https-Zugriff auf Exchange (OWA, ActiveSync..) nicht mgl.

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

https-Zugriff auf Exchange (OWA, ActiveSync..) nicht mgl.

Beitrag von dwmf »

Hallo,

wir haben eine UTM 11.4.3.5 kurz vor der Produktivschaltung. Wir haben einen Exchange-Server und wollen von extern auf OWA bzw. OutlookAnywhere und ActiveSync zugreifen. Dazu habe ich folgende Firewall-Regel eingerichtet:
Quelle: Internet => Ziel: Exchange-Server (Netzwerkobjekt vorher angelegt) => Dienst: https
NAT-Typ: DESTNAT => Netzwerkobjekt: external-interface => Dienst: https

Also genauso, wie es unter http://wiki.securepoint.de/index.php/Ho ... terleitung beschrieben ist.
Für eingehende E-Mails habe ich entsprechend dazu ebenfalls eine Regel angelegt (identisch bis auf Ziel (= Mail-Gateway vor Exchange) und Dienst (smtp)).
Diese funktioniert auch, die https-Regel allerdings nicht (für Testzwecke hatte ich die UTM schon mal kurzzeitig an unser Netzwerk angeschlossen).

Mit unserer bisherigen Firewall funktioniert es einwandfrei, hier wird der https-Verkehr anhand einer Regel ebenfalls auf den Exchange-Server geleitet (und das erfolgreich).

Zusatz-Info: unsere externe Schnittstelle (eth0 mit Zonen "external", "firewall-external" usw.) hat zwei IP-Adressen, eine für Mails und die andere für OWA/OutlookAnywhere/ActiveSync. Nach Inbetriebnahme der Firewall ist die erste per Ping sofort aus dem Internet erreichbar (habe für das external-interface die entsprechende ICMP-Regel eingerichtet), bei der anderen (die für OWA etc.) dauert es ca. 15 Mins. Es funktioniert aber auch nicht, sobald beide IPs dann auch tatsächlich erreichbar sind.

Ich kann mir nicht erklären, wieso es nicht funktioniert. Hat hier noch jemand eine Idee, wo der Fehler liegt?
Vielen Dank!

Grüße
dwmf

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

- Verbindung kommt überhaupt nicht an der UTM an
- FW-Regel auf der UTM nicht korrekt (falsche Zonen/IPs/Netzmasken)
- Firewall auf dem Zielserver verwirft Pakete
- Default-Route auf dem Zielserver falsch

Da gibt es also mannigfaltige Fehlerquellen. Wenn Sie mit der SSH-Konsole zurechtkommen helfen zum Eingrenzen des Problems folgende Befehle:

Code: Alles auswählen

# tcpdump -i <externes-interface> -nnp port 443
# iptables -t nat -nvL PREROUTING | grep 443
# iptables -t filter -nvL FORWARD | grep <ip-des-owa>
# tcpdump -i <internes-interface> -nnp port 443

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Hallo,

vielen Dank für die schnelle Antwort!
Erik hat geschrieben:- Verbindung kommt überhaupt nicht an der UTM an
Das funktioniert, wenn ich die OWA-Website eingebe (ohne "OWA" in der URL am Ende) lande ich auf der Firewall, komme aber eben nicht weiter
Erik hat geschrieben:- FW-Regel auf der UTM nicht korrekt (falsche Zonen/IPs/Netzmasken)
habe ich genauso angelegt wie in der Doku beschrieben, Netzwerkobjekt (Exchange-Server) hat die richtige IP/Subnetzmaske und ist in der Zone internal. Wie gesagt funktioniert die Regel für den SMTP-Verkehr auch und die ist vom Prinzip her eigentlich genauso angelegt (siehe oben)
Erik hat geschrieben:- Firewall auf dem Zielserver verwirft Pakete
kann ebenfalls ausgeschlossen werden, diese hat die entsprechenden Ausnahmen (Exchange..., http/https) und bisher hat es ja auch einwandfrei funktioniert
Erik hat geschrieben:- Default-Route auf dem Zielserver falsch
Default-Route geht an die interne Schnittstelle der UTM, sprich das Default-Gateway. Auch das sollte passen.

Die Befehle auf der ssh-Konsole werde ich beim nächsten Testlauf mal ausführen.
Gibt es sonst noch etwas, was das Problem sein könnte?
Vielen Dank.

