8
Microsoft Exchange - SSLVPN und Iphone
Hallo zusammen.
Ich haben heute mal eine etwas kniffelige Fragestellung, bei der ich nicht richtig weiter komme.
Folgendes Szenario:
Der Exchange Server ist nach außen über 443 mit einem Zertifikat offen, damit das iphone eine entsprechende Synchonisation der Daten über Active Sync hinbekommt.
Desweiteren gibt es eine SSLVPN Aplliance, die dazu verwendet wurde, das User nicht direkt von außen auf das OWA zugreifen können.
Sie melden sich am SSLVPN Portal an und verbinden sich darüber.
Nun ist klar, das mit der Öffnung des OWA für das iphone Sync die Verwendung des SSLVPN etwas ad absurdum geführt wird.
Folgendes Szenario soll am Ende der Tage möglich sein:
Was meint Ihr wie wir diese Anforderung realisieren könnten?
Viele Grüße,
Tobias
Ich haben heute mal eine etwas kniffelige Fragestellung, bei der ich nicht richtig weiter komme.
Folgendes Szenario:
- Exchange Server
- SSLVPN
- Iphone
Der Exchange Server ist nach außen über 443 mit einem Zertifikat offen, damit das iphone eine entsprechende Synchonisation der Daten über Active Sync hinbekommt.
Desweiteren gibt es eine SSLVPN Aplliance, die dazu verwendet wurde, das User nicht direkt von außen auf das OWA zugreifen können.
Sie melden sich am SSLVPN Portal an und verbinden sich darüber.
Nun ist klar, das mit der Öffnung des OWA für das iphone Sync die Verwendung des SSLVPN etwas ad absurdum geführt wird.
Folgendes Szenario soll am Ende der Tage möglich sein:
- Alle User haben Zugriff auf das OWA, aber nur via SSLVPN Portal
- verschiedene User haben ein iphone und benötigen Active Sync
- Kein User kann sich von außen direkt am OWA anmelden
Was meint Ihr wie wir diese Anforderung realisieren könnten?
Viele Grüße,
Tobias
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 131327
Url: https://administrator.de/forum/microsoft-exchange-sslvpn-und-iphone-131327.html
Ausgedruckt am: 07.04.2025 um 10:04 Uhr
8 Kommentare
Neuester Kommentar
Du schaltest das OWA im Internet ab und zwingst auch die iPhone User sich erstmal per SSL VPN einzuwählen um dann zu syncen... Hat den Vorteil das die iPhone Benutzer nicht permanten Traffic im Mobilnetz erzeugen und so Kosten sparen wenn du sie im SSL VPN nach einer Zeit automatisch wieder rausschmeisst....
Alles andere wird nicht einfach...
Alles andere wird nicht einfach...
Hallo aqui.
Vielen Dank für die Rückmeldung.
Allerings ist im Zeitalter der Flatrates der Datentransfer für mich nicht wirklich relevant
Nein, im ernst. Es ist nicht zumutbar, das sich User erst irgendwo anmelden müssen bis sich ihr Tel synct.
Mir ist auch klar das es nicht ganz einfach ist.
Daher frage ich ja hier im Forum nach.
Eventuell liegt die Lösung darin, nach außen für das iphone einen virtuellen Server über 443 freizugeben, der nur das active-sync übernimmt und im Unternehmen (also zugriff über SSLVPN) einen anderen virtuellen Server auf einem anderen Port z.B. 444 auf das OWA zugreift.
Mir ist nur nicht ganz klar, wie ich nach außen active-sync ohne OWA Anmeldung freigeben kann und ob dies überhaupt möglich ist?!
Vielen Dank für die Rückmeldung.
Allerings ist im Zeitalter der Flatrates der Datentransfer für mich nicht wirklich relevant
Nein, im ernst. Es ist nicht zumutbar, das sich User erst irgendwo anmelden müssen bis sich ihr Tel synct.
Mir ist auch klar das es nicht ganz einfach ist.
Daher frage ich ja hier im Forum nach.
Eventuell liegt die Lösung darin, nach außen für das iphone einen virtuellen Server über 443 freizugeben, der nur das active-sync übernimmt und im Unternehmen (also zugriff über SSLVPN) einen anderen virtuellen Server auf einem anderen Port z.B. 444 auf das OWA zugreift.
Mir ist nur nicht ganz klar, wie ich nach außen active-sync ohne OWA Anmeldung freigeben kann und ob dies überhaupt möglich ist?!
So so Flatrate im Mobilfunknetz. Da solltest du uns mal aufklären wos denn das bitte gibt ?!! Aber nun bitte nicht die O2 Nummer !!
Dann wirds nicht einfach. Dann musst du das SSL VPN auf eine externe Appliance auslagern:
SSL-VPNs im Enterprise Umfeld
und den OWA separat betreiben. Mit Policy Based Routing oder IP ACL dann nach den Usern filtern. Das wird dann schwierig wenn die wechselnde IPs bekommen im Mobilfall.
Dann musst du dort mit Benutzerauthentifizierung arbeiten...deine einzige Chance.
Wird eine Materialschlacht aber damit könnte man es lösen !
