phoenixz
Goto Top

Nur aus interner IP mit iPhone keine Verbindung mit Exchange ActiveSync

Konfiguration: SBS2011 mit Exchange und ActiveSync


Hallo zusammen,

im Zusammenhang mit der Erneuerung von Zertifikaten haben nun unsere Mitarbeiter mit dem iPhone keine Verbindung mehr zu Exchange. Der Server hat intern die 192.168.2.20. Wenn die Iphones über das interne WLAN-Netz 192.168.2.0 versuchen, eine Verbindung herzustellen, klappt es nicht ("Die Verbindung ist fehlgeschlagen"). Sobald sich die Handys in ein anderes Netz einbuchen (z.B. externes 3G), klappt die Verbindung reibungslos.

Am Router sollte es m.E. nicht liegen, da eine ausgeschaltete Firewall dort keine Besserung bringt. Die WLAN-Access Points wurden nicht umkonfiguriert. Bleibt nach meiner Einschätzung bloß noch die Firewall des SBS2011. Habe sie zwar vorhin testweise ausgeschaltet, allerdings bringt diese Maßnahme auch keine Besserung (ist hier ggf. der Neustart eines Dienstes notwendig???).

Hat jemand eine Idee, wo ich weitersuchen könnte?

Danke im Voraus und liebe Grüße
Pino

Content-ID: 207791

Url: https://administrator.de/contentid/207791

Ausgedruckt am: 25.11.2024 um 08:11 Uhr

Dani
Dani 10.06.2013 um 19:41:21 Uhr
Goto Top
Moin Pino,
das Zauberwort heißt "NAT Reflection" und muss dein Router / Firewall können. Ansonsten müsstest im DNS-Servers des SBSs eine Zone für deine externe Domain anlegen und als A-Record 192.168.2.20. anlegen.


Grüße,
Dani
Pjordorf
Pjordorf 10.06.2013 um 21:41:41 Uhr
Goto Top
Hallo,

Zitat von @phoenixz:
Am Router sollte es m.E. nicht liegen
Aber genau dort ist dein Problem. Neben dem von @Dani genannten NAT Reflection wird dieses auch Hairpin NAT oder NAT Hairpinning genannt was einige Router eben nicht beherschen oder sauber umsetzen. Ausserdem sollten externe Zugänge nie von intern aus getestet werden. Warum? Siehe deine Frageface-smile

Warum Hairpin? Schau dir eine Haarnadel mal an.face-smile

Gruß,
Peter
aqui
aqui 11.06.2013 um 09:00:23 Uhr
Goto Top
Na ja die Frage ist ja ob er von intern auf die externe IP zugreift ?! Leider ist die Beschreibung des TOs da etwas oberflächlich.
Wenn er die interne IP des Exchange verwenden würde dürfte es fehlerfrei klappen.
Nutzt er die externe ist es zu 99,9% eben dieses Hairpin NAT Problem.
Damit er überhaupt weiss was das ist hier die genaue Erklärung:
http://wiki.mikrotik.com/wiki/Hairpin_NAT

Das dein Router/Firewall das nicht kann ist eher ein Hinweis auf billige Schrotthardware oder... eine Fehlkonfiguration das NAT Refelction nicht aktiviert wurde.
Zum Rest ist ja schon alles gesagt worden...

Bleibt nur noch
Wie kann ich einen Beitrag als gelöst markieren?
phoenixz
phoenixz 11.06.2013 um 20:25:07 Uhr
Goto Top
Hallo zusammen,

vielen herzlichen Dank für eure Hinweise. In der Theorie ist mir dieses Problem durchaus bekannt. Was ich allerdings nicht verstehe, ist, warum das Hairpin NAT-Problem erst nach der Erneuerung eines Serverzertifikates auftritt, nachdem es drei Jahre lang beanstandungslos funktioniert hat. Lernt der Router hinzu?

Es stimmt übrigens, dass eine Exchange-Verbindung tatsächlich zustande kommt, wenn im Smartphone als Mailserver die interne IP des Exchange angegeben wird. Zumindest scheint das Problem nun eingegrenzt zu sein.

Zwar kenne ich mich mit NAT und Routern nicht besonders gut aus, aber auf der Grundlage der von aqui dankenswerterweise genannten wiki-Quelle habe ich versucht, unseren Lancom1723-Router (das ich jetzt nicht wirklich als Schrottware bezeichnen würde) entsprechend einzustellen. Dennoch kommt die Verbindung nicht zustande...

Kennt sich zufälliger weise jemand mit dem Lancom N:N-NAT aus?