twlght667
Goto Top

Absoluter Newbie Zugriff auf Exchange von außen

Hallo zusammen,
ich weiß, im Prinzip gibt es diese Frage immer wieder, aber irgendwie komme ich mit den bisher gefundenen Antworten nicht wirklich weiter.

Ziel soll sein, von außen (egal an welchem Internetrechner) auf unseren internen Exchange 2003 zuzugreifen - per OWA. Der Ex steht im lokalen Netz 192.168.x.x. Außerdem eine Firewall mit 2 NICs auf IPCop-Basis im gleichen Netz. Das ganze ist permament mit fester IP per SDSL der Telekom ans Internet angebunden. Eine Einwahl per ISDN scheidet aus.

Kann mir da jemand mit einer Schritt für Schritt-Erklärung weiterhelfen? Bei mir hängt es halt so am ganzen "drumrum". SSH, VPN, Tunnel etc. Ich weiß zwar in etwa was die ganzen Dinge bedeuten, habe aber nicht wirklich Ahnung davon wie sie zusammenhängen oder richtig eingerichtet werden.

Natürlich könnte ich einfach eine externe Firma beauftragen die das einrichtet, aber ich möchte es halt doch gerne selber können und verstehen.

Content-ID: 49475

Url: https://administrator.de/contentid/49475

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

ChristianF
ChristianF 22.01.2007 um 10:48:44 Uhr
Goto Top
Hi !

Vorab: wenn Du es ALLES selbst verstehen möchtest, hast Du eine Menge vor Dir, denn ganz so einfach ist das alles nicht. Ich würde Dir empfehlen, viele der Sachen nachzuschlagen, zB bei Wikipedia sind tolle Artikel über viele EDV-Themen. Außerdem empfehle ich Dir dringend die Lektüre von guten Büchern. Die gibts auch "for free" als zB Galileo Open Book.

Nun aber zu Deinem Problem: Du musst es hinbekommen dass Deine Firewall den Port 80 auf den Exchange weiterleitet. Das dürfte irgendwo bei "Portweiterleitung" oder "Dienstetabelle" oder ähnliches gehen. Genau kann ich Dir das nicht sagen, bin mir aber sicher dass Google Dein Freund ist.

Noch was: ich würde DRINGEND empfehlen, HTTPS zu verwenden, da bei "normalem" OWA die Kennwörter für Eure Domäne im Klartext übers Internet übertragen werden. Das ist ganz doll pfui-bäh. Abgesehen davon solltest Du Deinen Exchange abdichten bis zum Geht-nicht-mehr, wenn er direkt übers Internet angesprochen wird. d.h. alle Service Packs, Sicherheitsupdates etc. installieren. Schau Dir zusätzlich mal den ExBPA an, der wird dir noch einige Sachen aufzeigen denk ich.

Greetz
Chris
aqui
aqui 22.01.2007 um 13:39:14 Uhr
Goto Top
Die Frage ist sowieso nicht einfach zu beantworten, denn man müsste wissen:

1.) Welches Protokoll du zum Abholen der Mails bzw. den Exchange Zugriff benutzen willst ???
POP3, IMAP, Exchange Protokoll oder Exchange Web Browser Zugriff

2.) Wie du auf den Exchange Server zugreifen willst. Ganz normal mit einer offenen TCP Verbindung über die Firewall oder über ein VPN.
Wenn es ein VPN ist welches VPN Protokoll soll es denn sein ??? PPTP, IPsec AH, IPsec ESP, L2TP, SSL, Nat Traversal IPsec....

Allein auf die beiden o.a. Punkte gibt es mehrere Antworten und die Kombination von 1. und 2. erzeugt eine Vielzahl von Realisierungsszenarien. Sollen wir die hier alle schriftlich abhandeln ???
Bei deinen dürftigen Angaben ist es so als ob du an der Tankstelle zum Tankwart sagst:
"Ich habe einen Wagenheber welches Öl brauch ich....??"
Twlght667
Twlght667 22.01.2007 um 13:50:08 Uhr
Goto Top
Das ich OWA benutzen will habe ich in meinem Ursprungsposting ja geschrieben. Also nix mit POP3, IMAP o.ä. lediglich OWA übern Browser.

Und *wie* ich auf zugreifen will/soll - das ist ja mein Problem. Wie gesagt, es gibt hier eine Firewall auf IPCop-Basis. Die User sollen zu Hause (oder wo auch immer) lediglich einen Browser benötigen. Keine Zusatzsoftware. Ich tippe da wird eine TCP-Verbindung das sinnvollste sein, oder?
aqui
aqui 22.01.2007 um 15:39:53 Uhr
Goto Top
OK, dann ist die Lösung denkbar einfach:
Da muss dann lediglich ein Port Forwarding mit TCP 80 und TCP 443 von der DSL IP Adresse des IP-Cop auf die lokale IP des Exchange Servers eingerichtet werden !!!

