Hallo zusammen,
ich weiß, das dieses Thema schon zig Mal besprochen wurde und ich habe auch bereits Stunden mit dem Durchsuchen der Astaro-Foren verbracht. Leider habe ich dennoch mein Problem nicht gelöst.
Ich habe intern im LAN einen SBS2011 mit Exchange laufen und möchte diesen per OWA aus dem Internet (via DynDNS) erreichen. Ich habe bereits mehrere SBS2011-er mit DynDNS aufgesetzt, daher weiß ich, dass DynDNS und SBS2011 definitiv funktioniert. Allerdings mit nur einer Firewall bzw. einem Router dazwischen. Auch wenn ich finde, dass es mit einer festen IP besser ist, man hat eben nicht immer die Möglichkeit dazu.
Hier mal meine Umgebung:
Internet / DSL-Anschluss: FritzBox (192.168.176.1)
Firewall: Astaro 7.511 mit 2 NICs:
1x Intern LAN (192.168.178.2) und 1x Extern WAN (192.168.176.2) (kommuniziert mit der FritzBox)
Die FritzBox hat ein Port-Forwarding aktiv:
HTTPS auf die externe NIC der Astaro (zu 192.168.176.2)
Jetzt mein Problem / meine Anforderung:
ich habe im LAN (also im 192.168.178-er Netz) einen SBS2011 inkl. Exchange aufgesetzt. Diesen Exchange möchte ich mittels OWA "von draußen" (also aus dem Internet) mit DynDNS erreichen.
Intern klappt alles bestens, ich erreiche auch den OWA über die lokale Adresse und Outlok an sich funktioniert auch.
Jetzt kommt der Haken: ich habe KEINE statische externe IP, sondern eine dynamische mittels DynDNS. Das ist an der FritzBox eingerichtet und funktioniert problemlos (den RDP-Rechner kann ich bestens erreichen). Die DynDNS-Adresse ist korrekt eingerichtet und ist auch aufzulösen.
=> Bitte jetzt keine schlauen Sprüche von wegen "hol dir ne feste IP ... blablabla" .
Ich bin bei 1&1 und da gibt es keine feste IP - fertig. Ich habe in so gut wie jedem Beitrag diesen Satz gelesen - und ja, ich finde eine feste IP auch besser - aber ich bekomme nun mal keine und werde deswegen auch nicht den Provider wechseln.
Also, weiter mit dem Problem:
ich habe in zahlreichen Beiträgen gelesen (ist ja auch logisch), dass man für OWA ein DNAT einrichten muss. Hab ich gemacht:
Sieht so aus:
TrafficSource: Any
TrafficService: HTTPS
TrafficDestination: External (Adress)
DNAT
Destination: ExchangeIntern
DestinationService: leer
PacketFilter:
Source: Any
Service: HTTPS
Destination: ExchangeIntern
Action: Allow always
=> ich habe auch bereits alle sinnvollen Varianten durch, die in dem Astaro-Dokument "How to Port Forward Service Ports with NAT" stehen. Ich kenne das Dok und habe wie gesagt bereits alle sinnvollen dort beschriebenen Szenarien durch (1 und 3). Problem ist: ich kann ja keine zusätzliche externe Adresse / IP angeben, da dies die Dyndns-IP ist.
So. Jetz das Problem:
ich komme per DynDNS-Adresse einfach nicht auf dem SBS an! Ich sehe, dass das Portforwarding von der FritzBox auf die externe NIC funktioniert (PacketFilter Log zeigt ein erfolgreiches weiterreichen bzw. durchreichen der Internet-IP an die externe NIC 192.168.176.2 auf Port 443. Danach passiert auf der Astaro nichts mehr ... zumindest nicht sichtbar. Wenn ich auf dem SBS mit Wireshark mitsniffe, sehe ich, dass definitiv keine HTTPS-Pakete von der Astaro zum Server und/oder zurück gehen. Die SBS-Firewall habe ich bereits komplett deaktiviert, und hatte auch bereits diese aktiv mit "jeder darf alles" - hat alles nichts gebracht.
Also, ich rufe auf: https://blubb.dyndns.org/owa
dann sehe ich auf der Astaro im PacketFilter-Log, dass meine "fremde" Internet-IP direkt auf 192.168.176.2 auf 443 ankommt (grün = ok). Mehr passiert nicht.
Ich würde erwarten, dass jetzt das DNAT zum Einsatz kommt, das die Pakete von der externen NIC an den SBS weitergibt ... das funktioniert offenbar aber nicht. [:(]
Weiß jemand Rat? Ich habe nun bereits 2 Tage mit Testen und Konfigurieren verbracht... habe ich einen Denkfehler irgendwo? Es muss noch ein anderes Problem vorliegen, nur ich weiß nicht mehr weiter. [:S]
Leider gibt mir kein weiteres Logfile auf der Astaro Aufschluss, was nacht der Übergabe auf die externe NIC mit den Paketen passiert, ich habe alle Logfiles durchgesehen, das sind keine Fehler zu sehen.
Ich wäre über Hilfe echt dankbar!
This thread was automatically locked due to age.
Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.
