none
TMG 2010 - SSTP VPN odstřihne Exchange OWU

    Dotaz

  • Ahoj všem,

     

    používám stejnout doménovou adresu jak pro Exchange, tak pro SSTP VPN. Certifikát mám vydaný lokální certifikační autoritou

     

    V momentě, kdy spustím SSTP VPN, tak se mi OWA sice normálně nalinkuje, s tím, že se mi ověří i certifikát, nicméně bez stránky a napíše to toto -> The page cannot be displayed

     

    Je to určitě tím, protože když vypnut SSTP, tak to zase neběhne

    Ještě pro úplnost, mám udělaný HTTP redirect na adresu https://mail.domena.cz/owa přímo v IIS na Exchange serveru. Owu mám publikovanou skrze web site publishing rule pro HTTP a non-web server protocol Publishing Rule pro HTTPS. Na TMG redirect nedělám, blbo mi to

     

    Všem moc děkuji za pomoc

    S pozdravem

    Tomas



    26. října 2011 22:01

Odpovědi

  • No port pro SSTP se dá změnit...ale je to dost k ničemu...pak to ztrácí tu jednoduchost..

    http://blogs.technet.com/b/rrasblog/archive/2007/01/25/sstp-faq-part-3-server-specific.aspx

    Já bych změnil port OWě - ta by to měla unést. 

    Já teda používám na jednom serveru OWA+SSTP bez problémů - ale není to za TMG...

    27. října 2011 10:11
  • To buhežel nevím...VPN klienti ale dostávají IP adresu normálně z vnitřní sítě. To něčemu vadí?

    Zkoušel jsem i to SSTP - normálně jsem připojený přes SSTP a zároveň jsem z jiného PC v internetu zkoušel OWU a běží to...tak to asi bude jen nějaká feature v TMG - protože já tu TMG nemám.

    (pokud máš dvě různé služby, které chtějí běžet na jednom portu, ale jsou na jiných PC, tak je asi jediným rozumným řešením mít dvě IP). Nebo mít TMG na začátku a myslím si, že pak by mohl dál tu HTTPS komunikaci pustit.

    K tomu L2TP - tak to heslo je dostatečné zabezpečení - jde totiž o to, že tím heslem je šifrována komunikace/tunel, kterým je přenášeno to heslo v nezašifrované verzi...to si to SSTP řeší tím certifikátem...

    3. listopadu 2011 20:33

Všechny reakce

  • Takto vypadá, že si SSTP ukradl OWě port a tudíž je nedostupná. Mám v té sití pouze jednu veřejnou ip adresu, čili SSTP přesměruji na jiný port?
    26. října 2011 23:34
  • No port pro SSTP se dá změnit...ale je to dost k ničemu...pak to ztrácí tu jednoduchost..

    http://blogs.technet.com/b/rrasblog/archive/2007/01/25/sstp-faq-part-3-server-specific.aspx

    Já bych změnil port OWě - ta by to měla unést. 

    Já teda používám na jednom serveru OWA+SSTP bez problémů - ale není to za TMG...

    27. října 2011 10:11
  • To je zvláštní, protože na jedné veřejné IP adrese se nedají NATovat dvě služby na jednom portu

    V podstatě IP adresu mám NATovanou na exchange server na portu 443 a TMG je na jiné lokální IP adrese, tak TMG si dělá další NAT a tím vezme 443

    port pro Exchange. Ale nejsem zrvona TMG odborník, ale vím, že v jiných routerech by mi to neběželo, pokud bych neměl další veřejnou IP, kterou bych překládal na konkrétní stroj

     

    Já bych tu OWU klidně změnil, ale neodstřihnu komunikaci do internetu a z internetu?

    27. října 2011 12:07
  • No vyřešil jsem to IPsecem skze preshared key, bez certifikátu. Asi to nebude super bezpečné, ale hackrům teď v prolomení do sítě brání složité heslo do tunely a doméno heslo pro uživatele
    30. října 2011 21:15
  • Tak nějak jsem si za pomocí pokus omyl nakonfiguroval vše, co potřebuji, dle spokojenosti. Co se mi ovšem nepodařilo je oddělit VPN komunikaci od vnitření sítě na jiný IP scope a vytvořit pro něj maskování, tak aby měl VPN scope přístup do vnitřní sítě. Jirko nevíš, jak se to v TMG dělá?


    30. října 2011 21:21
  • To buhežel nevím...VPN klienti ale dostávají IP adresu normálně z vnitřní sítě. To něčemu vadí?

    Zkoušel jsem i to SSTP - normálně jsem připojený přes SSTP a zároveň jsem z jiného PC v internetu zkoušel OWU a běží to...tak to asi bude jen nějaká feature v TMG - protože já tu TMG nemám.

    (pokud máš dvě různé služby, které chtějí běžet na jednom portu, ale jsou na jiných PC, tak je asi jediným rozumným řešením mít dvě IP). Nebo mít TMG na začátku a myslím si, že pak by mohl dál tu HTTPS komunikaci pustit.

    K tomu L2TP - tak to heslo je dostatečné zabezpečení - jde totiž o to, že tím heslem je šifrována komunikace/tunel, kterým je přenášeno to heslo v nezašifrované verzi...to si to SSTP řeší tím certifikátem...

    3. listopadu 2011 20:33
  • Díky za reakci Jirko

    Asi to zas tak nevadí, záleží na zákazníkovi. Za prvé z mého pohledu to není moc bezpečné a za druhé, nechci brát DHCP serveru z lokální sítě adresy. VPNka by neměla být na rozsahu lokální sítě, ale v DMZ na kterou je udělaný přístup pro vnitřní síť, který lze omezovat. Takto to většinou dělám na Kerio Control, či na Ciscu (pro ASA jsou vždy potřeba dvě veřejné IP)

    Já bych se to chtěl naučit takto:

    LAN mám např: 192.168.1.1/24

    VPN budu mít např: 172.16.1.1/24

    a VPN síť bych chtěl udělat přístup do LAN

    Ten L2TP mně celkem vyhovuje. Já jsem trochu pátral na internetu a na US technetu admini píší, že pro SSTP je potřeba další veřejné IP adresa

    A ta o OWA a SSTP Ti běží na jedné veřejné IP adrese?

    Jinak dost si teď o tom čtu a až na to, že to občas dělá něco, čemu vůbec nerozumím a chová se to někdy nepředvídatelně, tak se mi to hodně líbí, žasnu nad tím, jak je to robusní a co všechno s TMG lze dělat. Většinu věcí ani nevím, jestli někdy uplatím :-)


    3. listopadu 2011 20:58
  • Ano, OWA i SSTP mi běží na jedné veřejné IP. Mám Exchange CAS server, který je zároveň server i pro SSTP. Na PPTP a L2TP a Site-to-Site VPNky mám vyhrazený další server, který beží virtuálně na jiném železe - takže se dokážu připojit prakticky kdykoli.

    No co já vím, tak není problém si nastavit v nastavení VPN serveru aby přiděloval určité adresy a pak dojde k tomu, že on si vytvoří routes mezi těmito adresami.

    L2TP je super - výkonově je to úplně někde jinde (výše) než PPTP a SSTP.

    TMG je super:) Tak málo chyb jako má Microsoft v ISA/TMG se jen málokdy vidí...měli zatím asi jenom jednu až dvě kritické díry nebo tak něco.

    3. listopadu 2011 21:27
  • VPN jsem řekl, aby se připojoval skrze jiná rozsah např: 172.16.1.1/24, routes se přidá automaticky, ovšem někde se ještě musí nastavit nějaký překlad, nejspíše v Network Rules, ale to neumím udělat :-(

    Existuje pro TMG nějaká Remote Admistrative Tool pro Windows 7, abych to nemusel spravovat pouze přes RPD Windows 2008?

    3. listopadu 2011 22:07
  • Já mám NAT i route nastavený přímo na TMG v Network Rules, ještě mám nastaveno ve access rule povelní z vpn clients do internal a pořád to neběží
    3. listopadu 2011 23:38
  • Tak přidal jsem statickou routu do route and remote access

    také jsem zkoušel přes příkazový řádek přidat za pomocí route add

    Co se Firewall policy týče, tak mám vytvořené Access rule pro vpn clienty

    potom jsem celý DMZ rozsah přidal do Remote Management Computers a pořád si nepignu na jedinou vnitřní adresu a nemám přístup do vnitřní sítě skrze VPN

    Máte někdo nějaký nápad?

    5. listopadu 2011 23:48