Absoluter Newbie Zugriff auf Exchange von außen
Hallo zusammen,
ich weiß, im Prinzip gibt es diese Frage immer wieder, aber irgendwie komme ich mit den bisher gefundenen Antworten nicht wirklich weiter.
Ziel soll sein, von außen (egal an welchem Internetrechner) auf unseren internen Exchange 2003 zuzugreifen - per OWA. Der Ex steht im lokalen Netz 192.168.x.x. Außerdem eine Firewall mit 2 NICs auf IPCop-Basis im gleichen Netz. Das ganze ist permament mit fester IP per SDSL der Telekom ans Internet angebunden. Eine Einwahl per ISDN scheidet aus.
Kann mir da jemand mit einer Schritt für Schritt-Erklärung weiterhelfen? Bei mir hängt es halt so am ganzen "drumrum". SSH, VPN, Tunnel etc. Ich weiß zwar in etwa was die ganzen Dinge bedeuten, habe aber nicht wirklich Ahnung davon wie sie zusammenhängen oder richtig eingerichtet werden.
Natürlich könnte ich einfach eine externe Firma beauftragen die das einrichtet, aber ich möchte es halt doch gerne selber können und verstehen.
ich weiß, im Prinzip gibt es diese Frage immer wieder, aber irgendwie komme ich mit den bisher gefundenen Antworten nicht wirklich weiter.
Ziel soll sein, von außen (egal an welchem Internetrechner) auf unseren internen Exchange 2003 zuzugreifen - per OWA. Der Ex steht im lokalen Netz 192.168.x.x. Außerdem eine Firewall mit 2 NICs auf IPCop-Basis im gleichen Netz. Das ganze ist permament mit fester IP per SDSL der Telekom ans Internet angebunden. Eine Einwahl per ISDN scheidet aus.
Kann mir da jemand mit einer Schritt für Schritt-Erklärung weiterhelfen? Bei mir hängt es halt so am ganzen "drumrum". SSH, VPN, Tunnel etc. Ich weiß zwar in etwa was die ganzen Dinge bedeuten, habe aber nicht wirklich Ahnung davon wie sie zusammenhängen oder richtig eingerichtet werden.
Natürlich könnte ich einfach eine externe Firma beauftragen die das einrichtet, aber ich möchte es halt doch gerne selber können und verstehen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 49475
Url: https://administrator.de/contentid/49475
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Hi !
Vorab: wenn Du es ALLES selbst verstehen möchtest, hast Du eine Menge vor Dir, denn ganz so einfach ist das alles nicht. Ich würde Dir empfehlen, viele der Sachen nachzuschlagen, zB bei Wikipedia sind tolle Artikel über viele EDV-Themen. Außerdem empfehle ich Dir dringend die Lektüre von guten Büchern. Die gibts auch "for free" als zB Galileo Open Book.
Nun aber zu Deinem Problem: Du musst es hinbekommen dass Deine Firewall den Port 80 auf den Exchange weiterleitet. Das dürfte irgendwo bei "Portweiterleitung" oder "Dienstetabelle" oder ähnliches gehen. Genau kann ich Dir das nicht sagen, bin mir aber sicher dass Google Dein Freund ist.
Noch was: ich würde DRINGEND empfehlen, HTTPS zu verwenden, da bei "normalem" OWA die Kennwörter für Eure Domäne im Klartext übers Internet übertragen werden. Das ist ganz doll pfui-bäh. Abgesehen davon solltest Du Deinen Exchange abdichten bis zum Geht-nicht-mehr, wenn er direkt übers Internet angesprochen wird. d.h. alle Service Packs, Sicherheitsupdates etc. installieren. Schau Dir zusätzlich mal den ExBPA an, der wird dir noch einige Sachen aufzeigen denk ich.
Greetz
Chris
Vorab: wenn Du es ALLES selbst verstehen möchtest, hast Du eine Menge vor Dir, denn ganz so einfach ist das alles nicht. Ich würde Dir empfehlen, viele der Sachen nachzuschlagen, zB bei Wikipedia sind tolle Artikel über viele EDV-Themen. Außerdem empfehle ich Dir dringend die Lektüre von guten Büchern. Die gibts auch "for free" als zB Galileo Open Book.
Nun aber zu Deinem Problem: Du musst es hinbekommen dass Deine Firewall den Port 80 auf den Exchange weiterleitet. Das dürfte irgendwo bei "Portweiterleitung" oder "Dienstetabelle" oder ähnliches gehen. Genau kann ich Dir das nicht sagen, bin mir aber sicher dass Google Dein Freund ist.
Noch was: ich würde DRINGEND empfehlen, HTTPS zu verwenden, da bei "normalem" OWA die Kennwörter für Eure Domäne im Klartext übers Internet übertragen werden. Das ist ganz doll pfui-bäh. Abgesehen davon solltest Du Deinen Exchange abdichten bis zum Geht-nicht-mehr, wenn er direkt übers Internet angesprochen wird. d.h. alle Service Packs, Sicherheitsupdates etc. installieren. Schau Dir zusätzlich mal den ExBPA an, der wird dir noch einige Sachen aufzeigen denk ich.
Greetz
Chris
Die Frage ist sowieso nicht einfach zu beantworten, denn man müsste wissen:
1.) Welches Protokoll du zum Abholen der Mails bzw. den Exchange Zugriff benutzen willst ???
POP3, IMAP, Exchange Protokoll oder Exchange Web Browser Zugriff
2.) Wie du auf den Exchange Server zugreifen willst. Ganz normal mit einer offenen TCP Verbindung über die Firewall oder über ein VPN.
Wenn es ein VPN ist welches VPN Protokoll soll es denn sein ??? PPTP, IPsec AH, IPsec ESP, L2TP, SSL, Nat Traversal IPsec....
Allein auf die beiden o.a. Punkte gibt es mehrere Antworten und die Kombination von 1. und 2. erzeugt eine Vielzahl von Realisierungsszenarien. Sollen wir die hier alle schriftlich abhandeln ???
Bei deinen dürftigen Angaben ist es so als ob du an der Tankstelle zum Tankwart sagst:
"Ich habe einen Wagenheber welches Öl brauch ich....??"
1.) Welches Protokoll du zum Abholen der Mails bzw. den Exchange Zugriff benutzen willst ???
POP3, IMAP, Exchange Protokoll oder Exchange Web Browser Zugriff
2.) Wie du auf den Exchange Server zugreifen willst. Ganz normal mit einer offenen TCP Verbindung über die Firewall oder über ein VPN.
Wenn es ein VPN ist welches VPN Protokoll soll es denn sein ??? PPTP, IPsec AH, IPsec ESP, L2TP, SSL, Nat Traversal IPsec....
Allein auf die beiden o.a. Punkte gibt es mehrere Antworten und die Kombination von 1. und 2. erzeugt eine Vielzahl von Realisierungsszenarien. Sollen wir die hier alle schriftlich abhandeln ???
Bei deinen dürftigen Angaben ist es so als ob du an der Tankstelle zum Tankwart sagst:
"Ich habe einen Wagenheber welches Öl brauch ich....??"
OK, dann ist die Lösung denkbar einfach:
Da muss dann lediglich ein Port Forwarding mit TCP 80 und TCP 443 von der DSL IP Adresse des IP-Cop auf die lokale IP des Exchange Servers eingerichtet werden !!!
Ggf. solltest du dir noch einen DynDNS Account auf dem IP Cop einrichten sofern du mit variablen IP Adressen auf DSL Seite arbeitest (PPPoE). Damit kannst du dann auf Client Seite immer einen Namen statt einer IP Adresse eingeben !
Da muss dann lediglich ein Port Forwarding mit TCP 80 und TCP 443 von der DSL IP Adresse des IP-Cop auf die lokale IP des Exchange Servers eingerichtet werden !!!
Ggf. solltest du dir noch einen DynDNS Account auf dem IP Cop einrichten sofern du mit variablen IP Adressen auf DSL Seite arbeitest (PPPoE). Damit kannst du dann auf Client Seite immer einen Namen statt einer IP Adresse eingeben !
Also, ganz so einfach ist die Lösung nicht! Aber sicher auch für Dich machbar:
Wenn' von außen nur OWA sein soll:
1. Es brauch nichts getunnelt zu werden; kein VPN.
2. KEIN Port 80 nötig! Falls über SSL (Port 443) - also die https-Variante (sicher!).
3. Du musst eine Zertifizierungsstelle auf einem W2003 einrichten - wegen SSL.
4. Port 25 muss natürlich auch offen sein
Es wäre u.U. auch wichtig, wie Dein MSX denn zu seinen Mails kommt? POP3-Sammler...
SBS oder W2003 Standard?
