knusperkekz
Goto Top

Push Nachrichten über VPN on Demand??

Hallo,

das Problem ist das man die E-Mails entweder Manuell "abholen" muss oder einen Zeitintervall von 15 oder 30min setzen muss damit die E-Mails abgerufen werden! Der nachteil ist hoher Datenvolumen + Akku verbrauch!

Gibt es vllt. einen Port den man "öffnen" kann für Push/Pull benachritigungen der dem Handy sagt, es gibt eine neue E-Mail, jetzt kannst du den VPN aufbauen und die E-Mail abholen?!

Hoffe man kann mein anliegen verstehen face-wink

Gruß

Content-ID: 251573

Url: https://administrator.de/forum/push-nachrichten-ueber-vpn-on-demand-251573.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

wiesi200
wiesi200 10.10.2014 um 16:15:08 Uhr
Goto Top
Hallo,

Deine Infos sind sehr sehr spährlich.
Aber schon mal mit ActiveSync und OutlookAnyware befasst.
KnusperKekz
KnusperKekz 10.10.2014 um 17:44:36 Uhr
Goto Top
Hi,

Danke für die Antwort

ich wollte auch ungern zu viele Infos vorweg nennen, aber es geht zB. hier um eine anbindung vom iPhone zum Exchange Server 2010 über VPN mit OutlookAnyware!

Dieser Weg funktioniert auch wunderbar wenn man die E-Mails alle 15/30 Min. abruft oder Manuell abruft aber der Akku wird sehr beansprucht und die Mobile Daten auch!

Nur der VPN ist nicht dauerhaft eingeschaltet nur beim Abruf der E-Mails oder beim Intervall von 15/30 Min!

Am besten ist es wenn der dafür kein VPN aufbauen muss um zu wissen das es eine neue Mail gibt oder nicht ohne den 443 Port nach außen zu öffnen!
wiesi200
wiesi200 10.10.2014 um 17:54:21 Uhr
Goto Top
So kann man aber nicht vernünftig helfen und oben schreibst du ob sowas funktioniert wenn man einen Port öffnet.

Warum willst du https nicht nach außen schalten?
Pjordorf
Pjordorf 10.10.2014 aktualisiert um 19:47:37 Uhr
Goto Top
Hallo,

Zitat von @KnusperKekz:
Am besten ist es wenn der dafür kein VPN aufbauen muss um zu wissen das es eine neue Mail gibt oder nicht ohne den 443 Port nach außen zu öffnen!
Dann trage deiner Sekretärin auf alle 5 Min nach deiner Post zu sehen und im falle das dort was neues ist, dir eine SMS schickt oder dich Anruft und dir sagt das du jetzt Post abholen kannst.

Im Ernst, für diesen zweck hat die Welt das Active Sync erfunden. Und ja, es muss irgendwo auch ein Port geöffnet werden, hier der 443, oder halt VPN genutzt werden.

Entschiede dich für
a - Sekretärin
b - VPN
c - Active Sync
d - nix neumodisches und keine geöffneten Ports

BTW. Für VPN machst du doch auch Ports auf. Sind die sicherer?

Gruß,
Peter

PS: Du kannst dich ja mal nach "VPN on Demand" für dein Eierfon umschauen. Ob das einfacher, simpler, preiswerter, weniger komplex kommt ....
exchange
exchange 12.10.2014 um 01:52:19 Uhr
Goto Top
Hallo,
setz einen Apache als Reverse Proxy in die DMZ und dann von da aus an den Exchange Server. Dann benötigst Du für das Active Sync kein VPN mehr.

Gruß
wiesi200
wiesi200 12.10.2014 um 08:12:28 Uhr
Goto Top
Squid würde sich da mehr empfehlen.

Der Apache hat meines Wissens nach probleme mit Outlook Anyware
exchange
exchange 12.10.2014 um 11:37:36 Uhr
Goto Top
Zitat von @wiesi200:

Squid würde sich da mehr empfehlen.

Der Apache hat meines Wissens nach probleme mit Outlook Anyware

Jep. Outlook Anywhere oder früher RPC over http gehen NICHT. Meines Wissens waren die Pakete zu groß und Apache hat da irgendwas abgeschnitten.

Ich gehe davon aus, dass der jenige ein erhöhtes Sicherheitsbedürfnis hat. Daher würde ich das Outlook Anywhere weiterhin über VPN laufen lassen. Dank DirectAccess sollte das ja kein Problem darstellen.

Gruß
wiesi200
wiesi200 12.10.2014 um 11:54:46 Uhr
Goto Top
Zitat von @exchange:

> Zitat von @wiesi200:
>
> Squid würde sich da mehr empfehlen.
>
> Der Apache hat meines Wissens nach probleme mit Outlook Anyware

Jep. Outlook Anywhere oder früher RPC over http gehen NICHT. Meines Wissens waren die Pakete zu groß und Apache hat da
irgendwas abgeschnitten.

