4
SBS 2011 - OWA kann per WAF (Firewall) nicht erreicht werden
Hallo zusammen,
ich habe ein Problem mit einem SBS 2011 Server, in Verbindung mit einer Sophos XG Firewall.
Es ist gewünscht, dass OWA/ActiveSync von außen "WWW" erreichbar ist.
Hierzu habe ich ein SSl Zertifikat in der Sophos XG Firewall eingespielt und eine WAF Regel erstellt. In der WAF Regel werden die generellen Exchange Sites an den Webserver/Exchange Server (SBS2011) weitergegeben.
###
Nun zum Problem:
- Wenn ich eine DNAT Regel erstelle, welche die Ports an den Exchange Server weitergibt, kann die OWA Seite korrekt aufgerufen werden.
- Sobald ich aber die Business Regel aktiviere, in der die Web Application Firewall Regel greift, kann ich nicht mehr auf die OWA Seite zugreifen und es kommt zur folgenden Fehlermeldung (siehe Anhang "Fehler_WAF").
im Browser ist zu sehen, dass das richtige Zertifikat, welches in der Firewall eingespielt ist verwendet wird, aber der Zugriff eben nicht funktioniert.
Nun ist es so, dass WAF ähnlich wie ein Proxy fungiert und versucht mit der eigenen IP der Sophos, auf das OWA des Exchange/Web Servers zuzugreifen.
Diese Konstellation habe ich schon mehrfach ohne Probleme konfiguriert, allerdings nicht in Verbindung mit einem SBS2011 Server. Hat jemand Erfahrung, ob hier in irgend eine Einstellung ein Strich durch die Rechnung macht?
Muss hier der Zugriff der Firewall auf den SBS (IIS Verzeichnisse) gezielt freigegeben werden?
Danke euch im Voraus.
Grüße Philipp
ich habe ein Problem mit einem SBS 2011 Server, in Verbindung mit einer Sophos XG Firewall.
Es ist gewünscht, dass OWA/ActiveSync von außen "WWW" erreichbar ist.
Hierzu habe ich ein SSl Zertifikat in der Sophos XG Firewall eingespielt und eine WAF Regel erstellt. In der WAF Regel werden die generellen Exchange Sites an den Webserver/Exchange Server (SBS2011) weitergegeben.
###
Nun zum Problem:
- Wenn ich eine DNAT Regel erstelle, welche die Ports an den Exchange Server weitergibt, kann die OWA Seite korrekt aufgerufen werden.
- Sobald ich aber die Business Regel aktiviere, in der die Web Application Firewall Regel greift, kann ich nicht mehr auf die OWA Seite zugreifen und es kommt zur folgenden Fehlermeldung (siehe Anhang "Fehler_WAF").
im Browser ist zu sehen, dass das richtige Zertifikat, welches in der Firewall eingespielt ist verwendet wird, aber der Zugriff eben nicht funktioniert.
Nun ist es so, dass WAF ähnlich wie ein Proxy fungiert und versucht mit der eigenen IP der Sophos, auf das OWA des Exchange/Web Servers zuzugreifen.
Diese Konstellation habe ich schon mehrfach ohne Probleme konfiguriert, allerdings nicht in Verbindung mit einem SBS2011 Server. Hat jemand Erfahrung, ob hier in irgend eine Einstellung ein Strich durch die Rechnung macht?
Muss hier der Zugriff der Firewall auf den SBS (IIS Verzeichnisse) gezielt freigegeben werden?
Danke euch im Voraus.
Grüße Philipp
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 386248
Url: https://administrator.de/contentid/386248
Printed on: April 18, 2024 at 18:04 o'clock
4 Comments
Latest comment
Moin...
Hierzu habe ich ein SSl Zertifikat in der Sophos XG Firewall eingespielt und eine WAF Regel erstellt. In der WAF Regel werden die generellen Exchange Sites an den Webserver/Exchange Server (SBS2011) weitergegeben.
