Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 8789 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Additional Public IP Required?

Longman
I currently use waf for owa and active sync; all working well using https. I have a new request to allow access to a remote desktop gateway which also uses https but of course a different certificate and internal server. Question - is a second public ip going to be required because both are using https? Wasn't sure if each having different certs with different domain names on the certs would be sufficient. 

One other question - I presume that if I decided to not use waf but a dnat rule instead for the RD Gateway that an additional ip would be required. Even with that wouldn't that break the waf rule for owa/active sync since the dnat rule would be used first (listening for https requests) when users tried using owa or active sync and be directed to the RD Gateway server?

Thanks


This thread was automatically locked due to age.
  • 0
    Yes, DNAT would bypass the WAF.
  • 0
    And, no, a DNAT on one Additional Address would not break the WAF on another one.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    So I can use a dnat rule for the Remote Desktop Gateway server which uses HTTPS, and not cause any issues with the current WAF setup for Owa/Active Sync as long as the Dnat rule is using a different public ip for its "traffic destination"?
  • 0
    There is no need for a second public ip adress. Using different domains is sufficient for the waf to select different destinations. 

    For example, I am using also waf on my exchange with the domain owa.xyz.tdl and www.xyz.tdl on my webserver. Both works very well behind one public ip adress and the waf selects the traffic destination by the domain name.

    Albeck.
  • 0
    That should be the right solution, Albeck.  Mario and I were thinking inside the box of his question instead of considering what he was really trying to accomplish.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Albeck that must mean one certificate is used by multiple virtual web servers with each directing the user to the correct back end server?
  • 0
    Yes, a wildcard certificate as only one cert is allowed per port per IP on an interface.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Or a UCC certificate if you have multiple domains.

    Barry
  • 0
    Thanks for all the help; I understand the options and will do some testing to see what will work best.
  • 0
    Lucky day ... I started trying to do this a few days ago and came back to post a question very similar to this.

    Albeck describes exactly what I want to do, but I thought I was going to have to order additional public IPs.

    I currently have a SSL VPN set up, both site to site and Road Warrior style.

    When I tried to set up WAF for OWA and AutoDiscover it complained that 443 was already assigned.  From what I read above I assume it is because I don't have a wildcard cert at present?  If I secure the wildcard cert or SAN cert - can I continue to run the ASG VPN on 443 along with Exchange using WAF?

    If not - can someone advise how to get additional dynamic IPs into the ASG?  Comcast offers them, even on consumer lines, but my modem only has one Ethernet port.  I assume I would connect it to a switch and put an additional NIC for every IP?  Then connect those to the switch and set them up as cable connections as well?

    Thanks!
Unfiltered HTML