Dann wirds nicht einfach. Dann musst du das SSL VPN auf eine externe Appliance auslagern:
SSL-VPNs im Enterprise Umfeld
und den OWA separat betreiben. Mit Policy Based Routing oder IP ACL dann nach den Usern filtern. Das wird dann schwierig wenn die wechselnde IPs bekommen im Mobilfall.
Dann musst du dort mit Benutzerauthentifizierung arbeiten...deine einzige Chance.
Wird eine Materialschlacht aber damit könnte man es lösen !
Hi aqui.
Na ja, ich will jetzt ja keine Werbung machen - aber bei T-Mobile ist im richtigen Tarif beim iphone wirklich alles drin.
Ich erhalte viele Mails und surfe auf damit unterwegs, wurde aber noch nie gedrosselt.
Der Witz - fürs gleiche Geld wie vorher für einen Vertrag mit allen Telefonkosten beinhaltet bei Vodafone haben wir nun 2 T-Mobile Verträge als Flat.
Sollte man wirklich mal durchrechnen.
Aber zurück zum Thema.
Genau so ist es ja auch. SSLVPN ist eine eigene Appliance von Sonicwall.
Diese befindet sich auch in einem eigenen Subnetz.
Daher wäre das kein Problem.
Die Frage ist allerdings, kann ich active-sync nach außen frei geben, ohne das man sich am OWA anmelden muss/kann?
Und kann ich das OWA einfach auf einen anderen virtuellen Server innerhalb des IIS umziehen, der dann intern auf einem anderen Port hört?
Na ja, ich will jetzt ja keine Werbung machen - aber bei T-Mobile ist im richtigen Tarif beim iphone wirklich alles drin.
Ich erhalte viele Mails und surfe auf damit unterwegs, wurde aber noch nie gedrosselt.
Der Witz - fürs gleiche Geld wie vorher für einen Vertrag mit allen Telefonkosten beinhaltet bei Vodafone haben wir nun 2 T-Mobile Verträge als Flat.
Sollte man wirklich mal durchrechnen.
Aber zurück zum Thema.
Genau so ist es ja auch. SSLVPN ist eine eigene Appliance von Sonicwall.
Diese befindet sich auch in einem eigenen Subnetz.
Daher wäre das kein Problem.
Die Frage ist allerdings, kann ich active-sync nach außen frei geben, ohne das man sich am OWA anmelden muss/kann?
Und kann ich das OWA einfach auf einen anderen virtuellen Server innerhalb des IIS umziehen, der dann intern auf einem anderen Port hört?
Ja, beim iPhone reicht es den MS Exchange Mail Account zu aktivieren und das wars. Der Client meldet sich dann aber selber am OWA an ohne das der iPhone benutzer das sieht. Im Hintergrund passiert genau das gleiche was man beim übers Web Login macht.
Die Frage für dich ist nur wie separierst du die iPhone Benutzer von den SSL Benutzern. GGf. musst du die in eine separate Gruppe nehmen und den nicht iPhoneren das OWA direkt am Server sperren ! Ist aber die Frage ob Winblows das kann..
Die Frage für dich ist nur wie separierst du die iPhone Benutzer von den SSL Benutzern. GGf. musst du die in eine separate Gruppe nehmen und den nicht iPhoneren das OWA direkt am Server sperren ! Ist aber die Frage ob Winblows das kann..
Das ist genau der Punkt.
Deaktiviere ich bei dem User das er sich am OWA anmelden kann, kann er dies natürlich auch nicht mehr übers das SSLVPN Portal.
Ziel ist ja das gleiche OWA. Das ist natürlich Mist.
Bekomme ich es aber hin, das bei einem Zugriff über 443 auf https://owa.domain.de das OWA nicht mit der Login Maske antwortet, active-sync aber dennoch für die iphones funktioniert?
Dann könnte ich nämlich im IIS einen 2. virtuellen Server einbinden, der das OWA halt über Port 444 zur Verfügung stellt.
Also:
1. virtueller Server = keine OWA Anmeldung, nur active sync auf 443
2. virtueller Server = OWA über SSLVPN Portal auf 444
??
Deaktiviere ich bei dem User das er sich am OWA anmelden kann, kann er dies natürlich auch nicht mehr übers das SSLVPN Portal.
Ziel ist ja das gleiche OWA. Das ist natürlich Mist.
Bekomme ich es aber hin, das bei einem Zugriff über 443 auf https://owa.domain.de das OWA nicht mit der Login Maske antwortet, active-sync aber dennoch für die iphones funktioniert?
Dann könnte ich nämlich im IIS einen 2. virtuellen Server einbinden, der das OWA halt über Port 444 zur Verfügung stellt.
Also:
1. virtueller Server = keine OWA Anmeldung, nur active sync auf 443
2. virtueller Server = OWA über SSLVPN Portal auf 444
??
Hat noch jemand eine Idee dazu?
Ich bräuchte da wirklich mal eine Denkhilfe...
Ich bräuchte da wirklich mal eine Denkhilfe...
Hi,
hat sich dazu eine Lösung ergeben?
ich müßte ebenfalls 443 für sonicwall sowie Iphone nutzen und komme mit der einrichtung nicht klar / oder hab nen brett vorm kopf...
gruß & dank
hat sich dazu eine Lösung ergeben?
ich müßte ebenfalls 443 für sonicwall sowie Iphone nutzen und komme mit der einrichtung nicht klar / oder hab nen brett vorm kopf...
gruß & dank