###
Nun zum Problem:
- Wenn ich eine DNAT Regel erstelle, welche die Ports an den Exchange Server weitergibt, kann die OWA Seite korrekt aufgerufen werden.
ok.... dann ist im exchange 2010 in der regel alles richtig eingerichtet
- Sobald ich aber die Business Regel aktiviere, in der die Web Application Firewall Regel greift, kann ich nicht mehr auf die OWA Seite zugreifen und es kommt zur folgenden Fehlermeldung (siehe Anhang "Fehler_WAF").
dann dein dein WAF Proxy nicht richtig eingerichtet!
was für ein Zertifikat? selbst signiert?
ist autodiscover richtig eingerichtet? split DNS?
wie wird die Business Regel angewand... als IP Adresse oder FQDN ?
im Browser ist zu sehen, dass das richtige Zertifikat, welches in der Firewall eingespielt ist verwendet wird, aber der Zugriff eben nicht funktioniert.
Nun ist es so, dass WAF ähnlich wie ein Proxy fungiert und versucht mit der eigenen IP der Sophos, auf das OWA des Exchange/Web Servers zuzugreifen.
Diese Konstellation habe ich schon mehrfach ohne Probleme konfiguriert, allerdings nicht in Verbindung mit einem SBS2011 Server. Hat jemand Erfahrung, ob hier in irgend eine Einstellung ein Strich durch die Rechnung macht?
Muss hier der Zugriff der Firewall auf den SBS (IIS Verzeichnisse) gezielt freigegeben werden?
nein... das ist eigentlich eine normaler exchange 2010... ich hoffe doch schon mirt SP3... usw..
Danke euch im Voraus.
Grüße Philipp
Frank
Zitat von @Gerber:
Hallo zusammen,
ich habe ein Problem mit einem SBS 2011 Server, in Verbindung mit einer Sophos XG Firewall.
Es ist gewünscht, dass OWA/ActiveSync von außen "WWW" erreichbar ist.
du meinst sicher HTTPS...Hallo zusammen,
ich habe ein Problem mit einem SBS 2011 Server, in Verbindung mit einer Sophos XG Firewall.
Es ist gewünscht, dass OWA/ActiveSync von außen "WWW" erreichbar ist.
Hierzu habe ich ein SSl Zertifikat in der Sophos XG Firewall eingespielt und eine WAF Regel erstellt. In der WAF Regel werden die generellen Exchange Sites an den Webserver/Exchange Server (SBS2011) weitergegeben.
###
Nun zum Problem:
- Wenn ich eine DNAT Regel erstelle, welche die Ports an den Exchange Server weitergibt, kann die OWA Seite korrekt aufgerufen werden.
- Sobald ich aber die Business Regel aktiviere, in der die Web Application Firewall Regel greift, kann ich nicht mehr auf die OWA Seite zugreifen und es kommt zur folgenden Fehlermeldung (siehe Anhang "Fehler_WAF").
was für ein Zertifikat? selbst signiert?
ist autodiscover richtig eingerichtet? split DNS?
wie wird die Business Regel angewand... als IP Adresse oder FQDN ?
im Browser ist zu sehen, dass das richtige Zertifikat, welches in der Firewall eingespielt ist verwendet wird, aber der Zugriff eben nicht funktioniert.
Nun ist es so, dass WAF ähnlich wie ein Proxy fungiert und versucht mit der eigenen IP der Sophos, auf das OWA des Exchange/Web Servers zuzugreifen.
Diese Konstellation habe ich schon mehrfach ohne Probleme konfiguriert, allerdings nicht in Verbindung mit einem SBS2011 Server. Hat jemand Erfahrung, ob hier in irgend eine Einstellung ein Strich durch die Rechnung macht?
Muss hier der Zugriff der Firewall auf den SBS (IIS Verzeichnisse) gezielt freigegeben werden?