Grüße
dwmf

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

dwmf hat geschrieben:Hallo,

vielen Dank für die schnelle Antwort!
Erik hat geschrieben:- Verbindung kommt überhaupt nicht an der UTM an
Das funktioniert, wenn ich die OWA-Website eingebe (ohne "OWA" in der URL am Ende) lande ich auf der Firewall, komme aber eben nicht weiter
Dann dürfte Ihre Portweiterleitung nicht korrekt sein. Bitte stellen Sie sicher, dass die wie folgt eingerichtet ist:

Quelle: Internet
Ziel: die Interne IP des Exchange-Servers
Dienst: https

im NAT-Abschnitt müssen die Felder wie folgt gesetzt sein:

Typ: DESTNAT
NAT-Node: das EXTERNE interface
Dienst: https

Vergessen Sie nicht, danach das Regelwerk zu aktualisieren!

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Hallo,

das ist auch das, was ich daraus geschlossen habe. Das Problem ist nur: ich habe die Regel genauso wie angegeben konfiguriert (in der Doku steht es ja ebenfalls genauso drin). Trotzdem funktioniert es nicht.
Ich konnte den Fall allerdings nun in einem Testnetzwerk mit Xampp (als Webserver) nachstellen.
Wie anfangs erwähnt hat eth0 als externe Schnittstelle 2 IP-Adressen. Im Testnetzwerk konnte ich nun Versuche mit beiden IPs machen, sprich entsprechende Regel wie angegeben konfiguriert und von "extern" Xampp-Webseite unter beiden IPs aufgerufen und siehe da: es geht nur bei einer, bei der anderen (und das ist die, über die unser OWA etc. läuft) geht es nicht => man landet wieder nur auf der UTM. Obwohl sich diese Adressen ja in keinster Weise von der Konfig her unterscheiden (sind beide eth0 zugeordnet, somit sollten alle Einstellungen gleichermaßen auf beide wirken).

Nun bin ich testweise in die Netzwerkobjekte rein, zum external-interface, und habe den Radio-Button von "Adresse..." auf "Schnittstelle: eth0" geändert. Nach einem Neustart der UTM funktioniert die Weiterleitung auf die zweite IP-Adresse (OWA etc.) nun plötzlich, aber dafür die erste nicht mehr.

Das sieht für mich stark nach einem Bug aus, die Regel müsste sowohl auf die erste als auch die zweite IP-Adresse "wirken". Oder gibt es noch andere Möglichkeiten, das zu konfigurieren?

Danke und Grüße
dwmf

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Loggen Sie sich mal bitte als root auf der SSH-Konsole ein und posten den Output der folgenden Befehle:

Code: Alles auswählen

# ip a
# iptables -t nat -nvL PREROUTING
# iptables -t filter -nvL FORWARD

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

OK, danke für den Output. Die Portweiterleitungen werden immer nur für die erste IP auf der Schnittstelle geschrieben, wenn "0.0.0.0/0" im Netzwerkobjekt definiert ist. Das is eher unschön und wird in der nächsten Version gefixt. Workaround ist für den Moment, wenn sie für jede IP, die Sie extern haben, ein eigenes Netzwerkobjekt mit der Maske /32 anlegen und dieses für Portweiterleitungen verwenden.

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Vielen Dank für die Info. Habe jetzt für jede der beiden IPs ein Netzwerkobjekt (statische Schnittstelle) angelegt, mit der entsprechenden IP und deren Subnetzmaske (jeweils /24). Nun funktioniert es, danke!
Gibt es einen Release-Termin für die nächste Version?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Da habe ich noch keine Informationen. Und Legen Sie das Netzwerkobjekt mit der Maske /32 an!

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

In Ordnung, danke. Wieso ist /32 wichtig? Funktioniert hat es wie gesagt bei mir auch mit /24. Und beim Netzwerkobjekt-Erstellen kann man ja als IP-Adresse nur die vorgegebenen auswählen. Da die 2 IP-Adressen, die eth0 zugeordnet sind, beide /24 haben, muss ich dies zwangsläufig auch beim Netzwerkobjekt so auswählen.

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

So, habe nun produktiv geschalten, es funktioniert auch alles bis auf den Zugriff auf OWA/ActiveSync aus dem internen Netz heraus. Habe es schon mit vielen verschiedenen Regeln versucht, leider ohne Erfolg. Ich hätte eigentlich gedacht, dass folgende ausreichen müsste:
internal-network => Exchange-Server (Netzwerkobjekt) => https
NAT: DESTNAT => entsprechendes, externes Netzwerkobjekt über das OWA etc. auch von extern erreichbar ist => https

Was mache ich falsch, bzw. was muss ich genau einrichten, damit Server über extern aus dem internen Netzwerk heraus erreichbar sind?
Vielen Dank.

dwmf

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Ok, hat sich erledigt, habe es gefunden!

Antworten