Gib laut, im Notfall auch per PM
Grüße
Dieter
Wenn' von außen nur OWA sein soll:
1. Es brauch nichts getunnelt zu werden; kein VPN.
2. KEIN Port 80 nötig! Falls über SSL (Port 443) - also die https-Variante (sicher!).
3. Du musst eine Zertifizierungsstelle auf einem W2003 einrichten - wegen SSL.
4. Port 25 muss natürlich auch offen sein
Es wäre u.U. auch wichtig, wie Dein MSX denn zu seinen Mails kommt? POP3-Sammler...
SBS oder W2003 Standard?
Gib laut, im Notfall auch per PM
Grüße
Dieter
Also, ganz so einfach ist die Lösung
nicht! Aber sicher auch für Dich
machbar:
nicht! Aber sicher auch für Dich
machbar:
Wenn' von außen nur OWA sein soll:
1. Es brauch nichts getunnelt zu werden;
kein VPN.
1. Es brauch nichts getunnelt zu werden;
kein VPN.
stimmt
2. KEIN Port 80 nötig! Falls über
SSL (Port 443) - also die https-Variante
(sicher!).
SSL (Port 443) - also die https-Variante
(sicher!).
Klar, aber dafür muss man SSL einrichten, was etwas tricky ist. Wer's unsicher mag, kann auch einfach Port 80 umleiten und gut is, aber SSL ist auf jeden Fall die sicherere Variante.
3. Du musst eine Zertifizierungsstelle auf
einem W2003 einrichten - wegen SSL.
einem W2003 einrichten - wegen SSL.
Alternativ kannst Du ein Zertifikat kaufen (zB www.thawte.com), oder Du verwendest ein Freies von z.B. cacert, denn dann sparst Du Dir die Zertifizierungsstelle in Deinem Netz, die auch das Eine oder Andere durcheinander werfen kann. Mein Tipp: CACERT verwenden. Kost nix, Du hast weniger Aufwand, und bist sicher
4. Port 25 muss natürlich auch offen
sein
sein
Warum? Es kann doch auch sein dass er die Mails über einen Pop3 Sammler, ein VPN oder sonstwas bekommt. Dafür muss in der Firewall kein Port offen sein. Klar, der MSX muss Connections auf Port 25 akzeptieren wenn er über SMTP Mails annehmen soll, aber das heißt ja nicht, dass der Port auch in der Firewall offen sein muss. Im Gegenteil: den würde ich NUR öffnen, wenns wirklich nötig ist, damit keiner ihn als Relayschleuder benutzt.
Es wäre u.U. auch wichtig, wie Dein MSX
denn zu seinen Mails kommt? POP3-Sammler...
SBS oder W2003 Standard?
denn zu seinen Mails kommt? POP3-Sammler...
SBS oder W2003 Standard?
s.o.
Grüße
Christian F.
Richtig, hat ich im Eifer des Gefechts übersehen, sorry.
Es muss dann lediglich TCP Port 443 (HTTPS) sein. Ob SMTP TCP 25 auch eröffnet sein muss wage ich mal zu bezweifeln, denn auch das Email senden geschieht über eine HTTPS Webseite über Port 443.
TCP Port 25 (SMTP) sollte da gar nicht involviert sein. Dadurch ist dann auch dein Mailverkehr bidirektional durch die Verwendung von SSL (HTTPS) vor Mitlesen im Internet gesichert !
Als Zertifikat kannst du sicher mit dem Standardzertifikat erstmal leben. Da popt am Anfang nur eine Message hoch und du kannst das Zertifikat dann als für diese Verbindung permanent annehmen, die Message erscheint dann nicht wieder. (Jedenfalls bei Firefox )
Es muss dann lediglich TCP Port 443 (HTTPS) sein. Ob SMTP TCP 25 auch eröffnet sein muss wage ich mal zu bezweifeln, denn auch das Email senden geschieht über eine HTTPS Webseite über Port 443.
TCP Port 25 (SMTP) sollte da gar nicht involviert sein. Dadurch ist dann auch dein Mailverkehr bidirektional durch die Verwendung von SSL (HTTPS) vor Mitlesen im Internet gesichert !
Als Zertifikat kannst du sicher mit dem Standardzertifikat erstmal leben. Da popt am Anfang nur eine Message hoch und du kannst das Zertifikat dann als für diese Verbindung permanent annehmen, die Message erscheint dann nicht wieder. (Jedenfalls bei Firefox )