Jump to content

Probleme mit VPN/Firewall/Exchange


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen!

 

Ich möchte zwischen folgenden beiden Rechnern eine VPN-Verbindung über das Internet aufbauen:

 

SERVER: Windows 2000 Server mit

- MS Exchange 2000 Server

- DNS, DHCP

- VPN-Server (von MS)

- NeoWatch Software Firewall

- Verbindung ins Internet über einen Router

 

WORKSTATION: Windows 2000 oder XP prof.

- Outlook 2000

- Symantec Firewall 5.1 aus dem Client Security 1.1 Paket (Port 1723 freigegeben)

 

Ist die Workstation in unser internes Firmennetz eingebunden funktioniert alles einwandfrei. Stelle ich nun über das Internet eine VPN-Verbindung zum Server her, erfolgt der Zugriff sehr, sehr langsam. Eine Verbindung zum Exchange Server wird meist mit der Meldung „Der MS Exchange Server steht zur Zeit nicht z.V.“ abgebrochen.

 

Der Versuch die VPN-Verbindung unter identischen Bedingungen mit einer Workstation ohne Symantec Firewall herzustellen klappte wiederum einwandfrei. Es scheint sich hier um ein Problem mit Firewall und VPN zu handeln.

 

Ich habe hier schon über ähnliche Probleme gelesen, leider waren die Ausgangsbedingungen immer ein bißchen anders – daher hoffe ich jetzt auf einige Anregungen.

 

Vielen Dank und einen freundl. Gruß,

 

Ulf

Link zu diesem Kommentar

Hallo Michael,

 

eine Hardware-Lösung soll bei uns im Büro demnächst installiert werden. Da die Außendienst-Mitarbeiter häufig über Wählleitungen über das Internet (per VPN) Zugang zu unseren Daten suchen, soll auf den Laptops zusätzlich eine Software-Firewall installiert sein.

 

Zur Information: Mit der XP-eigenen Firewall (installiert anstelle der oben beschriebenen Symantec Firewall) ist es ebenfalls unmöglich eine Outlook-Exchange Datensynchronisation über die VPN-Verbindung durchzuführen.

 

Die Frage ist also: Was muss ich tun, welche Ports freischalten, damit sich die Workstation (Outlook) von Exchange Server die Daten holen kann.

 

Gruß, Ulf

Link zu diesem Kommentar

Die Ports 25 und 110 sind freigegeben. POP3 / SMTP funktioniert auch - ich kann Emails von anderen Providern abholen und auch versenden. Die Verbindung zum Exchange-Server läuft aber wohl auch nicht über die Ports 110/25.

 

Erstaunlich ist ja Folgendes: Schließe ich mein Laptop in der Firma an, kann ich auf den Server zugreifen - nur von extern mit VPN Tunnel UND Firewall geht es nicht. Nur: VPN OHNE Firewall geht von extern auch. Irgendwie mögen sich Firewall und VPN Tunnel nicht.

 

Ich werde noch ein bißchen weiter suchen - für Anregungen bin ich wie immer dankbar!

 

Gruß und schönes WE,

 

Ulf

Link zu diesem Kommentar

Hallo Ulf

 

25/110 reichen nicht wirklich für eine Verbindung von Outlook und Exchange. Das betrifft reine Internet-Email und die Kommunikation von einem "echten" Outlook-Client zum Exchangeserver läuft anders (zB RPC auf Port 135). Man könnte natürlich auf die Mailkonten auch via POP3-Connector zugreifen, das muß aber im Exchange entsprechend konfiguriert werden.

 

Kannst Du auf der Firewall (Symantec kenne ich nicht und XP habe ich gerade nicht zur Hand) den gesamten IP-Bereich Deines Firmen-Netzwerkes irgendwie als trusted kennzeichnen? Dann würde die Firewall den gesamten Traffic über die VPN-Verbindung nicht mehr untersuchen und Du sparst Dir einiges an Arbeit...

 

Edelstoff

Link zu diesem Kommentar

Also mag sein das mein Gedanke falsch liegt. Aber ist bei einer Firewall zunächst nicht jeder Port dicht?

 

Also zumindest der Weg von Öffentlich --> Privat????????

 

Damit der VPN funtzt musst du min. Port 1723 (PPTP) in der Firewall öffnen. Genauso Port 25/110 für SMTP/POP3 und evtl, je nach Sicherheit im VPN weitere Ports. Auch 53 für DNS usw. usw.

 

Ich meine damit jetzt nicht die Ports im Router sondern direkt in der FIREWALL.

 

Grüße

Roland

Link zu diesem Kommentar

Doch, jeder Port sollte dicht sein. Allerdings hängt es von der Firewall ab, wie das eingestellt oder gehandhabt wird.

 

Man kann sich jetzt ein oder zwei Dutzend Regeln basteln, um die einzelnen Ports von innen nach aussen (man beachte die Richtung!!) freizuschalten. Allerdings gibts da mit dynamischen Ports Probleme, siehe Artikel 155831.

Einfacher ist es (und trotzdem sicher), wenn man den privaten IP-Bereich des Firmennetzes als vertrauenswürdig einstuft - das hält die Firewall davon ab, irgend etwas in diesem Bereich zu blocken.

 

Edelstoff

Link zu diesem Kommentar

Vielen Dank für die Antworten!

 

Der IP-Adressbereich unseres Firmennetzes ist als vertrauter Bereich eingegeben und der Port 1723 ist ebenfalls frei.

 

Wie gesagt, das Problem tritt nur in Verbindung VPN/Firewall/Exchange-Outlook auf.

 

Habe eben nochmal getestet und die Wartezeit auf den Exchange-Server im Outlook auf 120 Sek. hochgesetzt. Irgendwann kommt die Verbindung dann auch zustande und es wird mit der Synchronisation begonnen. An der Leitungsgeschwindigkeit kann es eigentlich nicht liegen (Test mit Analog, ISDN und DSL immer ähnlich langsam).

 

Wieviel mehr Daten werden denn durch die VPN-Verschlüsselung eigentlich erzeugt? Habe hier mal etwas von 10% gelesen, aber das kommt mir sehr wenig vor.

 

Gruß, Ulf

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...