lordnicon79
Goto Top

Iphone und Samsung Externzugriff auf internes Mailkonto ermöglichen

Hallo zusammen,

ich suche derzeit eine praktikable Lösung für den Zugriff von extern (mit Iphone/ Samsung Galaxy) auf mein internes Mailkonto (SBS2008).

Ich erkläre mal kurz mein Problem:

Es gibt derzeit die Lösung mit einer VPN-Verbindung in das interne Netz zu gelangen und dann mit dem Exchange 2007 zu Synchronisieren. (Läuft bestens!Mail und Kalender)
Nun ist es aber so, dass ich es gerne etwas einfach gestalten möchte diesen Zugriff zu erhalten und den Sicherheitsstandard so weit es geht aufrecht zu erhalten.

Ich habe schon einiges gelesen, ich möchte aber trotzdem den Vorschlägen und der Praxiserfahrung in diesem Forum lauschen.

Ich würde gerne wissen welchen Weg bzw. welche Lösung Ihr bevorzugen würdet bzw. welche Vorschläge Ihr so habt (welche Erfahrungen vielleicht auch schon bestehen!)

Vielleicht gibt es eine Möglichkeit einer Push-Funktion, oder des Abrufs über die externe feste IP Adresse etc.?
Wie könnte ich so etwas evtl. absichern? Einen Port nach Außen öffnen und fertig .. jeder darf mal ran... möchte ich gerne vermeiden .. aber wie ?


Hier einfach mal das vorhandene Handwerkzeug:

SBS2008
Firewall (mit VPN Verbindung)
Externe IP Adresse
Iphone, Tab, und Galaxy Note


Ich hoffe meine Frage verständlich gestellt zu haben... andren falls liefre ich gerne noch mehr Infos !

Vielen Dank schon mal ..

Content-Key: 207080

Url: https://administrator.de/contentid/207080

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: djfflow
djfflow 27.05.2013 um 16:12:08 Uhr
Goto Top
Hallo,

als Stichworte wären hier OWA bzw OMA mit Exchange zu nennen aber das funktioniert nur mit einer Port Freigabe.
Mitglied: Dani
Dani 27.05.2013 um 16:13:33 Uhr
Goto Top
Moin,
aber das funktioniert nur mit einer Port Freigabe.
Bessere wäre noch ein Reverse-Proxy zu nutzen. Anleitunge findest du über die Suche.


Grüße,
Dani
Mitglied: manuel1985
manuel1985 27.05.2013 um 16:19:03 Uhr
Goto Top
Ich habe mein Handy via Exchange Active Sync an meinen Exchange angebunden.
Kannst da wählen, wie du deine Nachrichten erhalten willst, ich hab Push jede Stunde im Handy eingerichtet.
benötigst ne feste IP/DynDNS o.ä. und musst Port 443 in deiner FW zum Server freigeben.
Mitglied: Pjordorf
Pjordorf 27.05.2013 um 19:30:16 Uhr
Goto Top
Hallo,

Zitat von @LordNicon79:
Mailkonto (SBS2008).
Dann nutze die Asisstenten deines SBS 2008 und beantworte die Fragen korrekt. Richte ein Portforwarduíng für TCP 443 ein /wenn nicht schon geschehen) und gut ist. Dann kannst du neben RWW sowie OWA auch OMA und natürlich Exchange ActiveSync nutzen. Dein SBS ist dafür schon vorgesehen.

Port 25 SMTP (damit dein Exchange Mails zugestellt bekommen kann)
Port 443 HTTPS
Port 987 für RWW über HTTPS

Mehr braucht es nicht. Wenn allerdings ein aufrufen von HTTP erwünscht ist (meist nicht nötig) muss natürlich auch der Port 80 geöffnet werden.

Damit kann dein Eierfon oder sonstwas dann auch am Exchange direkt angebunden werden (Läuft alles über https). Zertifikate beachten.

Gruß,
Peter
Mitglied: LordNicon79
LordNicon79 27.05.2013 um 23:42:49 Uhr
Goto Top
Boah .. ich bin baff.. das ist echt mal Hilfe pur. !

