OWA Exchange 2003 durch ISA 2004 und Watchguard Firebox

[klixer 10]

Sehr geehrte Kollegen,

 

ich stehe in meiner Firma vor folgender Problematik.

 

Ich muss eine Exchange-Synchronisation mit mehreren iPhones zustande bekommen.

 

Folgende Netzwerkstruktur liegt vor (von "außen" gesehen).

 

1. Watchguard Firebox mit öffentlicher IP (z.B. 80.x.x.x)

und Internem Interface IP 192.168.2.2

 

2. ISA-Server 2004 mit zwei Netzwerkadaptern - Externes Interface

IP 192.168.2.1 mit Gateway-IP 192.168.2.2 und Internem Interface

IP 192.168.1.166

 

3. Exchange-Server 2003 mit interner IP 192.168.1.209

 

bisherige Vorgehensweise HTTP über Port 80 zum Testen:

 

1. Mailserver-Veröffentlichungsregel auf ISA-Server erstellt

1.1 alle http-Anforderungen an Mailserver weiterleiten

1.2 Weblistener auf EXTERN gestellt

 

2. Watchguard HTTP-Inbound konfigurieren

2.1 Neue Regel Protokoll "http" from ANY-External To öffentliche IP 80.x.x.x static Route auf IP 192.168.2.1

 

Ergebnis ist sehr ernüchternd.

 

- kein Request bei Eingabe der öffentlichen IP 80.x.x.x

(Watchguard scheint nicht zu blocken)

- keine Weiterleitung vom ISA zum Exchange, wenn ich mich in das 192.168.2.x - Netz hänge

 

 

ICH BITTE UM HILFE!!!

 

Vielen Dank im Voraus und ein schönes Weihnachtsfest

 

mfg

klixer

[NorbertFe 1.798]

ICH BITTE UM HILFE!!!

 

Hilft es zu schreien? Nein? Danke fürs Abstellen.

 

Ich würde empfehlen auf der Watchguard https auf den ISA durchzulassen (ohne Filterung o.ä.). Danach kannst du dir auf ISA Server FAQ eine korrekte Exchange-Veröffentlichung mittels ISA Server anschauen.

 

Bye

Norbert

[klixer 10]

Die Hilfeschreie sind ab sofort abgestellt. Wollte nur meine Verzweiflung ausdrücken.;)

 

Das Howto hatte ich schon durchgearbeitet bevor ich mich an Euch gewandt habe. Der Weblistener scheint keine Anfragen anzunehmen bzw. zu verarbeiten. Jedenfalls wird die Anfrage nicht an den Exchange-Server weitergeleitet.

 

Der Weblistener horcht auf EXTERN. Laut Howto sollte ich in diesem Netzwerksegment (EXTERN) IP-Adressen auswählen können. Die ISA-IP's sind aber bei mir alle unter dem Netzwerksegment INTERN. Sind ja auch private IP's. Selbst wenn ich diese abhöre, komme ich nicht zum Erfolg.

 

Ich wolllte es erst mit http testen um Zertifikatsprobleme auszuschließen.

 

mfg

klixer

[BuzzeR 10]

... entsprechend die 192.168.1.166 als Standard - GW eingetragen?

 

LG

Marco

[klixer 10]

Ja hat er.

 

MfG

klixer

[Stephan Betken 43]

Die ISA-IP's sind aber bei mir alle unter dem Netzwerksegment INTERN. Sind ja auch private IP's.

Das solltest du ändern. Das Netz 192.168.2.0 ist bei dir ja nicht intern.

 

Ich bin mir sicher, dass man auf der Watchguard auch ein Logging aktivieren kann. ;)

Und wie Norbert schon schrieb solltest du https nutzen.

[NorbertFe 1.798]

Die ISA-IP's sind aber bei mir alle unter dem Netzwerksegment INTERN.

 

Und das gibt dir nicht zu denken? Wie Stephan schon schrieb, ist das dein Problem. Definiere die internen IP Kreise korrekt, dann funktioniert das auch. Private Adressen haben übrigens genau gar nix mit intern oder extern zu tun in diesem Fall.

 

Ich wolllte es erst mit http testen um Zertifikatsprobleme auszuschließen.

 

Kannst du dir sparen. Versuchs gleich mit https.

