9
Sophos und Exchamnge Handyanbindung
Hallo,
ich habe bei einem Kunden eine Sophos Sg105 und dort einen Exchange 2013 laufen!
Jetzt habe ich die Sophos folgnder Massen konfiguriert,
WAN1 hängt eine Kabel Modem (im BridgeModus) mit einer festen IPv4 mit 500 Mbit Download und 50 Mbit Upload
an WAn2 (ETh2) hängt noch der Telekom anschluss mit 16Mbit
Die Sophos macht sowohl WLAN - Managment, als auch SPX Verschlüsselung inkl. Empfang der EMAILS + Versenden, IPSEC Tunnel und zwei Sophos RED sind auch angebunden !
Alles Gut!
Nu hab ich habe das Problem, ich glaube ich habe da ein Haken im Kopf oder bin zu blöde, wenn ich ein Handy von Außen nutzen will um ebend Kalender und EMAILS auf Handy über den Exchange zu nutzen, bekomt das Handy und aich der Browser ein Time OUT!
Ich habe die Konten auf dem Handy auf die neue feste IP angepasst und es geht nicht
Ich muss doch folgendes in der Sophos in der Firewall eintragen!
external (WAN1)(Network)-> https -> Internal Mail Server (dieser wird mit 192.168.200.3 aufgelöst, auch korrekt mit Namen in Firewall)
Habt ihr Tipp wo ich was falsch mache?
ich habe bei einem Kunden eine Sophos Sg105 und dort einen Exchange 2013 laufen!
Jetzt habe ich die Sophos folgnder Massen konfiguriert,
WAN1 hängt eine Kabel Modem (im BridgeModus) mit einer festen IPv4 mit 500 Mbit Download und 50 Mbit Upload
an WAn2 (ETh2) hängt noch der Telekom anschluss mit 16Mbit
Die Sophos macht sowohl WLAN - Managment, als auch SPX Verschlüsselung inkl. Empfang der EMAILS + Versenden, IPSEC Tunnel und zwei Sophos RED sind auch angebunden !
Alles Gut!
Nu hab ich habe das Problem, ich glaube ich habe da ein Haken im Kopf oder bin zu blöde, wenn ich ein Handy von Außen nutzen will um ebend Kalender und EMAILS auf Handy über den Exchange zu nutzen, bekomt das Handy und aich der Browser ein Time OUT!
Ich habe die Konten auf dem Handy auf die neue feste IP angepasst und es geht nicht
Ich muss doch folgendes in der Sophos in der Firewall eintragen!
external (WAN1)(Network)-> https -> Internal Mail Server (dieser wird mit 192.168.200.3 aufgelöst, auch korrekt mit Namen in Firewall)
Habt ihr Tipp wo ich was falsch mache?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 383900
Url: https://administrator.de/contentid/383900
Printed on: April 23, 2024 at 17:04 o'clock
9 Comments
Latest comment
Hallo,
Und wie ist das alles konfiguriert bzw. mit dessen Exchange angebunden?
Autodiscover usw. passen alle?
nutzen, bekomt das Handy und aich der Browser ein Time OUT!
Der Benutzer darf auch?
Ist es nur eine der Regeln?
Was ist mit NAT (Network Protection - NAT - NAT)?
Was sagt das Logging der Sophos?
Wie läuft der E-Mail Empfang in der Sophos ab (Webserver Protection)?
Name@Domäne.tld
owa.domäne.tld (Oder autodiscover@domäne.tld)
Benutzer und Passwort passen?
Der Benutzer darf auch OW nutzen (im Exchange prüfen)?
Zertifikat passt auch?
Gruß,
Peter
Zitat von @Finchen961988:
Die Sophos macht sowohl WLAN - Managment, als auch SPX Verschlüsselung inkl. Empfang der EMAILS + Versenden, IPSEC Tunnel und zwei Sophos RED sind auch angebunden !
Welche Sophos Module hat denn dein Kunde dort im Einsatz?Die Sophos macht sowohl WLAN - Managment, als auch SPX Verschlüsselung inkl. Empfang der EMAILS + Versenden, IPSEC Tunnel und zwei Sophos RED sind auch angebunden !
Und wie ist das alles konfiguriert bzw. mit dessen Exchange angebunden?
Autodiscover usw. passen alle?
nutzen, bekomt das Handy und aich der Browser ein Time OUT!
Der Benutzer darf auch?
Ich habe die Konten auf dem Handy auf die neue feste IP angepasst und es geht nicht
Gibt es auch Portforwardings zur Sophos?external (WAN1)(Network)-> https -> Internal Mail Server (dieser wird mit 192.168.200.3 aufgelöst, auch korrekt mit Namen in Firewall)
Das ist von Extern zu deren Mailserver? Wo bleibt die Sophos?Ist es nur eine der Regeln?
Was ist mit NAT (Network Protection - NAT - NAT)?
Was sagt das Logging der Sophos?
Wie läuft der E-Mail Empfang in der Sophos ab (Webserver Protection)?
Name@Domäne.tld
owa.domäne.tld (Oder autodiscover@domäne.tld)
Benutzer und Passwort passen?
Der Benutzer darf auch OW nutzen (im Exchange prüfen)?
Zertifikat passt auch?
Gruß,
Peter
Naja NAT habe ich durch den Bridge Modus nicht aber autodiscover habe ich vergessen nachzugucken, nicht das da noch die alte IP drinne steht!