Ich habe den Server soweit, dass ich über unsere externe IP an unseren Server kann und Mails per SSL über das Iphone abrufen kann! Kalender dauert mit der Sync was länger!

Jetzt nur mal zum Verständnis.. ich bin nicht so bewandet in solchen Dingen...

Ich habe jetzt Port 443 von wan nach Server1 offen (mit SNAT). das ist doch richtig ?

Da wir allerdings auch VPN Verwenden und das ganze über port 443 Läuft, hab ich mich jetzt erstmal ausgesperrt ..

Sehe ich das jetzt richtig, dass ich am besten von aussen einen anderen Port nehme und dann in den Einstellungen des SNat einfach angebe das wenn auf port 444 etwas rein kommt, dann gib es intern an den Server1 mit port 443 weiter !?

wie sicher ist das eigendlich was ich hier so konfiguriere..? Kann man nicht über 443 irgendwie versuchen an den Server zu kommen.. ?

sorry für meine Fragen, aber man lernt ja immer dazu .. und am schnellsten durch dumme Fragen ! face-wink
Mitglied: LordNicon79
LordNicon79 28.05.2013 um 08:24:51 Uhr
Goto Top
Sooo... ich hab jetzt erstmal das VPN wieder ans Laufen gebracht und das mit den Ports etwas anders geregelt!
Wenn jetzt jemand an der ext. IP an port 444 anklopft kommt er zum Server1 port 443 (per SNAT).
Alles gut .. es läuft vorerst! Es gibt aber wie immer einen Haken an der Sache.

Erstmal meckert das Iphone bei der ersten Anfrag das der Server nicht vertrauenswürdig ist! Nehme ich da richtig an, dass es sich hier um das Zertifikat handelt, dass ich von einem öffentlichen Zertifikatsgeber beziehen und einbauen muss?

Das zweite "größere" Problem ist, ...
wenn ich mich bei uns im WLAN befinde, dann kann ich über den neuen Weg keine Mails abrufen. Erst wenn ich aus dem Wlan raus bin, dann passt es wieder ! face-sad bisher kann ich mir das aber noch nicht erklären !
Mitglied: djfflow
djfflow 28.05.2013 um 09:01:03 Uhr
Goto Top
Hallo,

klar ist es möglich wenn ein Angreifer eine Sicherheitslücke kennt, dass er den Server kompromitieren kann über den Port.

Zu 1.
Richtig das liegt am Zertifikat. Du hast 2 Möglichkeiten. 1. Dir ein "öffentliches" Zertifikat kaufen. oder 2. das bestehende Zertifikat auf den Geräten als vertrauenswürdig importieren.

Zu 2.
Das Problem liegt daran, dass du versucht aus dem internen LAN auf die externe Adresse deines Routers zuzugreifen. Wenn dein Router das nicht unterstützt gibt es Probleme. Das Stichwort hierzu fällt mir gerade nicht ein.
Mitglied: LordNicon79
LordNicon79 28.05.2013 um 10:41:05 Uhr
Goto Top
Ok .. das scheint jetzt alles zu klappen.. das ich aus dem Internen Netz nichts abrufen konnte, lag wohl an einer Policy in der Firewall. Dein Tip mit der Firewall war also Gold wert!

Ich hätte hier einfach schon mal früher fragen sollen! So viel Zeit und Nerfen ...

Also momentan scheint alles gut zu klappen! das mit dem Zertifikat habe ich erstmal mit einem eigenen gelöst!
Sollte man denn denn eins kaufen oder ist das für interne Zwecke auch so ok ?
Es dient doch nur zur authentifizierung und kontrolle für mich .. ist ja keine öffentliche Website oder so ..
Mitglied: Dani
Dani 28.05.2013 um 11:11:55 Uhr
Goto Top
Moin,
Das Stichwort hierzu fällt mir gerade nicht ein.
NAT Reflection. face-smile

Sollte man denn denn eins kaufen oder ist das für interne Zwecke auch so ok ?
Hängt davon ab, wie viel Handys noch dazukommen. Der User erhält mit deiner Lösung keine Warnung mehr, wenn jemand deine Identität clont.


Grüße,
Dani