 

Bye

Norbert

[klixer 10]

Ich habe das Netzwerk 192.168.2.0 aus dem ISA-Netzwerk "Intern" herausgenommen. Danach hatte ich keinen Zugriff mehr auf das Internet vom ISA selbst und von den Clients. Ich weiß, das das funktionieren muss aber leider nicht bei der vorliegenden Konfiguration des ISA-Servers.

 

Ich denke das muß erst einmal korrekt funktionieren um mit meinem OWA-Problem weiterzuverfahren?!

 

Anbei nochmals die Netzwerkkonfiguration des ISA-Servers im Umfeld der Watchguard-Firewall, den man als Fehlerquelle ausmachen kann.

 

ISA-Server 2004 mit zwei Netzwerkadaptern:

Externes Interface: IP 192.168.2.1/24, Gateway-IP 192.168.2.2/24, DNS 192.168.2.2/24

Internes Interface: IP 192.168.1.166/24, Gateway-IP -, DNS 192.168.1.201/24

 

ISA-Konfiguration (EDGE-Firewall):

Netzwerke:

Intern 192.168.1.0-192.168.1.255, 192.168.2.0-192.168.2.255

 

Netzwerkregeln:

Default

Internetzugriff ist ein NAT von "Intern" nach "Extern"

 

IP-Adressen:

192.168.2.2 Internes Interface Watchguard Firewall

192.168.2.1 Externes Interface ISA

192.168.1.166 Internes Interface ISA

192.168.1.201 Interner DNS-Server

 

Vielleicht sollte diese Konfiguration nochmal Diskussionsgrundlage sein?!

 

mfg

klixer

[NorbertFe 1.798]

Ich habe das Netzwerk 192.168.2.0 aus dem ISA-Netzwerk "Intern" herausgenommen.

 

Also steht dort nur noch 192.168.1.0 drin?

 

Danach hatte ich keinen Zugriff mehr auf das Internet vom ISA selbst

 

Was irgendwie logisch erscheint, da das ne Firewall ist und du erstmal den Zugriff erlauben mußt. ;)

 

und von den Clients.

 

Schau ins ISA Log woran es liegt.

 

Ich weiß, das das funktionieren muss aber leider nicht bei der vorliegenden Konfiguration des ISA-Servers.

 

Und wir sollen jetzt raten?

 

 

Ich denke das muß erst einmal korrekt funktionieren um mit meinem OWA-Problem weiterzuverfahren?!

 

Da denkst du richtig. Solange dein ISA nicht weiß wo innen und aussen ist und du entsprechende Regeln nicht definiert hast, wird das nix.

 

 

ISA-Server 2004 mit zwei Netzwerkadaptern:

Externes Interface: IP 192.168.2.1/24, Gateway-IP 192.168.2.2/24, DNS 192.168.2.2/24

 

DNS hat nichts auf dem externen Interface des ISA zu suchen. Leerlassen!

 

Internes Interface: IP 192.168.1.166/24, Gateway-IP -, DNS 192.168.1.201/24

 

OK. In der Bindungsreihenfolge bitte nach ganz oben, danach dann das externe Interface.

 

 

ISA-Konfiguration (EDGE-Firewall):

Netzwerke:

Intern 192.168.1.0-192.168.1.255, 192.168.2.0-192.168.2.255

 

Sagtest du nicht, dass du das .2 rausgenommen hast?

 

Netzwerkregeln:

Default

Internetzugriff ist ein NAT von "Intern" nach "Extern"

 

Und woher weiß dein ISA wo extern ist?

 

IP-Adressen:

192.168.2.2 Internes Interface Watchguard Firewall

192.168.2.1 Externes Interface ISA

192.168.1.166 Internes Interface ISA

192.168.1.201 Interner DNS-Server

 

OK.

 

 

Bye

Norbert

[klixer 10]

Also steht dort nur noch 192.168.1.0 drin?

 

Es steht nur noch 192.168.1.0 im Netzwerksegment "Intern" drin.

 

Was irgendwie logisch erscheint, da das ne Firewall ist und du erstmal den Zugriff erlauben mußt. ;)

 

Ich habe neben dem Default-Netzwerk "Extern" , welches der ISA bei der Installation generiert hat, ein zusätzliches Externes Netzwerk "ISA-EXTERN" mit 192.168.2.0-192.168.2.255 eingerichtet. Danach habe ich 2 Netzwerkregeln eingerichtet.

