9
Iphone---WLAN----Exchange ...funktioniert nicht
Hallo zusammen,
folgens Problemchen. Wir haben bei uns im Unternehmen nun WLAN. Das WLAN wird mit zwei SSID's ausgestrahlt.
SSID Extern ---> VLAN 100 Nur Internet
SSID Intern ---> VLAN 200 Internet und Netzwerkzugriff
VLAN 100 bekommt von der FW einen eigenen IP Kreis und wird ins Internet durchgeschleift. (192.168.50.xxx)
VLAN 200 bekommt vom WIN DHCP den normalen internen IP Pool (192.168.40.xxx)
VLAN 200 funktioniert einwandfrei. Netzwerkzugriff, Outlook und Internet ist möglich.
VLAN 100 ist das Problem...Internet funktioniert einwandfrei aber auf den Exchange kann vom Internet nicht zugegriffen werden.
Wenn sich das Iphone über UMTS verbindet funktioniert jedoch die Verbindung zum Exchange.
Wo also kann da das Problem liegen? WIe kann ich vorgehen?!
folgens Problemchen. Wir haben bei uns im Unternehmen nun WLAN. Das WLAN wird mit zwei SSID's ausgestrahlt.
SSID Extern ---> VLAN 100 Nur Internet
SSID Intern ---> VLAN 200 Internet und Netzwerkzugriff
VLAN 100 bekommt von der FW einen eigenen IP Kreis und wird ins Internet durchgeschleift. (192.168.50.xxx)
VLAN 200 bekommt vom WIN DHCP den normalen internen IP Pool (192.168.40.xxx)
VLAN 200 funktioniert einwandfrei. Netzwerkzugriff, Outlook und Internet ist möglich.
VLAN 100 ist das Problem...Internet funktioniert einwandfrei aber auf den Exchange kann vom Internet nicht zugegriffen werden.
Wenn sich das Iphone über UMTS verbindet funktioniert jedoch die Verbindung zum Exchange.
Wo also kann da das Problem liegen? WIe kann ich vorgehen?!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204313
Url: https://administrator.de/contentid/204313
Ausgedruckt am: 24.11.2024 um 22:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
das wird daran liegen, dass Eure Firewall/Router das, mir ist gerade der richtige Begriff entfallen, "Backrouting" nicht hinbekommt. Sprich das iPhone versucht mail.firma.de zu erreichen, dieser Name wird vom DNS mit Eurer öffentlichen IP beantwortet, dann stellt die Firewall/der Router aber fest: "Moment, das bin ich selbst! Häh? Was soll ich jetzt tun?".
Möglichkeit 1: Die Rückroute in der Firewall/im Router konfigurieren, sofern möglich
Möglichkeit 2: Dem DNS-Server, sollte es ein interner sein, dazu bringen mit der internen IP des Exchange zu antworten.
Gruß
Marcus
das wird daran liegen, dass Eure Firewall/Router das, mir ist gerade der richtige Begriff entfallen, "Backrouting" nicht hinbekommt. Sprich das iPhone versucht mail.firma.de zu erreichen, dieser Name wird vom DNS mit Eurer öffentlichen IP beantwortet, dann stellt die Firewall/der Router aber fest: "Moment, das bin ich selbst! Häh? Was soll ich jetzt tun?".
Möglichkeit 1: Die Rückroute in der Firewall/im Router konfigurieren, sofern möglich
Möglichkeit 2: Dem DNS-Server, sollte es ein interner sein, dazu bringen mit der internen IP des Exchange zu antworten.
Gruß
Marcus
Hier der Tipp vom Laien: NAT loopback heisst die Kiste ...
LG, Thomas
LG, Thomas
Zitat von @keine-ahnung:
> Zitat von @Onitnarat:
> ----
> mir ist gerade der richtige Begriff entfallen
Hier der Tipp vom Laien: NAT loopback heisst die Kiste ...
LG, Thomas
> Zitat von @Onitnarat:
> ----
> mir ist gerade der richtige Begriff entfallen
Hier der Tipp vom Laien: NAT loopback heisst die Kiste ...
LG, Thomas
Danke, ja das ist es!
Was trage ich genau beim DNS Manager wie ein? Kann mir da einer helfen?
Forward Lookupzone ist jetzt entsprechend eingetragen. Ich habe herausgefunden, dass wenn der Proxy-Eintrag im Iphone die Verbindung zum internen Exchange verhindert. Aber wie kann man es einstellen, dass es trotz Proxy geht?! Hmmm knifflig.
