Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG 18.5.1: Webserver und Exchange mit 1 öffentlicher IP und einem Zertifikat für alles veröffentlichen

Stefan Falk

Guten Tag allerseits!

Wir haben ein Veröffentlichungs-Problem mit einer XG:

- Es gibt (nur) ein einziges offizielles Zertifikat für autodiscover, exchange und www (das enthält also alle Namen).

- Wir müssen darüber Exchange (da haben wir SMTP und Outlook Anywhere zum Funktionieren bekommen) und eine interne Website veröffentlichen - über dieselbe öffentliche IP und mit demselben Zertifikat.

Exchange tut, aber die Website bekommen wir nicht "dazu" konfiguriert. Ich kann eine DNAT-Regel immer nur für entweder die Exchange- oder die www-Maschine erstellen, und es "gewinnt" immer die oberste. Außerdem scheint es die Sophos nicht zu interessieren, ob ich in einer Webveröffentlichung nur die Domains übrig lasse, die ich will (autodiscover und exchange nämlich) - ich kann immer auch über www zugreifen - und bekomme OWA präsentiert anstatt die zu veröffentlichende Website.

Und: Obwohl in der Exchange-Regel nur /autodiscover und /rpc veröffentlicht sind, komme ich trotzdem auf /owa - warum das?

Also, kurz: Kann ich der Sophos nicht sagen, auf derselben öffentlichen IP zu hören und am Host Header (am domain/host name) zu unterscheiden, ob der Traffic intern zum Exchange oder zum www-Server gehen muss?

Ich hoffe, ich drückte mich verständlich auf und bin Dankbar für einen Tipp.

Viele Grüße,

Stefan



Added TAGs
[edited by: Erick Jan at 3:17 AM (GMT -7) on 30 May 2023]
  • +1
    Stefan Falk said:
    Also, kurz: Kann ich der Sophos nicht sagen, auf derselben öffentlichen IP zu hören und am Host Header (am domain/host name) zu unterscheiden, ob der Traffic intern zum Exchange oder zum www-Server gehen muss?

    Ja, das geht. Dann aber ohne NAT-Regel. Sonst greift sich die NAT-Regel die Verbindung und die WAF-regel kommt nicht zum zuge.

    Vergleiche: community.sophos.com/.../life-of-a-packet-sophos-firewall


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

    • 0 in reply to dirkkotte

      Herzlichen Dank für die schnelle Antwort und für den hilfreichen Link! Wir sind noch nicht ganz durch, aber der Hauptpunkt, dass die NAT-Regel dafür gar nicht gebraucht wird, war der Zünder. Danke!

      Viele Grüße,

      Stefan

      • 0 in reply to dirkkotte

        Hallo!

        Nochmals Danke für den hilfreichen Tipp. Exchange funktioniert jetzt. Wenn ich darf, hätte ich noch eine Detailfrage: Die andere Website, die da zu veröffentlichen ist, ist ein interner SharePoint mit erlaubtem anonymen Zugriff. Von intern gehen Leute drauf, um Content zu ändern. Extern ist das eine öffentliche Website, die anonym und nur (!) anonym erreichbar sein sollte.

        Vormals war da ein Microsoft TMG als Firewall, und bei dem war eben eingestellt "keine Authentifizierungsdelegierung, keine direkte Authentifizierung des Clients". Wenn ich in der Sophos "keine Authentifizierung" wähle, kann ich zwar auf die Website, aber der Browser fragt trotzdem nach Anmeldedaten.

        Kann man der XG sagen, dass sie da ausschließlich anonyme Zugriffe machen und der Browser vom Internet aus niemals nach Credentials fragen soll soll?

        Viele Grüße,

        Stefan

        • 0 in reply to Stefan Falk

          Ich glaube, da hat das TMG die Anmeldeinformationen einfach herausgefiltert (oder pauschal einen anonymen Nutzer verwendet)

          Ich wüsste nicht, wie man das mit der XG realisieren könnte.

          Aber evtl. mal eine separate Frage stellen ... hier hinten lesen wahrscheinlich nur noch wenige mit.


          Dirk

          Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
          Sophos Solution Partner since 2003
          If a post solves your question, click the 'Verify Answer' link at this post.

          • 0 in reply to dirkkotte

            Dennoch herzlichen Dank für die schnelle Antwort!

            Grüße, Stefan

            • +1 in reply to dirkkotte

              Hallo nochmals,

              fürs Protokoll: Es klappt  jetzt. Es lag an einem Problem beim Umsetzen von Hostheadern. Der innere Server heißt anders wie die Website. Ein Versuch, der inneren Website als alternative Zugriffszuordnung (AAM in SharePoint) die offiziellen Hostheader zu geben, und in der Sophos die Veröffentlichung ohne HTML Umschreiben, dafür aber mit Durchreichen des Hostheaders, zu ändern, führte erleichternder Weise zum Erfolg.

              Viele Grüße und nochmals vielen Dank für die freundliche Unterstützung,

              Stefan

          Unfiltered HTML