none
Не могу попасть снаружи на Exchange через NAT RRS feed

  • Вопрос

  • После того как поднял NAT (роль которого выполняет обычная служба RRAS на Windows Server 2012R2) и опубликовал внутренний почтовый сервер наружу (IP адрес и службы POP3, SMTP, SSL на внешнем интерфейсе NAT), то по POP3 и SMTP попасть могу, а через веб OWA попасть уже не могу (хттпс://внешн_интерф_nat/owa). Как правильно открыть OWA наружу? 



    • Изменено ole-van-de 21 мая 2015 г. 15:14 ОС 2012R2 (не 2008R2)

Ответы

  • Простой вопрос. Как пробросить 443 порт через NAT, роль которого выполняет служба "Маршрутизация и удаленный доступ" на windows server. То есть если я набираю telnet адрес_внешн_интерф_nat 443 то Connection time-out в итоге. Если я точно так же пробрасываю smtp службу на 25 порту то telnet -ом получается достучаться (в моем случае это всё службы почт сервера). а тот же 443 не пробрасывается. Что не так? в чем подвох?



    А у вас на сервере с RRAS никто порт 443 не прослушивает, случаем (смотреть - командой netstat -nao | find ":443" )? Если прослушивает процесс с ID=4 (это System), то у вас либо установлен там IIS, либо в RRAS установлен и активирован протокол SSTP.


    Слава России!

    • Помечено в качестве ответа ole-van-de 22 мая 2015 г. 5:26
  • Разобрался. Всё прекрасно работает и подключается и телнетиться по 443 порту, но только не  с хоста на котором развернут NAT, а с любого другого устройства извне. Видимо заходить с хоста, на котором развернут NAT по 443 порту так просто не получится или даже некорректно. Ведь его внешний интерфейс выполняет много разных задач в том числе и на 443 порту. Да и не нужно в реальной жизни заходить на почту с шлюза. 

    Спасибо отдельное M.V.V_Безработный...



    • Помечено в качестве ответа ole-van-de 22 мая 2015 г. 5:26
    • Изменено ole-van-de 22 мая 2015 г. 5:28

Все ответы

  • Простой вопрос. Как пробросить 443 порт через NAT, роль которого выполняет служба "Маршрутизация и удаленный доступ" на windows server. То есть если я набираю telnet адрес_внешн_интерф_nat 443 то Connection time-out в итоге. Если я точно так же пробрасываю smtp службу на 25 порту то telnet -ом получается достучаться (в моем случае это всё службы почт сервера). а тот же 443 не пробрасывается. Что не так? в чем подвох?



  • По локальной сети доступна страница https://<имя_или_IP_адрес_Exchange_Server>/OWA  ?

    Модератор
  • Добрый день!

    Сервер Exchange использует сервер с RRAS как шлюз?

    Файрвол встроенный настроен? (не блокирует 443?)

  • Простой вопрос. Как пробросить 443 порт через NAT, роль которого выполняет служба "Маршрутизация и удаленный доступ" на windows server. То есть если я набираю telnet адрес_внешн_интерф_nat 443 то Connection time-out в итоге. Если я точно так же пробрасываю smtp службу на 25 порту то telnet -ом получается достучаться (в моем случае это всё службы почт сервера). а тот же 443 не пробрасывается. Что не так? в чем подвох?



    А у вас на сервере с RRAS никто порт 443 не прослушивает, случаем (смотреть - командой netstat -nao | find ":443" )? Если прослушивает процесс с ID=4 (это System), то у вас либо установлен там IIS, либо в RRAS установлен и активирован протокол SSTP.


    Слава России!

    • Помечено в качестве ответа ole-van-de 22 мая 2015 г. 5:26
  • Да, exchange использует rras как шлюз. Файрвол отключен вообще (на момент эксперимента).
  • IIS запущен, обслуживает вроде только как 80 дефолтный сайт. Останавливал IIS вообще, не помогло. Пытаюсь просмотреть, кто занимает 443 порт, пока не получается разобраться с командой. Пишу netstat | find ":443" и тишина, курсор мигает и ничего дальше. С параметрами -n -a -o пишет неправильные параметры (не пойму), разбираюсь...

    • Изменено ole-van-de 21 мая 2015 г. 15:01
  • Разобрался. По моему то что вы имели ввиду (внешний адрес моего NAT 192.168.0.101)