Wenn du einen guten Firewall Admin hast ist das alles unsinnig.
Vom Inetrnet soll ja vermutlich NICHT auf den internen Exchange zugegriffen werden können oder ?
In so fern würdest du damit ja eine Firewall Regel aushebeln über das VLAN 100, denn das ist ja wohl primär für Gäste gedacht oder private Mitarbeitergeräte ?!
Wenn du dennoch auch von extern Zugriff aufs Exchange hast, dann hast du ein Haipin NAT Problem:
http://wiki.mikrotik.com/wiki/Hairpin_NAT
Das musst du dann in der Firewall oder im Router oder was auch immer du zum VLAN Internet Routing benutzt (darüber lässt du uns ja leider nur im Dunkeln raten und spekulieren...) entsprechend customizen.
Wenn du Pech hast supportet das Gerät sowas nicht, dann hast du erstmal ein ganz anderes Problem !
Vom Inetrnet soll ja vermutlich NICHT auf den internen Exchange zugegriffen werden können oder ?
In so fern würdest du damit ja eine Firewall Regel aushebeln über das VLAN 100, denn das ist ja wohl primär für Gäste gedacht oder private Mitarbeitergeräte ?!
Wenn du dennoch auch von extern Zugriff aufs Exchange hast, dann hast du ein Haipin NAT Problem:
http://wiki.mikrotik.com/wiki/Hairpin_NAT
Das musst du dann in der Firewall oder im Router oder was auch immer du zum VLAN Internet Routing benutzt (darüber lässt du uns ja leider nur im Dunkeln raten und spekulieren...) entsprechend customizen.
Wenn du Pech hast supportet das Gerät sowas nicht, dann hast du erstmal ein ganz anderes Problem !
Oh das ist jetzt noch kniffliger.
Also ich erkläre es einfach:
Wir habene ine Securepoint 10 Zonenfirewall.
Die Daten vom VLAN 100 laufen vom WLAN Switch in den normalen Switch und ist somit im normalen internen Netzwerk. Einstellungen mussten keine getroffen werden.
die Daten vom VLAN 200 laufen in eine eth03 Schnittstelle der Firewall. Darin gibt es eine Regel, die besagt, dass alles was in die eth03 Schnittstelle läuft eine IP Adresse vom Firewall DHCP bekommt und direkt ins Internet durchgeschliffen wird.
Die AP's (NWR 1121) und Wlan--Switchs (GS1910) sind von Zyxel.
Also ich erkläre es einfach:
Wir habene ine Securepoint 10 Zonenfirewall.
Die Daten vom VLAN 100 laufen vom WLAN Switch in den normalen Switch und ist somit im normalen internen Netzwerk. Einstellungen mussten keine getroffen werden.
die Daten vom VLAN 200 laufen in eine eth03 Schnittstelle der Firewall. Darin gibt es eine Regel, die besagt, dass alles was in die eth03 Schnittstelle läuft eine IP Adresse vom Firewall DHCP bekommt und direkt ins Internet durchgeschliffen wird.
Die AP's (NWR 1121) und Wlan--Switchs (GS1910) sind von Zyxel.
Entscheident ist einzig und allein nur der Punkt WO diese beiden Netze ins Internet geroutet werden bzw. WO genau das NAT (Adress Translation) auf die Provider Internet IP gemacht wird !!
Denn dort (und nur dort) greift das Hairpin NAT wie der Name schon selber sagt, sofern das denn überhaupt dein "Problem" ist und nicht eine saubere Firewall Regel des FW Admins ?!
Natürlich sofern der Exchange Zugriff von außen aus dem Internet generell verboten ist.
Leider hast du dich auch dazu nicht geäußert !
Denn dort (und nur dort) greift das Hairpin NAT wie der Name schon selber sagt, sofern das denn überhaupt dein "Problem" ist und nicht eine saubere Firewall Regel des FW Admins ?!
Natürlich sofern der Exchange Zugriff von außen aus dem Internet generell verboten ist.
Leider hast du dich auch dazu nicht geäußert !
Die Netzverbindung und das Routing wird in der Firewall geregelt. Der Exchange Zugriff ist von außen nicht verboten und soll von beiden Netzen aus zugreifbar sein. Was Ihr alles wissen müsst :D
