Securepoint Support Forum

Hallo zusammen,

ich habe ein Problem mit dem Reverse-Proxy. Bisher hatten wir immer 2 Sites, eine davon Exchange. Für die Exchange Site gibt es 2 ACLs, einmal dstdomain (allow) und einmal urlpathRegex mit .*ecp -> deny (um das Admin Interface nicht übers Internet bereitzustellen). Hat bisher auch wunderbar funktioniert. Seit dem nun eine dritte Site dazugekommen ist blockt die Deny Regel jeden Zugriff aud owa, d.h. auch auf https://domain.tld/owa kann nicht zugegriffen werden (Access Denies Seite der Firewall wird angezeigt). Schalte ich die ACL aus geht es.
Woran liegt das/ was kann ich machen damit es wieder wie gewünscht funktioniert?

Hallo,
versuchen Sie doch bitte folgenden Regex:

Hiermit geben Sie frei und verbieten nicht.

Entnommen unserem Wikiartikel: https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange

Das heißt also die ACLs in einem ACL-Set sind UND-Verknüpft und müssen somit alle zutreffen damit Zugriff gewährt wird. Funktioniert so wie auf der verlinkten WIKI-Seite, Danke!
Das mein Ansatz nicht klappt heißt dann das "Verbot zieht stärker als erlauben" nicht gilt für die ACLs, sondern eher first match wins?

Die Pipes (|) sind oder-Verknüpfungen; sprich:
Lass zu: /owa oder /autodiscover oder /ews .... etc

Das habe ich nicht gemeint, ich meinte im Reverse-Proxy-Menü im Untermenü ACL-Set die einzelnen ACLs sind und-verknüpft

Ok, das habe ich missverstanden. Stimmt.

Hallo,
ich würde das Thema gerne noch mal aufgreifen. Versuche gerade ebenfalls ECP von extern zu unterbinden.

Mit dem ACL urlpath_regex 
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)

funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.
Ich musste den Ausdruck /mapi hinzufügen da Outlook sich sonst nicht von extern verbinden konnte. Nach hinzufügen war die Verbindung wieder sofort möglich nur geht zb. der Abwesenheitsassistent noch nicht.

Rein theoretisch würde mir ein urlpath_regex ausreichen der /ecp verbietet, wie müsste der Ausdruck lauten? Geht das?

MarcusM hat geschrieben:Mit dem ACL urlpath_regex 
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)

funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.

Bei uns auch so. Mit dem regex funktioniert kein externes Outlook mehr.

Gibt es es hier eine Möglichkeit?

Der Wiki Beitrag https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
funktioniert so zumindest nicht.

Versuch mal den urlpath_regex wie folgt zu beginnen: Außerdem habe ich festgestellt, dass innerhalb eines ACL-Set die destdom-Ausdrücke nicht per logischem "und",  sondern per "oder" verknüpft behandelt werden. Die destdom_regex hatten bei mir in der Vergangenheit übrigens nicht funktioniert.

Nice one!
Scheint zu funktionieren, ECP ist nicht mehr erreichbar und Outlook kann sich verbinden und auch der Abwesenheitsassisten kann gestartet werden.
Ich beobachte das weiter, falls andere Probleme auftreten, gebe ich Bescheid.

Wenn das so funktioniert sollte der Wiki Beitrag aktualisiert werden.

Vielen Dank Franz!

Könntest du die kompletten ACl Sets einmal zeigen für OWA die bei dir funktionieren? Leider klappt es bei mir auch mit -i nicht.

Klar, bei mir läuft folgender:

-i ^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)

Bisher funktioniert alles und niemand hat aufgeschriehen
Ich warte noch etwas länger ab bevor ich das dann auch bei unseren Kunden entsprechend umstelle.

Vielen Dank.
Läuft leider nicht bei uns. Sobald ich ein ACL Set damit erstelle und zuweise ist Outlook offline.

Ich habe ein ACL Set mit 3 x destdomain Einträgen und versuche dann in einem weiteren ACL Set diesen urlpath_regex Eintrag zu aktivieren. Leider ohne Erfolg.

Welche Version ist der Exchange-Server?

Exchange 2013 CU23

Ist bei dem Server "MAPI over HTTP" aktiviert worden (ist beim 2013er erst ab SP1 verfügbar und muss explizit aktiviert werden)?
Falls nicht, müsste die ACL z.B. wie folgt erweitert werden: Gruß
Franz

Danke für den Hinweis. Das scheint tatsächlich das Problem zu sein.

Ich muss hier noch einmal nachfragen:
Das ECP lässt sich zwar sperren so, aber die User können dann kein Passwort mehr ändern im OWA. Ist das bei euch auch so? Wie löst ihr das Problem?

Das ist eines der Probleme wenn man die ECP sperrt, der Abwesenheitsassistent kann dann auch nicht mehr von extern konfiguriert werden.

Gruß
Rolf