 

1. "Intern" zu "ISA-EXTERN" als Route

2. "ISA-EXTERN" zu "EXTERN" als NAT

 

Weiterhin habe ich eine Zugriffsrichtlinie für "ISA-EXTERN" nach "EXTERN" generiert und ganz nach oben gestellt. Ohne Erfolg!

 

Schau ins ISA Log woran es liegt.

 

Kann nur mit dem ISA zusammenhängen.

 

Und wir sollen jetzt raten?

 

Ich hoffe wir finden gemeinsameine Lösung.

 

Da denkst du richtig. Solange dein ISA nicht weiß wo innen und aussen ist und du entsprechende Regeln nicht definiert hast, wird das nix.

 

Zugriffsregel habe ich wie oben beschrieben definiert.

 

DNS hat nichts auf dem externen Interface des ISA zu suchen. Leerlassen!

 

Habe ich herausgenommen.

 

OK. In der Bindungsreihenfolge bitte nach ganz oben, danach dann das externe Interface.

 

Das interne Interface stand schon ganz oben.

 

 

Gruß klixer

[NorbertFe 1.798]

Ich habe neben dem Default-Netzwerk "Extern" , welches der ISA bei der Installation generiert hat, ein zusätzliches Externes Netzwerk "ISA-EXTERN" mit 192.168.2.0-192.168.2.255 eingerichtet.

 

Wozu denn? Alles was nicht 192.168.1 ist ist für den ISA extern. ;)

Schmeiß das weg.

 

Danach habe ich 2 Netzwerkregeln eingerichtet.

 

1. "Intern" zu "ISA-EXTERN" als Route

2. "ISA-EXTERN" zu "EXTERN" als NAT

 

Auch weg.

 

Weiterhin habe ich eine Zugriffsrichtlinie für "ISA-EXTERN" nach "EXTERN" generiert und ganz nach oben gestellt. Ohne Erfolg!

 

Logo kein Erfolg. Ist ja auch vollkommen "verkonfiguriert".

 

Kann nur mit dem ISA zusammenhängen.

 

Eher mit dem der davor sitzt und zu konfigurieren versucht. ;)

 

 

Bye

Norbert

[klixer 10]

Ich habe alles wieder verworfen.

 

Wenn ich den Bereich 192.168.2.0-192.168.2.255 herausnehme sieht es der ISA als Externes an. Verstanden!

 

Wie gelingt mir aber dann der Zugriff von intern nach extern?

 

Zugriffsregel "Lokaler Host" nach "EXTERN" exisitiret doch bereits.

 

???

 

Gruß Klixer

[NorbertFe 1.798]

Wie gelingt mir aber dann der Zugriff von intern nach extern?

 

Die Netzwerkregel gibt es doch. Sollte heißen "Internetzugriff" ;)

 

Zugriffsregel "Lokaler Host" nach "EXTERN" exisitiret doch bereits.

 

Was willst du mir damit jetzt sagen?

 

???

 

In der Tat.

 

Bye

Norbert

[klixer 10]

Bin jetzt einen Schritt weiter.

 

Das heißt, dass er das 192.168.2.0 jetzt als externes Netzwerk "akzeptiert". Musste eine Weiterleitungsregel auf dem internen DNS auf die Watchguard setzen, da der interne DNS ja keine externe URL's auflösen kann. Eine zweite Sache war bei mir der Webblocker de Watchguard, der den Datenverkehr nichtdurchlassen wollte.

 

Wie SIe sehen eine gewachsene Struktur,die ich nicht von Anfang an betreut habe.

 

Vielen Dank erst einmal.

 

Gruß klixer

[NorbertFe 1.798]

Das heißt, dass er das 192.168.2.0 jetzt als externes Netzwerk "akzeptiert". Musste eine Weiterleitungsregel auf dem internen DNS auf die Watchguard setzen, da der interne DNS ja keine externe URL's auflösen kann.

 

OK, aber das sind Grundlagen, von denen ich ausging.

 

Eine zweite Sache war bei mir der Webblocker de Watchguard, der den Datenverkehr nichtdurchlassen wollte.

 

Man man man

https://www.mcseboard.de/post2-985525.html

Ich würde empfehlen auf der Watchguard https auf den ISA durchzulassen (ohne Filterung o.ä.).

 

Wie SIe sehen eine gewachsene Struktur,die ich nicht von Anfang an betreut habe.

 

Wir können ruhig beim du bleiben. ;)

 

Bye

Norbert