Danke euch im Voraus.
Grüße Philipp
Hi Frank,
danke dir vorweg für die Antwort und die Hilfe.
Genau
Sehr gut...
Im Normalfall sollte die WAF Regel korrekt konfiguriert sein.
Nein, es wird kein selbst signiertes Zertifikat verwendet. Ein Zertifikat von Thawte wird benutzt.
Autodiscover läuft. Allerdings hängt Autodiscover zunächst nichts mit dem Aufruf der URL zusammen ... Dies sollte ohne Probleme auch mit einem nicht funktionierenden Autodiscover funktionieren.
Die Regel wird auf einen Host angewandt, welcher auf die IP Adresse des Exchange/SBS Servers zeigt.
Der gleiche Host wird auch in der DNAT Regel verwendet...
Genau... Service Pack 3 ist installiert. Version 14.3 Build 123.4
Grüße Philipp
danke dir vorweg für die Antwort und die Hilfe.
du meinst sicher HTTPS...
Genau
ok.... dann ist im exchange 2010 in der regel alles richtig eingerichtet
Sehr gut...
dann dein dein WAF Proxy nicht richtig eingerichtet!
was für ein Zertifikat? selbst signiert?
ist autodiscover richtig eingerichtet? split DNS?
wie wird die Business Regel angewand... als IP Adresse oder FQDN ?
was für ein Zertifikat? selbst signiert?
ist autodiscover richtig eingerichtet? split DNS?
wie wird die Business Regel angewand... als IP Adresse oder FQDN ?
Im Normalfall sollte die WAF Regel korrekt konfiguriert sein.
Nein, es wird kein selbst signiertes Zertifikat verwendet. Ein Zertifikat von Thawte wird benutzt.
Autodiscover läuft. Allerdings hängt Autodiscover zunächst nichts mit dem Aufruf der URL zusammen ... Dies sollte ohne Probleme auch mit einem nicht funktionierenden Autodiscover funktionieren.
Die Regel wird auf einen Host angewandt, welcher auf die IP Adresse des Exchange/SBS Servers zeigt.
Der gleiche Host wird auch in der DNAT Regel verwendet...
nein... das ist eigentlich eine normaler exchange 2010... ich hoffe doch schon mirt SP3... usw..
Genau... Service Pack 3 ist installiert. Version 14.3 Build 123.4
Grüße Philipp
Hat sonst noch jemand eine Idee, oder ein hilfreichen TIpp? :D
Heute hatte ich mich nochmals etwas mit der Firewall auseinander gesetzt und den Fehler gefunden.
Der Fehler lag nicht an der Konfiguration des Exchange Servers oder der Firewall, sondern an der Firmware der Firewall.
Ich hatte vor einigen Tagen die neuste Firmware auf der XG installiert und habe die Nachricht bekommen, dass man täglich den VPN "IPSEC Site to Site" händisch neu aufbauen muss.
Trotz korrekten Einstellungen wurde der Tunnel nie automatisch aufgebaut. Deswegen habe ich beschlossen, die XG Firewall mit der alten Firmware zu starten. Siehe da der IPSec Tunnel wird wieder automatisch aufgebaut und die WAF Regel funktioniert einwandfrei.
Grüße Phil
Der Fehler lag nicht an der Konfiguration des Exchange Servers oder der Firewall, sondern an der Firmware der Firewall.
Ich hatte vor einigen Tagen die neuste Firmware auf der XG installiert und habe die Nachricht bekommen, dass man täglich den VPN "IPSEC Site to Site" händisch neu aufbauen muss.
Trotz korrekten Einstellungen wurde der Tunnel nie automatisch aufgebaut. Deswegen habe ich beschlossen, die XG Firewall mit der alten Firmware zu starten. Siehe da der IPSec Tunnel wird wieder automatisch aufgebaut und die WAF Regel funktioniert einwandfrei.
Grüße Phil