    PS C:\Users\Администратор> netstat -o -n -a | findstr "443"
      TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       1444
      TCP    192.168.0.101:49178    134.170.24.173:443     ESTABLISHED     1444
      TCP    192.168.0.101:49184    193.149.88.88:443      ESTABLISHED     1444
      TCP    192.168.0.101:49186    207.46.11.151:443      ESTABLISHED     1444
      TCP    192.168.0.101:49193    23.61.228.190:443      CLOSE_WAIT      1444
      TCP    192.168.0.101:49440    128.74.248.236:443     TIME_WAIT       0
      TCP    192.168.0.101:49441    128.74.248.234:443     TIME_WAIT       0
      TCP    192.168.0.101:49442    74.125.29.113:443      TIME_WAIT       0
      TCP    192.168.0.101:49443    64.233.164.156:443     TIME_WAIT       0
      TCP    192.168.0.101:49444    173.194.122.215:443    TIME_WAIT       0
      TCP    192.168.0.101:49446    128.74.248.251:443     TIME_WAIT       0
      TCP    192.168.0.101:49447    128.74.248.251:443     TIME_WAIT       0
      TCP    192.168.0.101:49448    173.194.122.243:443    TIME_WAIT       0
      TCP    192.168.0.101:49449    64.233.163.84:443      TIME_WAIT       0
      TCP    192.168.0.101:49450    216.58.209.163:443     TIME_WAIT       0
      TCP    192.168.0.101:49451    173.194.71.156:443     TIME_WAIT       0
      TCP    192.168.0.101:49458    68.232.35.121:443      ESTABLISHED     1592
      TCP    192.168.0.101:49462    68.232.35.121:443      ESTABLISHED     1592
      TCP    192.168.0.101:49463    68.232.35.121:443      ESTABLISHED     1592
      TCP    192.168.0.101:49468    68.232.35.121:443      ESTABLISHED     1592
      TCP    192.168.0.101:49469    68.232.35.121:443      ESTABLISHED     1592
      TCP    192.168.0.101:49470    68.232.35.121:443      ESTABLISHED     1592
      TCP    192.168.0.101:49489    198.252.206.21:443     CLOSE_WAIT      1592
      TCP    192.168.0.101:49492    54.231.2.65:443        CLOSE_WAIT      1592
      TCP    192.168.0.101:49493    54.231.2.65:443        CLOSE_WAIT      1592
      UDP    0.0.0.0:443            *:*                                    1444
      UDP    0.0.0.0:56443          *:*                                    1568
      UDP    0.0.0.0:57443          *:*                                    1568
      UDP    0.0.0.0:58443          *:*                                    1568
      UDP    [::]:59443             *:*                                    1568
      UDP    [::]:60443             *:*                                    1568
    PS C:\Users\Администратор>


    • Изменено ole-van-de 21 мая 2015 г. 15:12
  • 1. Посмотрите, что это за процесс у вас имеет ID=1444. Посмотреть можно в Диспетчере задач: выберите в меню Вид/Выбрать столбцы столбец ИД процесса (PID)

    2. 192.168.0.101 - это не маршрутизируемый в Интернете адрес. Вы заменили им реальный? Или на этот адрес прокинут 443 порт с другого шлюза NAT, с маршрутизируемым адресом?


    Слава России!


    • Изменено M.V.V. _ 21 мая 2015 г. 15:24
  • Да, прошу прощения, что не ввёл в курс дела сразу. Не хотел запутать. -Это лабораторная среда. На физическом серваке с WS2012R2 с поднятым HyperV имеются два сет интерфейса, один -физический с адресом 192.168.0.101 (подсеть 0) и второй - виртуальный switch с адресом 192.168.1.254 (подсеть 1 с типом "Внутренняя сеть"). Есть виртуальная машина, которая изолированна от физич сервера посредством подключения её к этому самому вирт свитчу. Вот на этой вирт машине и крутится Exchange с поднятыми pop3, smtp, и owa на 443. А на самом на физич серваке поднята служба RRAS и настроена как топология NAT, в которой указано, что вирт свитч - внутр сеть, а 192.168.0.101 - NAT. NAT работает отлично (вирт машина ходит на физич комп и ходит даже в интернетт. Так же получилось опубликовать службы smtp и pop3 как писал ранее). Но OWA - не получается.  

    Сейчас я начинаю понимать, что в такой среде как у меня, на физич машине по сути сидят куча разных процессов, косвенно занимающие 443 порт. - Вы правы, под ID 1444 сидел хитрый скайп :)). Я снял этот процесс через диспетчер задач и выкладываю результат netstat снова. Теперь разбираюсь с SSTP (у меня же выход в интернет через провайдера по vpn). Но всё же, возможно ли докопаться дальше?

    C:\Users\Администратор> netstat -o -n -a | findstr ":443"
      TCP    192.168.0.101:49673    128.74.248.241:443     ESTABLISHED     3136
      TCP    192.168.0.101:49675    128.74.248.236:443     ESTABLISHED     3136
      TCP    192.168.0.101:49677    74.125.29.101:443      ESTABLISHED     3136
      TCP    192.168.0.101:49678    74.125.205.155:443     ESTABLISHED     3136
      TCP    192.168.0.101:49679    173.194.122.247:443    ESTABLISHED     3136
      TCP    192.168.0.101:49681    173.194.122.240:443    ESTABLISHED     3136
    PS C:\Users\Администратор>

  • что ещё интереснее процесс 3136 не нашел в дисп задач. а через минуту вылез ещё и процесс 1244 через netstat,  которого так же нет в диспетчере задач..
  • Помоему NAT не хочет работать с пробросом SSL на виртуальную машину. Попробовал создать на NAT интерфейсе новый прослушиватель, слушать не 443 порт, а любой другой (5443 скажем) с пробросом на внутр ip адрес и портом 443. То же самое. Не хочет телнетиться telnet 192.168.0.101 5443.... connection time-out

    Буду думать дальше..

    • Изменено ole-van-de 21 мая 2015 г. 17:29
  • Разобрался. Всё прекрасно работает и подключается и телнетиться по 443 порту, но только не  с хоста на котором развернут NAT, а с любого другого устройства извне. Видимо заходить с хоста, на котором развернут NAT по 443 порту так просто не получится или даже некорректно. Ведь его внешний интерфейс выполняет много разных задач в том числе и на 443 порту. Да и не нужно в реальной жизни заходить на почту с шлюза. 

    Спасибо отдельное M.V.V_Безработный...



    • Помечено в качестве ответа ole-van-de 22 мая 2015 г. 5:26
    • Изменено ole-van-de 22 мая 2015 г. 5:28