Zugriff von extern

Hallo liebes Forum.

Ich möchte (muss) meinen Zugriff von extern auf unseren E-Mail Server neu gestalten und erhoffe mir hier ein paar Anregungen, wie ich es am besten umsetzen kann. 
Unser Netzwerk besteht momentan aus einem NETGEAR ProSafe FVX538 der eine öffentliche IP-Adresse und eine interne C-Klasse IP-Adresse besitzt. Von externe nach intern sind nur Ports freigeschaltet, die für eine VPN-Verbindung benötigt werden (PPTP und IPSec). Diese Anfragen werden an einen ISA-Server 2004 weitergeleitet, der ein Bein im Klasse C Netz des Netgears als auch in einem weiteren C-Klasse Netz (unsern internes LAN) besitzt. 
Von intern gehen die Clients über den ISA-Server (Proxy) ins Internet.
Ich hoffe es ist soweit verständlich.
Der Zugriff von extern ist momentan immer nur über eine VPN-Verbindung zu unserem ISA Server möglich. Auch unsere Handys (Windows Mobil 6.5) bauen zuerst eine PPTP-Verbindung zu unserem ISA Server auf und connecten sich dann über Activesync mit unseren Exchange Server 2007. Dies funktioniert soweit auch gut. Nun haben wir aber das Problem, das Android 2.2 Handys keine VPN-Verbindung und anschließen eine ActiveSynch Verbindung herstellen können (Aussage HTC-Support), also müssen wir unseren Zugriff neu „konfigurieren“. 
Was wir gerne hätten ist ein sicherer Zugriff von diversen Handys (Android, Windows, eventuell Apple) auf unseren Exchange Server 2007, es müssen weiterhin VPN-Verbindungen über PPTP als auch über IPSec möglich sein, wünschenswert wäre OWA Zugriff von überall über https (wenn es sicher ist). Und da die Wunschtüte noch nicht voll ist wäre ein SPAM Schutz auch noch toll. 
Der ISA Server 2004 soll in diesem Zuge abgeschafft werden und durch eine Hardware Appliance Astaro ersetzt werden. 

Kann ich meinen unterschiedlichen Zugriffe von extern mit einer Astaro Hardware Appliance realisieren? 
Hat das schon jemand im Einsatz?

Vielen Dank für die Infos
  • Also, wenn ich alles richtig verstanden habe, dann ist ohne deinen ISA ein Webaccess nur noch über eine DMZ sicher möglich.
    Und die musst du dir dann erstmal bauen.
    Wenn du deinen ISA behälst, kannst du ihn dafür meines Wissens gleich benutzen.
    Aber DMZ an astaro hab ich auch noch nicht gemacht (würde mich aber auch mal interessieren, wie man das vielleicht auch ohne weitere HW machen kann!)  Big Smile .
    Du kannst verschiedene externe Zugriffe mit einer HW- Appliance realisieren:
    SSL, PPTP, IPSec
    Ich selbst hab aber nur PPTP (VPN).
    Dazu macht sich eine feste IP ganz gut oder halt über dynDNS.

    greetz
  • Hi hippo,


    Unser Netzwerk besteht momentan aus einem NETGEAR ProSafe FVX538 der eine öffentliche IP-Adresse und eine interne C-Klasse IP-Adresse besitzt. Von externe nach intern sind nur Ports freigeschaltet, die für eine VPN-Verbindung benötigt werden (PPTP und IPSec). Diese Anfragen werden an einen ISA-Server 2004 weitergeleitet, der ein Bein im Klasse C Netz des Netgears als auch in einem weiteren C-Klasse Netz (unsern internes LAN) besitzt. 

    habt ihr zwischen ProSafe und ISA noch Server stehen benötigt ihr eine DMZ?

     wünschenswert wäre OWA Zugriff von überall über https (wenn es sicher ist).

    Wenn ihr eh schon den Exchange über https zugänglich machen wollt, warum dann noch die VPN Verbindung für Active Sync?
    Die https Verbindung kann über die integrierte Web Application Security abgesichert werden (Reverse Proxy)


    Und da die Wunschtüte noch nicht voll ist wäre ein SPAM Schutz auch noch toll. 
    Der ISA Server 2004 soll in diesem Zuge abgeschafft werden und durch eine Hardware Appliance Astaro ersetzt werden. 

    Ja Spam Schutz kann man auch integrieren.

    VPN Verbindungen sind über die Astaro überhaupt kein Problem. Surfen über einen Proxy auch, sowie User abhängige Regeln, was angesurft werden darf. Und vieles mehr.

    Aus welchem Gebiet Deutschlands kommst Du?

    Grüße

    Achim
  • In reply to AchimSaur:

    Hallo,

    [HTML]
     habt ihr zwischen ProSafe und ISA noch Server stehen benötigt ihr eine DMZ?
    [/HTML]
    Nein, momentan haben wir keinen Server zwischen dem ISA und dem Netgear. Vielleicht kommt aber mal die Anforderung einer DMZ.

    [HTML]Wenn ihr eh schon den Exchange über https zugänglich machen wollt, warum dann noch die VPN Verbindung für ActiveSync?
    [/HTML]
    Die Lösung mit den VPN-Tunnel soll ja abgeschat werden. Es soll für Mobilteile eine Verbindung mit unserem Exchange Server hergestellt werden, ohne den Umweg über den VPN-Tunnel. Es muss wohl eine Zertifikat gekauft werden.

    [HTML]Die https Verbindung kann über die integrierte Web Application Security abgesichert werden (Reverse Proxy)
    [/HTML]
    OWA soll auch von au?n möglich sein, ist wohl anscheinend kein Problem.

    [HTML]Ja Spam Schutz kann man auch integrieren.
    [/HTML]
    Kann der Spamschutz so konfiguriert werden, das er erkannte E-Mails nur markiert und in das Postfach weiterleitet?

    [HTML]Aus welchem Gebiet Deutschlands kommst Du?
    [/HTML]

    Aus dem Rhein-Main Gebiet.

    Vielen Dank für die Infos.
  • In reply to hippo:

    Das Zertifikat zu kaufen ist die bessere Variante. Sind ja auch nicht teuer, braucht ja nur ein Class1.

    Ja die Spam Mails können markiert und weitergeleitet werden.

    Aus dem Rhein-Main Gebiet.

    Leider etwas ausserhalb unseres Vertriebs/Einzugsgebietes Wink

    Grüße

    Achim
  • In reply to AchimSaur:

    [HTML]Leider etwas ausserhalb unseres Vertriebs/Einzugsgebietes [/HTML]
    Das Rhein-Main Gebiet Ist immer eine Reise Wert :-)

    Die Anforderungen die ich habe sind mit einer Astaro also erreichbar?
    Oder sollte ich mich bei einem anderem Forum anmelden und meine Fragen noch mal stellen ;-)
  • In reply to hippo:

    ja ist es definitiv Smile war ich auch schon eine Weile nicht mehr.

    Anforderungen sind ohne weiteres machbar.
    Wenn gewünscht können wir auch gern ein Angebot zukommen lassen Wink natürlich nach vorherigem Abklären des seizing Big Smile

    Grüße aus dem ebenso schönen Schwabenland.

    Achim