ReverseProxy und ECP

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Andre.S
Beiträge: 65
Registriert: Fr 19.06.2015, 14:24

ReverseProxy und ECP

Beitrag von Andre.S »

Hallo zusammen,

ich habe ein Problem mit dem Reverse-Proxy. Bisher hatten wir immer 2 Sites, eine davon Exchange. Für die Exchange Site gibt es 2 ACLs, einmal dstdomain (allow) und einmal urlpathRegex mit .*ecp -> deny (um das Admin Interface nicht übers Internet bereitzustellen). Hat bisher auch wunderbar funktioniert. Seit dem nun eine dritte Site dazugekommen ist blockt die Deny Regel jeden Zugriff aud owa, d.h. auch auf https://domain.tld/owa kann nicht zugegriffen werden (Access Denies Seite der Firewall wird angezeigt). Schalte ich die ACL aus geht es.
Woran liegt das/ was kann ich machen damit es wieder wie gewünscht funktioniert?

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hallo,
versuchen Sie doch bitte folgenden Regex:

Code: Alles auswählen

^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange)

Hiermit geben Sie frei und verbieten nicht.

Entnommen unserem Wikiartikel: https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Andre.S
Beiträge: 65
Registriert: Fr 19.06.2015, 14:24

Beitrag von Andre.S »

Das heißt also die ACLs in einem ACL-Set sind UND-Verknüpft und müssen somit alle zutreffen damit Zugriff gewährt wird. Funktioniert so wie auf der verlinkten WIKI-Seite, Danke!
Das mein Ansatz nicht klappt heißt dann das "Verbot zieht stärker als erlauben" nicht gilt für die ACLs, sondern eher first match wins?

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Code: Alles auswählen

^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange)
Die Pipes (|) sind oder-Verknüpfungen; sprich:
Lass zu: /owa oder /autodiscover oder /ews .... etc
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Andre.S
Beiträge: 65
Registriert: Fr 19.06.2015, 14:24

Beitrag von Andre.S »

Das habe ich nicht gemeint, ich meinte im Reverse-Proxy-Menü im Untermenü ACL-Set die einzelnen ACLs sind und-verknüpft

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Ok, das habe ich missverstanden. Stimmt.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Hallo,
ich würde das Thema gerne noch mal aufgreifen. Versuche gerade ebenfalls ECP von extern zu unterbinden.

Mit dem ACL urlpath_regex 
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)

funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.
Ich musste den Ausdruck /mapi hinzufügen da Outlook sich sonst nicht von extern verbinden konnte. Nach hinzufügen war die Verbindung wieder sofort möglich nur geht zb. der Abwesenheitsassistent noch nicht.

Rein theoretisch würde mir ein urlpath_regex ausreichen der /ecp verbietet, wie müsste der Ausdruck lauten? Geht das?

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

MarcusM hat geschrieben:Mit dem ACL urlpath_regex 
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)

funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.
Bei uns auch so. Mit dem regex funktioniert kein externes Outlook mehr.

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Gibt es es hier eine Möglichkeit?

Der Wiki Beitrag https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
funktioniert so zumindest nicht.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Versuch mal den urlpath_regex wie folgt zu beginnen:

Code: Alles auswählen

-i ^(/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|...
Außerdem habe ich festgestellt, dass innerhalb eines ACL-Set die destdom-Ausdrücke nicht per logischem "und",  sondern per "oder" verknüpft behandelt werden. Die destdom_regex hatten bei mir in der Vergangenheit übrigens nicht funktioniert.

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Nice one!
Scheint zu funktionieren, ECP ist nicht mehr erreichbar und Outlook kann sich verbinden und auch der Abwesenheitsassisten kann gestartet werden.
Ich beobachte das weiter, falls andere Probleme auftreten, gebe ich Bescheid.

Wenn das so funktioniert sollte der Wiki Beitrag aktualisiert werden.

Vielen Dank Franz!

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Könntest du die kompletten ACl Sets einmal zeigen für OWA die bei dir funktionieren? Leider klappt es bei mir auch mit -i nicht.

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Klar, bei mir läuft folgender:

-i ^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)
Bisher funktioniert alles und niemand hat aufgeschriehen :)
Ich warte noch etwas länger ab bevor ich das dann auch bei unseren Kunden entsprechend umstelle.

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Vielen Dank.
Läuft leider nicht bei uns. Sobald ich ein ACL Set damit erstelle und zuweise ist Outlook offline.

Ich habe ein ACL Set mit 3 x destdomain Einträgen und versuche dann in einem weiteren ACL Set diesen urlpath_regex Eintrag zu aktivieren. Leider ohne Erfolg.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Welche Version ist der Exchange-Server?

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Exchange 2013 CU23

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ist bei dem Server "MAPI over HTTP" aktiviert worden (ist beim 2013er erst ab SP1 verfügbar und muss explizit aktiviert werden)?
Falls nicht, müsste die ACL z.B. wie folgt erweitert werden:

Code: Alles auswählen

-i ^(/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|/rpc|/RpcWithCert|/mapi)
Gruß
Franz

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Danke für den Hinweis. Das scheint tatsächlich das Problem zu sein.

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Ich muss hier noch einmal nachfragen:
Das ECP lässt sich zwar sperren so, aber die User können dann kein Passwort mehr ändern im OWA. Ist das bei euch auch so? Wie löst ihr das Problem?

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Das ist eines der Probleme wenn man die ECP sperrt, der Abwesenheitsassistent kann dann auch nicht mehr von extern konfiguriert werden.

Gruß
Rolf

Antworten