Ich gehe davon aus, dass der jenige ein erhöhtes Sicherheitsbedürfnis hat. Daher würde ich das Outlook Anywhere
weiterhin über VPN laufen lassen. Dank DirectAccess sollte das ja kein Problem darstellen.

Gruß

Wie kommst du jetzt auf direct access? Dafür braucht man doch schon mal IPv6 auf der WAN Seite.

Und Active Sync durchschalten aber wegen Sicherheit Outlook Anyware blockieren passt meiner Meinung nach gedanklich nicht so zusammen.
exchange
exchange 12.10.2014 um 12:07:09 Uhr
Goto Top
Hi,
seit 2012 hat sich auch am DA was getan. Du benötigst aber immer noch 2 externe IP Adressen.
Ich kann mich schwach dran erinnern: eine für die Aushandlung und die andere für den eigentlichen Tunnel. Ist schon was länger her.

Mit dem Outlook Anywhere war nur eine Idee, da ja schon für Active Sync VPN genutzt wurde.

Gruß
Dani
Dani 12.10.2014 um 21:07:47 Uhr
Goto Top
@wiesi200
Wie kommst du jetzt auf direct access? Dafür braucht man doch schon mal IPv6 auf der WAN Seite.
Auf welche DirectAccess-Verson beziehst du deine Aussage?

@exchange
seit 2012 hat sich auch am DA was getan. Du benötigst aber immer noch 2 externe IP Adressen.
Auch das stimmt nicht. Seit 2012(R2) reicht eine Adresse. Dazu kommt DirectAccess ist nur Windows 7/8 möglich. iPhone & Co scheiden aus.
Dazu kommt, es mussten zwei aufeinanderfolgenden öffentliche IP-Adressen.

Jep. Outlook Anywhere oder früher RPC over http gehen NICHT. Meines Wissens waren die Pakete zu groß und Apache hat da irgendwas abgeschnitten.
Bitte daran denken, dass mit Exchange 2013 und Outlook 2013 MAPI over HTTPs möglich ist. Bin allerdings noch nicht zum Testen gekommen.


Gruß,
Dani
exchange
exchange 14.10.2014 um 01:03:26 Uhr
Goto Top
Soll ja kein DA Thread werden aber doch noch ganz kurz face-smile

@Dani
Hast Du das mit einer IP Adresse am laufen? Vor gut 2 Monaten war ich noch auf einer Schulung für den 2012 (R2) und da wurde das immer noch gesagt, 2 IP Adressen und das aufeinanderfolgend. Im Technet steht es auch noch drin:
http://technet.microsoft.com/en-us/library/jj134148.aspx

Zitat: The DirectAccess server requires two consecutive public IPv4 addresses so that it can act as a Teredo server and Windows-based clients can use the DirectAccess server to detect the type of NAT device that they are behind.

Bin bisher selbst noch nicht zum ausprobieren gekommen - leider ;)

@KnusperKekz
Problem gelöst, Lösungsansätze gefunden?

Gruß
Dani
Dani 14.10.2014 um 21:06:20 Uhr
Goto Top
@exchange
Ich habe vor einigen Wochen dazu einen Kommentar verfasst, find ihn aber nicht mehr. face-sad

Ich beziehe mich auf einen Blogartikel eines PFE:
The coolest part of this whole thing (I think) is that we no longer need the two external public IPv4 addresses we did in Windows 2008 R2 DA.
Dazu kommt ja auch noch, dass DA hinter NAT voll untestützt wird. Somit hast du meistens nur eine IP-Adresse. In seinem Fall nutzt er sogar DynDNS, weil er keine Feste IP-Adresse hat.


Gruß,
Dani
wiesi200
wiesi200 14.10.2014 um 21:12:41 Uhr
Goto Top
Zitat von @Dani:

@wiesi200
> Wie kommst du jetzt auf direct access? Dafür braucht man doch schon mal IPv6 auf der WAN Seite.
Auf welche DirectAccess-Verson beziehst du deine Aussage?

Eigentlich auf keine explizit, hatte das nur so im Hinterkopf.

Bei uns ist Außendienst nicht das große Thema, seit dem ich durch deinen Ansatz mit Squid den Exchange relativ sauber durchgeschalten habe brauch ich hauptsächlich noch VPN als Site-To-Site Verbindungen für die Außenstellen und für mich selbst. Somit spielt es auch nicht die Rolle für mich.
KnusperKekz
KnusperKekz 15.10.2014 um 16:54:25 Uhr
Goto Top
Erstmal ein großes Danke für diese beteiligung hier face-smile

Zitat von @wiesi200:

So kann man aber nicht vernünftig helfen und oben schreibst du ob sowas funktioniert wenn man einen Port öffnet.

Warum willst du https nicht nach außen schalten?

Aufgrund der Sicherheit!


Zitat von @exchange:

Hallo,
setz einen Apache als Reverse Proxy in die DMZ und dann von da aus an den Exchange Server. Dann benötigst Du für das
Active Sync kein VPN mehr.

