Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Andre.S
Themen-Autor
Beiträge: 61
Registriert: Fr 19.06.2015, 14:24

ReverseProxy und ECP

Mo 20.05.2019, 08:09

Hallo zusammen,

ich habe ein Problem mit dem Reverse-Proxy. Bisher hatten wir immer 2 Sites, eine davon Exchange. Für die Exchange Site gibt es 2 ACLs, einmal dstdomain (allow) und einmal urlpathRegex mit .*ecp -> deny (um das Admin Interface nicht übers Internet bereitzustellen). Hat bisher auch wunderbar funktioniert. Seit dem nun eine dritte Site dazugekommen ist blockt die Deny Regel jeden Zugriff aud owa, d.h. auch auf https://domain.tld/owa kann nicht zugegriffen werden (Access Denies Seite der Firewall wird angezeigt). Schalte ich die ACL aus geht es.
Woran liegt das/ was kann ich machen damit es wieder wie gewünscht funktioniert?
 
Benutzeravatar
David
Securepoint
Beiträge: 400
Registriert: Di 09.02.2016, 14:01

Re: ReverseProxy und ECP

Mo 20.05.2019, 08:42

Hallo,
versuchen Sie doch bitte folgenden Regex:

^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange)



Hiermit geben Sie frei und verbieten nicht.

Entnommen unserem Wikiartikel: https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
Mit freundlichen Grüßen

David Gundermann
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
 
Andre.S
Themen-Autor
Beiträge: 61
Registriert: Fr 19.06.2015, 14:24

Re: ReverseProxy und ECP

Mo 20.05.2019, 13:44

Das heißt also die ACLs in einem ACL-Set sind UND-Verknüpft und müssen somit alle zutreffen damit Zugriff gewährt wird. Funktioniert so wie auf der verlinkten WIKI-Seite, Danke!
Das mein Ansatz nicht klappt heißt dann das "Verbot zieht stärker als erlauben" nicht gilt für die ACLs, sondern eher first match wins?
 
Benutzeravatar
David
Securepoint
Beiträge: 400
Registriert: Di 09.02.2016, 14:01

Re: ReverseProxy und ECP

Mo 20.05.2019, 14:08

^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange)

Die Pipes (|) sind oder-Verknüpfungen; sprich:
Lass zu: /owa oder /autodiscover oder /ews .... etc
Mit freundlichen Grüßen

David Gundermann
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
 
Andre.S
Themen-Autor
Beiträge: 61
Registriert: Fr 19.06.2015, 14:24

Re: ReverseProxy und ECP

Mo 20.05.2019, 15:42

Das habe ich nicht gemeint, ich meinte im Reverse-Proxy-Menü im Untermenü ACL-Set die einzelnen ACLs sind und-verknüpft
 
Benutzeravatar
David
Securepoint
Beiträge: 400
Registriert: Di 09.02.2016, 14:01

Re: ReverseProxy und ECP

Di 21.05.2019, 17:57

Ok, das habe ich missverstanden. Stimmt.
Mit freundlichen Grüßen

David Gundermann
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
 
Benutzeravatar
MarcusM
Beiträge: 36
Registriert: Fr 30.06.2017, 14:09

Re: ReverseProxy und ECP

Mo 11.05.2020, 11:46

Hallo,
ich würde das Thema gerne noch mal aufgreifen. Versuche gerade ebenfalls ECP von extern zu unterbinden.

Mit dem ACL urlpath_regex 
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)

funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.
Ich musste den Ausdruck /mapi hinzufügen da Outlook sich sonst nicht von extern verbinden konnte. Nach hinzufügen war die Verbindung wieder sofort möglich nur geht zb. der Abwesenheitsassistent noch nicht.

Rein theoretisch würde mir ein urlpath_regex ausreichen der /ecp verbietet, wie müsste der Ausdruck lauten? Geht das?
 
wufservice
Beiträge: 8
Registriert: Di 28.05.2019, 16:14

Re: ReverseProxy und ECP

Di 12.05.2020, 16:04

MarcusM hat geschrieben:
Mit dem ACL urlpath_regex 
^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)

funktioniert es zwar prinzipiell, nur scheint autodiscover nicht vollständig durch zu gehen.

Bei uns auch so. Mit dem regex funktioniert kein externes Outlook mehr.
 
Benutzeravatar
MarcusM
Beiträge: 36
Registriert: Fr 30.06.2017, 14:09

Re: ReverseProxy und ECP

Mi 20.05.2020, 10:15

Gibt es es hier eine Möglichkeit?

Der Wiki Beitrag https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange
funktioniert so zumindest nicht.
 
Franz
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: ReverseProxy und ECP

Sa 23.05.2020, 14:36

Versuch mal den urlpath_regex wie folgt zu beginnen:
-i ^(/autodiscover|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|...


Außerdem habe ich festgestellt, dass innerhalb eines ACL-Set die destdom-Ausdrücke nicht per logischem "und",  sondern per "oder" verknüpft behandelt werden. Die destdom_regex hatten bei mir in der Vergangenheit übrigens nicht funktioniert.
 
Benutzeravatar
MarcusM
Beiträge: 36
Registriert: Fr 30.06.2017, 14:09

Re: ReverseProxy und ECP

Mo 25.05.2020, 10:04

Nice one!
Scheint zu funktionieren, ECP ist nicht mehr erreichbar und Outlook kann sich verbinden und auch der Abwesenheitsassisten kann gestartet werden.
Ich beobachte das weiter, falls andere Probleme auftreten, gebe ich Bescheid.

Wenn das so funktioniert sollte der Wiki Beitrag aktualisiert werden.

Vielen Dank Franz!
 
wufservice
Beiträge: 8
Registriert: Di 28.05.2019, 16:14

Re: ReverseProxy und ECP

Gestern, 11:12

Könntest du die kompletten ACl Sets einmal zeigen für OWA die bei dir funktionieren? Leider klappt es bei mir auch mit -i nicht.
 
Benutzeravatar
MarcusM
Beiträge: 36
Registriert: Fr 30.06.2017, 14:09

Re: ReverseProxy und ECP

Gestern, 14:44

Klar, bei mir läuft folgender:


-i ^(/owa|/autodiscover|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange|/mapi)

Bisher funktioniert alles und niemand hat aufgeschriehen :)
Ich warte noch etwas länger ab bevor ich das dann auch bei unseren Kunden entsprechend umstelle.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 26 Gäste