Ggf. solltest du dir noch einen DynDNS Account auf dem IP Cop einrichten sofern du mit variablen IP Adressen auf DSL Seite arbeitest (PPPoE). Damit kannst du dann auf Client Seite immer einen Namen statt einer IP Adresse eingeben !
Twlght667
Twlght667 22.01.2007 um 16:39:43 Uhr
Goto Top
Ok, das bekomme sogar ich hin ;) IP-Adresse ist auch fest.

Wie siehts da mit der Sicherheit aus? Ich meine alle reden immer über SSH, Tunneln etc.
drembisch
drembisch 22.01.2007 um 16:43:55 Uhr
Goto Top
Also, ganz so einfach ist die Lösung nicht! Aber sicher auch für Dich machbar:

Wenn' von außen nur OWA sein soll:
1. Es brauch nichts getunnelt zu werden; kein VPN.
2. KEIN Port 80 nötig! Falls über SSL (Port 443) - also die https-Variante (sicher!).
3. Du musst eine Zertifizierungsstelle auf einem W2003 einrichten - wegen SSL.
4. Port 25 muss natürlich auch offen sein face-wink

Es wäre u.U. auch wichtig, wie Dein MSX denn zu seinen Mails kommt? POP3-Sammler...
SBS oder W2003 Standard?

Gib laut, im Notfall auch per PM
Grüße
Dieter
ChristianF
ChristianF 22.01.2007 um 17:02:50 Uhr
Goto Top
Also, ganz so einfach ist die Lösung
nicht! Aber sicher auch für Dich
machbar:



Wenn' von außen nur OWA sein soll:
1. Es brauch nichts getunnelt zu werden;
kein VPN.

stimmt

2. KEIN Port 80 nötig! Falls über
SSL (Port 443) - also die https-Variante
(sicher!).

Klar, aber dafür muss man SSL einrichten, was etwas tricky ist. Wer's unsicher mag, kann auch einfach Port 80 umleiten und gut is, aber SSL ist auf jeden Fall die sicherere Variante.

3. Du musst eine Zertifizierungsstelle auf
einem W2003 einrichten - wegen SSL.

Alternativ kannst Du ein Zertifikat kaufen (zB www.thawte.com), oder Du verwendest ein Freies von z.B. cacert, denn dann sparst Du Dir die Zertifizierungsstelle in Deinem Netz, die auch das Eine oder Andere durcheinander werfen kann. Mein Tipp: CACERT verwenden. Kost nix, Du hast weniger Aufwand, und bist sicher face-smile

4. Port 25 muss natürlich auch offen
sein face-wink

Warum? Es kann doch auch sein dass er die Mails über einen Pop3 Sammler, ein VPN oder sonstwas bekommt. Dafür muss in der Firewall kein Port offen sein. Klar, der MSX muss Connections auf Port 25 akzeptieren wenn er über SMTP Mails annehmen soll, aber das heißt ja nicht, dass der Port auch in der Firewall offen sein muss. Im Gegenteil: den würde ich NUR öffnen, wenns wirklich nötig ist, damit keiner ihn als Relayschleuder benutzt.

Es wäre u.U. auch wichtig, wie Dein MSX
denn zu seinen Mails kommt? POP3-Sammler...
SBS oder W2003 Standard?


s.o. face-wink

Grüße
Christian F.
Twlght667
Twlght667 22.01.2007 um 17:14:49 Uhr
Goto Top
So, erstmal danke face-smile Das mit den Zertifikaten muss ich mir mal noch anlesen. Aber ich melde mich bestimmt nochmal ;)

Die Mails kommen direkt auf Port 25 rein, der MX-Eintrag führt direkt hier her. Die User brauchen tatsächlich nur OWA, nix anderes.
aqui
aqui 22.01.2007 um 18:38:07 Uhr
Goto Top
Richtig, hat ich im Eifer des Gefechts übersehen, sorry.
Es muss dann lediglich TCP Port 443 (HTTPS) sein. Ob SMTP TCP 25 auch eröffnet sein muss wage ich mal zu bezweifeln, denn auch das Email senden geschieht über eine HTTPS Webseite über Port 443.
TCP Port 25 (SMTP) sollte da gar nicht involviert sein. Dadurch ist dann auch dein Mailverkehr bidirektional durch die Verwendung von SSL (HTTPS) vor Mitlesen im Internet gesichert !

Als Zertifikat kannst du sicher mit dem Standardzertifikat erstmal leben. Da popt am Anfang nur eine Message hoch und du kannst das Zertifikat dann als für diese Verbindung permanent annehmen, die Message erscheint dann nicht wieder. (Jedenfalls bei Firefox face-wink )