Gruß

VPN würden wir dennoch gern einsetzen!

Zitat von @Pjordorf:

BTW. Für VPN machst du doch auch Ports auf. Sind die sicherer?

Gruß,
Peter

PS: Du kannst dich ja mal nach "VPN on Demand" für dein Eierfon umschauen. Ob das einfacher, simpler, preiswerter,
weniger komplex kommt ....

VPN würde ich als sichererer einstufen, da es eine Hürde mehr ist um auf die OWA zuzugreifen!

und VPN on Demand ist bereits im Betrieb, es funktioniert auch wunderbar nur ich wurde angesprochen ob es vllt. eine Funktion gibt wie oben beschrieben ?!

Zitat von @Dani:

Dazu kommt ja auch noch, dass DA hinter NAT voll untestützt wird. Somit hast du meistens nur eine IP-Adresse. In seinem Fall
nutzt er sogar DynDNS, weil er keine Feste IP-Adresse hat.

Nein, feste IP´s

und das mit DA kommt glaub ich auch nicht in frage!

Zitat von @exchange:

@KnusperKekz
Problem gelöst, Lösungsansätze gefunden?

Gruß

Leider noch nichts 100% wie ich mir das vorgestellt habe, aber finde es gut das hier viel Diskutiert wird!

Es kann auch sein das es utopisch ist so einen Weg zu finden?!


Also wenn man direkt ohne VPN verbunden ist, hängt das iPhone Quasi immer 24/7 am Exchange und Prüft ob es ein änderung gibt, wenn es die gibt ruft er das Postfach ab!

Sobald VPN on Demand im Spiel ist, muss man dem iPhone sagen, das alle 15/30 min geprüft werden muss ob was neues da ist! (Funktioniert auch aber hoher Akku verbrauch)

Lösungsvorschlag was es sicherlich nicht gibt! Der Exchange Server schickt Bsp. auf einen Server der extern erreichbar ist eine Datei die sich vom Inhalt von 0 auf 1 ändert sobald sich was im Postfach tut ?!
Demnach weiß das Handy nun = OK, neue E-Mail ich baue nun den VPN auf und rufe die E-Mail ab!
Dani
Dani 15.10.2014 um 19:38:44 Uhr
Goto Top
Moin,
Aufgrund der Sicherheit!
Ist nicht dein Ernst. Wird milllionfach eingesetzt und bei richtiger Archtitekur und keinen einfachen Kennwörtern passiert auch nichts.

VPN würde ich als sichererer einstufen, da es eine Hürde mehr ist um auf die OWA zuzugreifen!
Sicherer? Weiß ich nicht. Es ist eine Hürde mehr um an OWA heranzukommen. Wenn PPTP eingesetzt wird, kannst es auch bleiben lassen.

Nein, feste IP´s
War eigentlich auf den Blogartikelschreiber bezogen. face-wink


Gruß,
Dani
KnusperKekz
KnusperKekz 15.10.2014 um 21:38:53 Uhr
Goto Top
Zitat von @Dani:

Moin,
> Aufgrund der Sicherheit!
Ist nicht dein Ernst. Wird milllionfach eingesetzt und bei richtiger Archtitekur und keinen einfachen Kennwörtern passiert
auch nichts.

Hmm, also wenn die Kennwörter gespeichert sind mit dem Schlüsselbund ist das ja meist kein großes Hindernis mehr an das PW ranzukommen!
Oder im Mail Konto !

> VPN würde ich als sichererer einstufen, da es eine Hürde mehr ist um auf die OWA zuzugreifen!
Sicherer? Weiß ich nicht. Es ist eine Hürde mehr um an OWA heranzukommen. Wenn PPTP eingesetzt wird, kannst es auch
bleiben lassen.

PPTP mit VPN on Demand ??
Geht eigentlich nur mit Zertifikaten/IPSec !
wiesi200
wiesi200 16.10.2014 um 06:53:04 Uhr
Goto Top
Zitat von @KnusperKekz:

> Zitat von @Dani:
>
> Moin,
> > Aufgrund der Sicherheit!
> Ist nicht dein Ernst. Wird milllionfach eingesetzt und bei richtiger Archtitekur und keinen einfachen Kennwörtern
passiert
> auch nichts.
>
Hmm, also wenn die Kennwörter gespeichert sind mit dem Schlüsselbund ist das ja meist kein großes Hindernis mehr
an das PW ranzukommen!
Oder im Mail Konto !

Deswegen, einführen das das Passwort regelmäßig geändert werden muss und gewisse Richtlinien dafür hinterlegen.
Das ist meiner Meinung nach ein größeres Sicherheitsproblem.
KnusperKekz
KnusperKekz 16.10.2014 aktualisiert um 10:05:08 Uhr
Goto Top
>
Deswegen, einführen das das Passwort regelmäßig geändert werden muss und gewisse Richtlinien dafür
hinterlegen.
Das ist meiner Meinung nach ein größeres Sicherheitsproblem.

wohl wahr face-wink