Jump to content
Sign in to follow this  
ilf-s

Probleme mit VPN/Firewall/Exchange

Recommended Posts

Hallo Zusammen!

 

Ich möchte zwischen folgenden beiden Rechnern eine VPN-Verbindung über das Internet aufbauen:

 

SERVER: Windows 2000 Server mit

- MS Exchange 2000 Server

- DNS, DHCP

- VPN-Server (von MS)

- NeoWatch Software Firewall

- Verbindung ins Internet über einen Router

 

WORKSTATION: Windows 2000 oder XP prof.

- Outlook 2000

- Symantec Firewall 5.1 aus dem Client Security 1.1 Paket (Port 1723 freigegeben)

 

Ist die Workstation in unser internes Firmennetz eingebunden funktioniert alles einwandfrei. Stelle ich nun über das Internet eine VPN-Verbindung zum Server her, erfolgt der Zugriff sehr, sehr langsam. Eine Verbindung zum Exchange Server wird meist mit der Meldung „Der MS Exchange Server steht zur Zeit nicht z.V.“ abgebrochen.

 

Der Versuch die VPN-Verbindung unter identischen Bedingungen mit einer Workstation ohne Symantec Firewall herzustellen klappte wiederum einwandfrei. Es scheint sich hier um ein Problem mit Firewall und VPN zu handeln.

 

Ich habe hier schon über ähnliche Probleme gelesen, leider waren die Ausgangsbedingungen immer ein bißchen anders – daher hoffe ich jetzt auf einige Anregungen.

 

Vielen Dank und einen freundl. Gruß,

 

Ulf

Share this post


Link to post

:confused:

Soweit ich weiss zieht eine Softwarefirewall die Leitung ziemlich runter... schon mal an ne Hardwarelösung gedacht?

 

Welche Internetverbindung nutzt du denn? mit ISDN oder langsamer wirst du sowieso nicht viel Spass beim Arbeiten haben.

Share this post


Link to post

Hallo Michael,

 

eine Hardware-Lösung soll bei uns im Büro demnächst installiert werden. Da die Außendienst-Mitarbeiter häufig über Wählleitungen über das Internet (per VPN) Zugang zu unseren Daten suchen, soll auf den Laptops zusätzlich eine Software-Firewall installiert sein.

 

Zur Information: Mit der XP-eigenen Firewall (installiert anstelle der oben beschriebenen Symantec Firewall) ist es ebenfalls unmöglich eine Outlook-Exchange Datensynchronisation über die VPN-Verbindung durchzuführen.

 

Die Frage ist also: Was muss ich tun, welche Ports freischalten, damit sich die Workstation (Outlook) von Exchange Server die Daten holen kann.

 

Gruß, Ulf

Share this post


Link to post

Die Ports 25 und 110 sind freigegeben. POP3 / SMTP funktioniert auch - ich kann Emails von anderen Providern abholen und auch versenden. Die Verbindung zum Exchange-Server läuft aber wohl auch nicht über die Ports 110/25.

 

Erstaunlich ist ja Folgendes: Schließe ich mein Laptop in der Firma an, kann ich auf den Server zugreifen - nur von extern mit VPN Tunnel UND Firewall geht es nicht. Nur: VPN OHNE Firewall geht von extern auch. Irgendwie mögen sich Firewall und VPN Tunnel nicht.

 

Ich werde noch ein bißchen weiter suchen - für Anregungen bin ich wie immer dankbar!

 

Gruß und schönes WE,

 

Ulf

Share this post


Link to post

Hallo Ulf

 

25/110 reichen nicht wirklich für eine Verbindung von Outlook und Exchange. Das betrifft reine Internet-Email und die Kommunikation von einem "echten" Outlook-Client zum Exchangeserver läuft anders (zB RPC auf Port 135). Man könnte natürlich auf die Mailkonten auch via POP3-Connector zugreifen, das muß aber im Exchange entsprechend konfiguriert werden.

 

Kannst Du auf der Firewall (Symantec kenne ich nicht und XP habe ich gerade nicht zur Hand) den gesamten IP-Bereich Deines Firmen-Netzwerkes irgendwie als trusted kennzeichnen? Dann würde die Firewall den gesamten Traffic über die VPN-Verbindung nicht mehr untersuchen und Du sparst Dir einiges an Arbeit...

 

Edelstoff

Share this post


Link to post

Also mag sein das mein Gedanke falsch liegt. Aber ist bei einer Firewall zunächst nicht jeder Port dicht?

 

Also zumindest der Weg von Öffentlich --> Privat????????

 

Damit der VPN funtzt musst du min. Port 1723 (PPTP) in der Firewall öffnen. Genauso Port 25/110 für SMTP/POP3 und evtl, je nach Sicherheit im VPN weitere Ports. Auch 53 für DNS usw. usw.

 

Ich meine damit jetzt nicht die Ports im Router sondern direkt in der FIREWALL.

 

Grüße

Roland

Share this post


Link to post

Doch, jeder Port sollte dicht sein. Allerdings hängt es von der Firewall ab, wie das eingestellt oder gehandhabt wird.

 

Man kann sich jetzt ein oder zwei Dutzend Regeln basteln, um die einzelnen Ports von innen nach aussen (man beachte die Richtung!!) freizuschalten. Allerdings gibts da mit dynamischen Ports Probleme, siehe Artikel 155831.

Einfacher ist es (und trotzdem sicher), wenn man den privaten IP-Bereich des Firmennetzes als vertrauenswürdig einstuft - das hält die Firewall davon ab, irgend etwas in diesem Bereich zu blocken.

 

Edelstoff

Share this post


Link to post

Vielen Dank für die Antworten!

 

Der IP-Adressbereich unseres Firmennetzes ist als vertrauter Bereich eingegeben und der Port 1723 ist ebenfalls frei.

 

Wie gesagt, das Problem tritt nur in Verbindung VPN/Firewall/Exchange-Outlook auf.

 

Habe eben nochmal getestet und die Wartezeit auf den Exchange-Server im Outlook auf 120 Sek. hochgesetzt. Irgendwann kommt die Verbindung dann auch zustande und es wird mit der Synchronisation begonnen. An der Leitungsgeschwindigkeit kann es eigentlich nicht liegen (Test mit Analog, ISDN und DSL immer ähnlich langsam).

 

Wieviel mehr Daten werden denn durch die VPN-Verschlüsselung eigentlich erzeugt? Habe hier mal etwas von 10% gelesen, aber das kommt mir sehr wenig vor.

 

Gruß, Ulf

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...