Wie OWA nur aus dem internen Netz heraus verfügbar machen!?

[monstermania 53]

Moin,

wir haben unseren neuen Exchange jetzt so weit konfiguriert.

Öffentl. SS-Zertifikat und Split-DNS eingerichtet und läuft. Active-Sync läuft und OWA ist intern und extern über https://webmail.test.de/owa erreichbar.

 

Nun kommt von der GF die Vorgabe, dass OWA generell von extern nicht erreichbar sein soll.  

Mein Hinweis darauf, dass OWA ja eh für die meisten User nicht freigeschaltet ist, interessiert nicht. OWA soll von extern generell nicht erreichbar sein. D.H, wenn ein MA von extern https://webmail.test.de/owa aufruft, soll keinesfalls die OWA-Startseite angezeigt werden! Dass soll nur funktionieren, wenn der User sich im internen Netzt befindet (z.B. per VPN).

 

Wie kann ich das realisieren? Evtl. über IP-Einschränkungen im IIS?

 

Gruß

Dirk

[testperson 1.523]

Hi,

 

ob du da was am IIS drehen kannst, kann ich dir nicht sagen. Ansonsten wärst du (bzw. die GF) jetzt an dem Punkt angekommen über einen Reverse Proxy nachzudenken ;)

 

Gruß

Jan

[monstermania 53]

Reverse Proxy-Möglichkeit wäre vorhanden. Unsere UTM bietet diese Möglichkeit auch an, aber lt. Supportforum des UTM-Herstellers gibt es immer wieder massive Probleme mit Active-Sync und einzelnen Geräten in Verbindung mit einem Reverse-Proxy. Da funktionieren dann keine iPhones...  :(

[Nobbyaushb 1.352]

Dann veröffentliche das halt nicht über die FW.

 

Allerdings geht dann auch kein EAS oder OA, da dort die gleichen URL verwendet werden.

 

Du kannst allerdings OWA per User Zulassen oder nicht, das gilt dann natürlich auch intern.

 

;)

[testperson 1.523]

Hi,

 

dann ist das aber ein Problem der Sophos UTM.. Du musst theoretisch an der UTM, sofern möglich, "/owa" verbieten.

 

Gruß

Jan

[DocData 85]

Dein Vorhaben lässt sich mittels Reverse Proxy realisieren. Wenn das mit eurer UTM nicht geht, dann muss ein alternatives Produkt her. Wenn das der GF nicht passt, dann kann die GF als Entscheidungsträger zwischen den Alternativen "Neuer Reverse Proxy" und "OWA ist extern erreichbar" auswählen. Ist total einfach.

[NorbertFe 1.798]

Sophos utm kann das problemlos, musst ja nur den erlaubten Pfad weiterleiten. Mehr hat die utm dann nicht zu tun.

[Squire 210]

Kann ich bestätigen ... mit der Sophos UTM funktioniert ActiveSync problemlos (hat eure die aktuelle Firmware?)

[Dukel 436]

Reverse Proxy-Möglichkeit wäre vorhanden. Unsere UTM bietet diese Möglichkeit auch an, aber lt. Supportforum des UTM-Herstellers gibt es immer wieder massive Probleme mit Active-Sync und einzelnen Geräten in Verbindung mit einem Reverse-Proxy. Da funktionieren dann keine iPhones...  :(

 

Wie veröffentlichst du aktuell Owa? Da man dies explizit machen muss musst du das eben für OWA Rückgänig machen.

[NorbertFe 1.798]

SSL NAT auf Exchange. ;)

[Doso 77]

Einfach HTTP/HTTPS nicht an eurer Firewall freigeben. Geht dann halt auch ActiveSync und Outlook Anywhere nicht mehr.

[testperson 1.523]

Hier wäre sogar das entsprechende Whitepaper: https://sophserv.sophos.com/repo_kb/120454/file/Configuring%20UTM%20firewall%20for%20Exchange.pdf

Einfach im Abschnitt c) Outlook WebApp ignorieren ;)

[monstermania 53]

@All

Danke für die Hinweise bezüglich des Einsatzes eines Reverse-Proxy's. Wir setzten eine Securepoint UTM ein, die ebenfalls die Möglichkeit für einen Reverse-Proxy bietet. Das Thema werde ich demnächst mal gemeinsam mit unserem FW Dienstleister angehen.

 

Hier nun eine Lösungsmöglichkeit direkt über den Exchange bzw. den IIS um OWA nur im internen Netzt verfügbar zu machen.

1. Auf dem Server der OWA bereitstellt die IIS Rolle "IP- und Domäneneinschränkungen" installieren

2. IIS-Manager starten und das VZ OWA aufrufen

3. In den Features zu OWA den punkt "Einschränkungen für IP-Adressen und Domänen" auswählen

4. Nun in den Aktionen den Punkt "Zulassungseintrag hinzufügen..." auswählen. Hier nun alle gewünschten Netzwerke hinzufügen, die weiterhin zugriff auf OWA haben sollen (Zulassen).

5. Damit die obigen Einstellungen greifen, unter Aktionen den Punkt "Featureeinstellungen bearbeiten..." auswählen. Hier die Option für "Zugriff für nicht angegebene Clients:" auf "Verweigern" umstellen.

 

Nun können nur noch Clients, die aus den definierten IP-Ausnahme-Bereichen kommen auf OWA zugreifen.

 

Gruß

Dirk

 

[NorbertFe 1.798]

Ist aber "Pfusch", wenn man ne utm hat. Denn man landet ja technisch erstmal auf dem Exchange.

[Sunny61 772]

Wir setzten eine Securepoint UTM ein,

Setzen schreibt man mit einem t. Setzten ist die Vergangenheitsform, dann sind zwei t korrekt. Nicht böse sein, aber das wird zu oft falsch geschrieben. ;)

 

 

Hier nun eine Lösungsmöglichkeit direkt über den Exchange bzw. den IIS um OWA nur im internen Netzt verfügbar zu machen.

Netz schreibt man auch nur mit einem t.

 

1. Auf dem Server der OWA bereitstellt die IIS Rolle "IP- und Domäneneinschränkungen" installieren

2. IIS-Manager starten und das VZ OWA aufrufen

3. In den Features zu OWA den punkt "Einschränkungen für IP-Adressen und Domänen" auswählen

4. Nun in den Aktionen den Punkt "Zulassungseintrag hinzufügen..." auswählen. Hier nun alle gewünschten Netzwerke hinzufügen, die weiterhin zugriff auf OWA haben sollen (Zulassen).

5. Damit die obigen Einstellungen greifen, unter Aktionen den Punkt "Featureeinstellungen bearbeiten..." auswählen. Hier die Option für "Zugriff für nicht angegebene Clients:" auf "Verweigern" umstellen.

 

Nun können nur noch Clients, die aus den definierten IP-Ausnahme-Bereichen kommen auf OWA zugreifen.

Und in den erlaubten Netzen trägst Du dann jedes WLAN oder Heimnetz vom GF ein, der ruft dich um 22 Uhr an und kann nicht auf OWA zugreifen. Das möchte ich nicht machen, Du doch auch nicht, oder? ;)