ReverseProxy und ECP
Moderator: Securepoint
ReverseProxy und ECP
Hallo zusammen,
ich habe ein Problem mit dem Reverse-Proxy. Bisher hatten wir immer 2 Sites, eine davon Exchange. Für die Exchange Site gibt es 2 ACLs, einmal dstdomain (allow) und einmal urlpathRegex mit .*ecp -> deny (um das Admin Interface nicht übers Internet bereitzustellen). Hat bisher auch wunderbar funktioniert. Seit dem nun eine dritte Site dazugekommen ist blockt die Deny Regel jeden Zugriff aud owa, d.h. auch auf https://domain.tld/owa kann nicht zugegriffen werden (Access Denies Seite der Firewall wird angezeigt). Schalte ich die ACL aus geht es.
Woran liegt das/ was kann ich machen damit es wieder wie gewünscht funktioniert?
ich habe ein Problem mit dem Reverse-Proxy. Bisher hatten wir immer 2 Sites, eine davon Exchange. Für die Exchange Site gibt es 2 ACLs, einmal dstdomain (allow) und einmal urlpathRegex mit .*ecp -> deny (um das Admin Interface nicht übers Internet bereitzustellen). Hat bisher auch wunderbar funktioniert. Seit dem nun eine dritte Site dazugekommen ist blockt die Deny Regel jeden Zugriff aud owa, d.h. auch auf https://domain.tld/owa kann nicht zugegriffen werden (Access Denies Seite der Firewall wird angezeigt). Schalte ich die ACL aus geht es.
Woran liegt das/ was kann ich machen damit es wieder wie gewünscht funktioniert?
Hallo,
versuchen Sie doch bitte folgenden Regex:
Hiermit geben Sie frei und verbieten nicht.
Entnommen unserem Wikiartikel: https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
versuchen Sie doch bitte folgenden Regex:
Code: Alles auswählen
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange)
Hiermit geben Sie frei und verbieten nicht.
Entnommen unserem Wikiartikel: https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
Mit freundlichen Grüßen
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
Das heißt also die ACLs in einem ACL-Set sind UND-Verknüpft und müssen somit alle zutreffen damit Zugriff gewährt wird. Funktioniert so wie auf der verlinkten WIKI-Seite, Danke!
Das mein Ansatz nicht klappt heißt dann das "Verbot zieht stärker als erlauben" nicht gilt für die ACLs, sondern eher first match wins?
Das mein Ansatz nicht klappt heißt dann das "Verbot zieht stärker als erlauben" nicht gilt für die ACLs, sondern eher first match wins?
Code: Alles auswählen
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange)
Lass zu: /owa oder /autodiscover oder /ews .... etc
Mit freundlichen Grüßen
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
Ok, das habe ich missverstanden. Stimmt.
Mit freundlichen Grüßen
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
Hallo,
ich würde das Thema gerne noch mal aufgreifen. Versuche gerade ebenfalls ECP von extern zu unterbinden.
Mit dem ACL urlpath_regex
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)
funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.
Ich musste den Ausdruck /mapi hinzufügen da Outlook sich sonst nicht von extern verbinden konnte. Nach hinzufügen war die Verbindung wieder sofort möglich nur geht zb. der Abwesenheitsassistent noch nicht.
Rein theoretisch würde mir ein urlpath_regex ausreichen der /ecp verbietet, wie müsste der Ausdruck lauten? Geht das?
ich würde das Thema gerne noch mal aufgreifen. Versuche gerade ebenfalls ECP von extern zu unterbinden.
Mit dem ACL urlpath_regex
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)
funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.
Ich musste den Ausdruck /mapi hinzufügen da Outlook sich sonst nicht von extern verbinden konnte. Nach hinzufügen war die Verbindung wieder sofort möglich nur geht zb. der Abwesenheitsassistent noch nicht.
Rein theoretisch würde mir ein urlpath_regex ausreichen der /ecp verbietet, wie müsste der Ausdruck lauten? Geht das?
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Bei uns auch so. Mit dem regex funktioniert kein externes Outlook mehr.MarcusM hat geschrieben:Mit dem ACL urlpath_regex
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)
funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.
Gibt es es hier eine Möglichkeit?
Der Wiki Beitrag https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
funktioniert so zumindest nicht.
Der Wiki Beitrag https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
funktioniert so zumindest nicht.
Versuch mal den urlpath_regex wie folgt zu beginnen:
Außerdem habe ich festgestellt, dass innerhalb eines ACL-Set die destdom-Ausdrücke nicht per logischem "und", sondern per "oder" verknüpft behandelt werden. Die destdom_regex hatten bei mir in der Vergangenheit übrigens nicht funktioniert.
Code: Alles auswählen
-i ^(/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|...
Nice one!
Scheint zu funktionieren, ECP ist nicht mehr erreichbar und Outlook kann sich verbinden und auch der Abwesenheitsassisten kann gestartet werden.
Ich beobachte das weiter, falls andere Probleme auftreten, gebe ich Bescheid.
Wenn das so funktioniert sollte der Wiki Beitrag aktualisiert werden.
Vielen Dank Franz!
Scheint zu funktionieren, ECP ist nicht mehr erreichbar und Outlook kann sich verbinden und auch der Abwesenheitsassisten kann gestartet werden.
Ich beobachte das weiter, falls andere Probleme auftreten, gebe ich Bescheid.
Wenn das so funktioniert sollte der Wiki Beitrag aktualisiert werden.
Vielen Dank Franz!
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Könntest du die kompletten ACl Sets einmal zeigen für OWA die bei dir funktionieren? Leider klappt es bei mir auch mit -i nicht.
Klar, bei mir läuft folgender:
Ich warte noch etwas länger ab bevor ich das dann auch bei unseren Kunden entsprechend umstelle.
Bisher funktioniert alles und niemand hat aufgeschriehen-i ^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)
Ich warte noch etwas länger ab bevor ich das dann auch bei unseren Kunden entsprechend umstelle.
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Vielen Dank.
Läuft leider nicht bei uns. Sobald ich ein ACL Set damit erstelle und zuweise ist Outlook offline.
Ich habe ein ACL Set mit 3 x destdomain Einträgen und versuche dann in einem weiteren ACL Set diesen urlpath_regex Eintrag zu aktivieren. Leider ohne Erfolg.
Läuft leider nicht bei uns. Sobald ich ein ACL Set damit erstelle und zuweise ist Outlook offline.
Ich habe ein ACL Set mit 3 x destdomain Einträgen und versuche dann in einem weiteren ACL Set diesen urlpath_regex Eintrag zu aktivieren. Leider ohne Erfolg.
Welche Version ist der Exchange-Server?
Ist bei dem Server "MAPI over HTTP" aktiviert worden (ist beim 2013er erst ab SP1 verfügbar und muss explizit aktiviert werden)?
Falls nicht, müsste die ACL z.B. wie folgt erweitert werden:
Gruß
Franz
Falls nicht, müsste die ACL z.B. wie folgt erweitert werden:
Code: Alles auswählen
-i ^(/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|/rpc|/RpcWithCert|/mapi)
Franz
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Danke für den Hinweis. Das scheint tatsächlich das Problem zu sein.
-
- Beiträge: 31
- Registriert: Di 28.05.2019, 16:14
Ich muss hier noch einmal nachfragen:
Das ECP lässt sich zwar sperren so, aber die User können dann kein Passwort mehr ändern im OWA. Ist das bei euch auch so? Wie löst ihr das Problem?
Das ECP lässt sich zwar sperren so, aber die User können dann kein Passwort mehr ändern im OWA. Ist das bei euch auch so? Wie löst ihr das Problem?