arbeiten und dieser andere Port ja wiederum vom Provider gesperrt sein könnte.

Brauche ich nun einen zweiten DSL Anschluss, um mein Problem lösen zu können?
Oder kann man sich an einem Anschluss von der Telekom zwei öffentliche IP's zuweisen lassen?
Oder gibt es eine andere, elegante Lösung für mein Problem?


Vielen Dank für Eure Hilfe.
Gruß
Ralf
Mitglied: aqui
10.02.2011, aktualisiert 18.10.2012
Ja, die elegante Lösung für dich heisst ein SSL VPN. Das ist derzeit die komfortableste Lösung und viele Midrange Router wie z.B. Daytek usw. supporten sie ebenfalls:
http://www.administrator.de/wissen/ssl-vpns-im-enterprise-umfeld-87895. ...
Damit ersparst du dir diese komplette Frickelei !
Bitte warten ..
Mitglied: Ralf71
10.02.2011 um 16:22 Uhr
...ja aber da liegt doch genau das Problem:
wenn der Router auf dem SSL Port 443 horcht um eingehende SSL VPN Anfragen bedienen zu können, kann er doch nicht gleichzeitig diesen Port an den SBS forwarden, um anderen Mitarbeitern den Outlook Web Access und den Firmenhandys die Exchange Synchronisierung zu ermöglichen.
Bitte warten ..
Mitglied: aqui
10.02.2011 um 17:44 Uhr
Das Problem ist dann doch obsolet wenn du mit SSL VPNs arbeitest. Dann brauchst du keinerlei Port Forwarding mehr, denn jeder kommt über die interne IP an OWA ran.
Beides zusammen ist technisch so nicht lösbar oder nur mit Port Translation.
Bitte warten ..
Mitglied: Ralf71
10.02.2011 um 18:04 Uhr
Ja, dann muss ich aber doch, um an ActiveSync zu kommen, zunächst das SSL-VPN aufbauen.
Können das denn die Email Clients von iPhone &Co?
Bitte warten ..
Mitglied: aqui
10.02.2011 um 18:09 Uhr
Meist ja weil der SSL Client via Java in den Browser geladen wird was die auch können.
Es gibt aber manche Router die supporten nur Active X. Das ist dann aus mit nicht MS Produkten !! Von sowas lässt man also besser die Finger !!
Bitte warten ..
Mitglied: Ralf71
10.02.2011 um 18:37 Uhr
hmm, soviel ich weiß können iPhones kein Java. Und wenn, dann müsste ich ja erst in den Browser, um manuell ein VPN aufzubauen und dann zurück in den Email-Client...
Automatischer Emailabgleich wäre auch nicht möglich, sei denn ich würde Tag und Nacht im VPN verweilen.

Um ans OWA zu gelangen müssten sich die Mitarbeiter prinzipiell zweimal einloggen, erst im VPN des Routers und dann am Server.
Hierzu müsste ich jedem OWA User auch einen VPN Zugang bereitstellen, den ich im Router Administrieren müsste.

Das erscheint mir zu viel Frickelei. Da lass ich mir lieber einen zweiten DSL Anschluss legen....
Bitte warten ..
Mitglied: aqui
11.02.2011 um 21:10 Uhr
Nein, die Authentisierung reichst du vom VPN Router per Radius an den Server weiter und lässt das dort im AD erledigen. Das erspart dir doppeltes Login. Oder eben du nutzt Zertifikate, dann brauchst du gar kein Login mehr, das wäre das eleganteste...und sicherste ! Passwörter kann man auch der Oma verraten !
Bitte warten ..
Mitglied: Ralf71
14.02.2011 um 09:03 Uhr
Also das mit dem Radius hört sich gut an, das werde ich mir mal näher anschauen.
Es bleibt nur noch das Problem, das die iPhones kein Java können... (und da kippt die Sache)
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Informationsdienste
Excel Datei ohne Download zur Verfügung stellen (4)

Frage von gnaulimon zum Thema Informationsdienste ...

Windows Netzwerk
gelöst PDF nur zum lesen zur Verfügung stellen (15)

Frage von Sylvia zum Thema Windows Netzwerk ...

Microsoft
gelöst Nic nur für hyper-v zur Verfügung stellen (3)

Frage von thomasreischer zum Thema Microsoft ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...