Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 8794 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Additional Public IP Required?

Longman
I currently use waf for owa and active sync; all working well using https. I have a new request to allow access to a remote desktop gateway which also uses https but of course a different certificate and internal server. Question - is a second public ip going to be required because both are using https? Wasn't sure if each having different certs with different domain names on the certs would be sufficient. 

One other question - I presume that if I decided to not use waf but a dnat rule instead for the RD Gateway that an additional ip would be required. Even with that wouldn't that break the waf rule for owa/active sync since the dnat rule would be used first (listening for https requests) when users tried using owa or active sync and be directed to the RD Gateway server?

Thanks


This thread was automatically locked due to age.
  • 0
    Hi, you don't need a switch...

    In the Interfaces settings, you can add 'additional addresses' to an interface.

    This probably won't work if you're using DHCP with your ISP though, you'd need static IP addresses.

    It's also possible you have the End User Portal running on 443.


    Barry
  • 0 in reply to BarryG
    I seem to be missing something here.

    I have moved the User Portal.

    The only items I can find left running on 443 are 

      S2S SSL VPN to another Astaro box across the internet.
      Remote Connection SSL VPN Software (remote connectivity PC -> Astaro)


    I still can't seem to configure the WAF for my internal sites.  All of them are in the cert (from StartSSL) with Subject Alternative Names (they all show up when I create the WAF Virtual server.  However, when I attempt to turn on the virtual server I get:

    "The TCP port '443' is already in use by the SSL VPN port number."

    I have turned of the S2S VPN and still get the message, so I assume it is the VPN Client connection (which I'm currently using to connect back to the site and change configurations... so I probably shouldn't turn it off [:D] )

    How do I get the client VPN to use 443 and the WAF to forward 443 for the defined websites?  I thought it might have to do with the configuration under Remote Access -> SSL -> Advanced, possibly with the certificate as it is set to Local x509, but I don't see my SAN cert available in the list.

    Thanks for any guidance!
  • 0
    Hi, 
    I'm not sure if the VPNs and the WAF can work on the same port and IP.
    If not, you'll need to change the port for the VPNs, or get an additional IP address.

    Changing the port requires that the client config be updated as well.

    Barry
  • 0
    While changing the SSL VPN configuration, change it to UDP, too.  That will make it faster.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Any suggestions for a good alternative port that is almost universally acceptable across ISPs and firewalls?  I believe OpenVPN uses 1194 - but I also know that some intentionally block that port to prevent alternative VPNs.
  • 0
    Hi, 
    ISPs mostly only block telnet/23, ftp/21, http/80, and sometimes https/443.
    Even then, they only block INCOMING.

    Firewalls are a different issue. Some will block everything.

    995 is often open for POP3s, 
    587 for mail (but don't use this if you're using Astaro's SMTP proxy),
    80 (but I don't know if https on port 80 is a good idea as a lot of proxies will probably interfere)

    Barry
  • 0
    I've never had a problem with 1443.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML