Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • Replies 8 replies
  • Subscribers 9 subscribers
  • Views 1120 views
  • Users 0 members are here
Options
Suggested

Zugriff auf internen Exchange vom Gast-WLAN

Simson

Hallo zusammen;

ich habe ein Problem bei dem sich der Sophos-Support leider auch die Zähne aus beißt.

Gegeben ist ein OneAccess-Router von O2 auf den nur O2 Zugriff hat, eine XGS116 und ein APX320. Intern steht unter anderem ein MS Exchange Server. Es sind 2 SSIDs auf der XGS116 konfiguriert. Ein internalwlan (bridge ins interne Netzwerk) und ein externalwlan (für private Handys etc.) das keinen Zugriff auf das interne Netzwerk hat. Nun müssen bestimmte Geräte aus dem externalwlan aber Mails vom internen Exchange abrufen. Eine NAT-Regel kommt hier nicht in Frage da man dadurch die WAF umgehen würde. Ich hatte das Problem auf einer SG115 vor ein paar Jahren schon einmal. Da wurde schlussendlich nur ein Objekt, das auf die Subdomain des Exchange verweist, angelegt aber mit der IP des WAN-Ports der SG anstatt der eigentlichen öffentlichen IP der Subdomain. Dadurch wurde der Datenverkehr am WAN-Port der SG „umgebogen“ und lief wieder nach intern (durch die WAF). Das geht aber auf der XGS116 nicht mehr. Wurde schon getestet. Hat jemand eine Idee wie man das auf der XGS116 realisieren kann?

 

Grüße

Simson



Added TAGs
[edited by: Raphael Alganes at 11:55 PM (GMT -7) on 28 Jul 2024]
  • +1

    Hallo,

    ganz frisch getestet - 3 Varianten und alle funktionieren ...

    - am externen Router gibt es bei mir ein Portforwarding zur ext. FW-IP, welches auch funktioniert, wenn man von "drinnen" kommt - geht

    - DNS-Eintrag auf die externe Firewall-IP gedreht - in der WAF "block unknown countries" rausgenommen - geht

    - DNS Eintrag auf die interne IP und die WAF-regel kopiert und an das interne Interface gebunden - geht

    Was sagt denn der LogViewer unter "WebserverProtection"?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    PS: könnte natürlich noch Probleme geben, wenn die Clientgeräte deinen DNS nicht nutzen oder gezielt umgehen ...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    vielen Dank für die Antworten. Kannst du mir bitte sagen wie du das genau gemacht hast? "DNS-Eintrag auf die externe Firewall-IP gedreht"

    Wegen dem DNS: Die Schnittstelle externalwlan hat die IP 172.16.28.254. Das müsste ich dann auch im DHCP des externalwlan auf der XGS als DNS eintragen, oder?

  • 0 in reply to Simson

    "Das müsste ich dann auch im DHCP des externalwlan auf der XGS als DNS eintragen, oder?"
    genau.
    Um die Exchange-WAF-DNS-Auflösung zu manipulieren, muss die Firewall DNS-Server für das Gast-Netz sein. Das bringt man den Clients via DHCP bei.
    Und unter "Netzwerk / DNS / DNS host entry" kannst du "eigene" DNS-Einträge hinterlegen, die vor "echten" Vorrang haben.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ok. Ich habe der Exchange-URL per statischem DNS-Eintrag die IP der WAN-Schnittstelle der XGS gegeben und im DHCP des externalwlan das DNS auf die IP 172.16.28.254 angepasst. Testen kann ich es aber leider erst morgen. Ich melde mich dann nochmal.

  • 0

    Hallo Simson,

    Vielen Dank, dass Sie sich an die Sophos Community gewandt haben.

    Wir bedauern, von Ihrem Problem zu hören. Könnten Sie uns bitte Ihre Fall-ID mitteilen? Wir werden den Fortschritt auf unserer Seite verfolgen.

    Vielen Dank für Ihre Zeit und Geduld und vielen Dank, dass Sie sich für Sophos entschieden haben.

    Grüße,

    Raphael Alganes
    Community Support Engineer | Sophos Technical Support
    Sophos Support Videos Product Documentation  |  @SophosSupport  | Sign up for SMS Alerts
    If a post solves your question use the 'Verify Answer' link.

  • 0 in reply to dirkkotte

    Hallo Dirk. Die Prüfung hat länger gedauert als geplant. Es gab noch Probleme die aber nichts mit diesem Fall zu tun haben. Unterm Strich funktioniert jetzt alles. Dank deinem Konfigurationsvorschlag. Vielen Dank für deine Hilfe.

    Grüße

    Simson

  • 0 in reply to Raphael Alganes

    Schönen guten Morgen,

    wäre es evtl. eine Lösung eine 3 SSID auf zu machen, mit einem neuen Netz. Da nur die Mobilen Geräte rein zu packen die zugriff auf den EX haben sollen. Dann 2 neue Firewall Regeln für die neue SSID 1x WLAN  to WAN und einmal WLAN zu Intern eingeschränkt auf den IP HOST -> EX Plus eingeschränkte Dienste HTTPS würde ja reichen für den OWA und AktiveSync.

    Wenn du natürlich nicht auf die WAF verzichten möchtest, kann ich das auch verstehen.

    LG

    Patrick

Unfiltered HTML