2018:08:20-00:07:03 firewall ulogd[32168]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="xxxxxxxxx" dstmac="xxxxxxxx" srcip="bbbbb" dstip="aaaaaa" proto="6" length="40" tos="0x00" prec="0x00" ttl="239" srcport="51780" dstport="443" tcpflags="SYN"
Ich versuch das mal zusammen zu bekommen:
- Im Handy (Mail Client) muss als Serveradresse die feste IPv4 eingetragen werden oder eben ein DNS Eintrag der diese zurück liefert.
- Für OWA muss natürlich die ganze URL genutzt werden.
- Unter Network Protection / NAT / NAT sollte deine Sophos ein Portforwarding für HTTPS auf dein WAN Interface an den Exchange (Change the destination to) haben.
- In der Firewall / Rules natürlich eine Regel die HTTPS eingehend erlaubt.
- Das mit Zertifikaten und autodiscover ist ganz nett aber müsste erstmal ohne funktionieren. Dafür muss aber ein Mail Client alle Zertifikate akzeptieren.
- Ggf. muss noch die Windows Firewall des Exchange HTTPS von außerhalb der Domäne erlauben, das ist aber glaube ich default nach einer Exchange Installation.
- Im Handy (Mail Client) muss als Serveradresse die feste IPv4 eingetragen werden oder eben ein DNS Eintrag der diese zurück liefert.
- Für OWA muss natürlich die ganze URL genutzt werden.
- Unter Network Protection / NAT / NAT sollte deine Sophos ein Portforwarding für HTTPS auf dein WAN Interface an den Exchange (Change the destination to) haben.
- In der Firewall / Rules natürlich eine Regel die HTTPS eingehend erlaubt.
- Das mit Zertifikaten und autodiscover ist ganz nett aber müsste erstmal ohne funktionieren. Dafür muss aber ein Mail Client alle Zertifikate akzeptieren.
- Ggf. muss noch die Windows Firewall des Exchange HTTPS von außerhalb der Domäne erlauben, das ist aber glaube ich default nach einer Exchange Installation.
Hallo,
Wie also ist dein WAN1 angepappt und wie dein WAN2? Das kann durchaus gemischt sein.
Gruß,
Peter
Zitat von @Finchen961988:
2018:08:20-00:07:03 firewall ulogd[32168]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="xxxxxxxxx" dstmac="xxxxxxxx" srcip="bbbbb" dstip="aaaaaa" proto="6" length="40" tos="0x00" prec="0x00" ttl="239" srcport="51780" dstport="443" tcpflags="SYN"
Hier blocked deine Sophos und zwar TCP Ziel Port 443, ob das eingehneder Traffic oder ausgehender ist, kannst nur du beurteilenda bbbbb und aaaaaa keine für uns lesbare IP darstellen. fwrule 60001 bedeutet das es eine Standard Regel ist wenn n ix mehr zutrifft.2018:08:20-00:07:03 firewall ulogd[32168]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="xxxxxxxxx" dstmac="xxxxxxxx" srcip="bbbbb" dstip="aaaaaa" proto="6" length="40" tos="0x00" prec="0x00" ttl="239" srcport="51780" dstport="443" tcpflags="SYN"
WAN1 hängt eine Kabel Modem (im BridgeModus)
Ich spreche nicht von dein externes Kabel Modem (was eh keine IP hat und auch niemals im Bridge Modus betrieben werden kann da es doch nur ein Medienwandler darstellt). Damit ist die Öffentliche IP direkt an der Sophos an WAN1 (jeder Port kann WAN sein) zur Verfügung. Ist dort eine Private IPv4 betreibst du dort einen Router und 2 hintereinander geschaltete Router bedeutet eine Routerkaskade und du musst halt teilweise doppelt alles Einstellen. Und nochmals zur Klärung. Dies "Was ist mit NAT (Network Protection - NAT - NAT)?" bezog sich auschschließlich auf deine Sophos.Wie also ist dein WAN1 angepappt und wie dein WAN2? Das kann durchaus gemischt sein.
Gruß,
Peter
Geschafft geht,
habe vergessen den ScheibeRegler für nat einzustellen!
habe vergessen den ScheibeRegler für nat einzustellen!
Hallo,
Oder aber dem NAT Eintrag sagen das er die Regel Automatisch anlegen soll.
Gruß,
Peter
Oder aber dem NAT Eintrag sagen das er die Regel Automatisch anlegen soll.
Gruß,
Peter
Genau so habe ich es auch gemacht!
Internet IPv4 ist von aussen, genutzter Servie 443 oder https zum extern WAN1 Adress
und als Ziel der internal mail server
Internet IPv4 ist von aussen, genutzter Servie 443 oder https zum extern WAN1 Adress
und als Ziel der internal mail server
Hallo,
Und wenn dann noch der haken bei Automatic Firewall Rule gesetzt wurde kann da auch kein Scheideregler bei den Firewalls vergessen werden, also redest du di ganze Zeit über bei den Schieberegler für die NAT Regel. Und wenn die nicht aktiviert ist, ist es auch essig.
Und das du Regeln definierst aber diese nicht aktivierst - das können wir ja nicht wissen, hätte dir aber beim blick ind das Log sofort auffallen bzw. einfallen müssen.
Gruß,
Peter
Und wenn dann noch der haken bei Automatic Firewall Rule gesetzt wurde kann da auch kein Scheideregler bei den Firewalls vergessen werden, also redest du di ganze Zeit über bei den Schieberegler für die NAT Regel. Und wenn die nicht aktiviert ist, ist es auch essig.
Und das du Regeln definierst aber diese nicht aktivierst - das können wir ja nicht wissen, hätte dir aber beim blick ind das Log sofort auffallen bzw. einfallen müssen.
Gruß,
Peter
