Andreas83 11 Geschrieben 3. Februar 2017 Melden Teilen Geschrieben 3. Februar 2017 Guten Morgen, ich hatte bis gestern ein funktionierendes DirectAccess auf einem 2012 R2 mit selbst signiertem Zertifikat was bei der Einrichtung des DirectAccess automatisch mit der externen Domain erstellt wurde. Diese Domain verweist auf meine WAN IP und 443 wurde an den DirectAccess Server weitergeleitet. Nun haben wir aber mehrere Dienste welche 443 benötigen. Somit habe ich in unserer GateProtect (Rhode & Schwarz) GPO-150 den Reverse Proxy aktiviert, bei Let´s Encrypt ein 90 Tage Zertifikat mit mehreren Subdomains erstellt und im Reverse Proxy eingebunden. Dienst wie Outlook Anywhere oder OWA funktionieren einwandfrei. Im Browser sehe ich das Let´s Encrypt Zertifikat. Beim Exchange habe ich auch ein selbst signiertes Zertifikat was ich nach Einbindung des Reverse Proxy aber nicht bzw. noch nicht angefasst habe. Daher habe ich auch beim DirectAccess noch keine Veränderungen vorgenommen. Leider funktioniert DirectAccess nicht. Habt ihr mir hier einen Ansatz was ich noch tun muss, was ich evtl. übersehen habe? Vielen Dank für jeden Hinweis. Grüße Andreas Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 3. Februar 2017 Melden Teilen Geschrieben 3. Februar 2017 Terminiert der Reverse Proxy die SSL Sitzung, oder wird das zum Endpoint weitergeleitet? Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 3. Februar 2017 Autor Melden Teilen Geschrieben 3. Februar 2017 der Reverse Proxy wird im HTTPS Modus betrieben somit wir die Verbindung vom Proxy terminiert und zum internen Server eine zweite HTTPS Verbindung aufgebaut. So die Aussage des Firewall Supports Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 3. Februar 2017 Melden Teilen Geschrieben 3. Februar 2017 Dann solltest du, wenn du OWA über den RP aufrufst, das Let's Encrypt Zertifikat sehen. Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 4. Februar 2017 Autor Melden Teilen Geschrieben 4. Februar 2017 Genau, habe ich oben beschrieben, OWA zeigt das Let's Encrypt Zertifikat. Muss ich direct Access was beachten? Gerade wegen Zertifikat zwischen Firewall und DirectAccess Server? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 4. Februar 2017 Melden Teilen Geschrieben 4. Februar 2017 Afair ist ssl offloading bei direct access unsupported. Ob man es trotzdem hinbekommen kann, hab ich nie probiert. Mit netscaler scheint es wohl zu funktionieren: https://directaccess.richardhicks.com/tag/ssl-offload/ Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 5. Februar 2017 Autor Melden Teilen Geschrieben 5. Februar 2017 das klingt alles andere als gut. Dann kann ich nur hoffen ich bekomme bald einen zweiten VDSL :-( Wenn noch jemand eine Idee hat, bitte her damit. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 5. Februar 2017 Melden Teilen Geschrieben 5. Februar 2017 Eine ordentliche Leitung, bei der man auch ein /29er bekommt. Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 6. Februar 2017 Autor Melden Teilen Geschrieben 6. Februar 2017 wäre es denkbar in den GPO die URL für den Client auf z.B. 8443 anzupassen und dann anstelle des Reverse Proxy eine Portweiterleitung an den internen DirectAccess Server auf Port 443 zu konfigurieren? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. Februar 2017 Melden Teilen Geschrieben 6. Februar 2017 Ich denke nicht, dass das geht. Zumindest eine kurze Recherche (die du offensichtlich nicht unternommen hast) bringt nur Fehlschläge von Leuten mit ähnlichen Absichten wie deinen zu Tage. ;) Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 7. Februar 2017 Melden Teilen Geschrieben 7. Februar 2017 Hallo Andreas, wie Nobert schon sagt haben deine Vorhaben viele probiert und sind gescheitert. Viele Grüße Arnd Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 11. Februar 2017 Autor Melden Teilen Geschrieben 11. Februar 2017 Hallo nochmal, abschließend noch eine Info, auch wenn es nur ein Workaround ist bis ich entweder einen Anschluss mit mehreren IP habe oder einfach einen zweiten schnellen V-DSL. Auch wenn es für den ein oder anderen nicht die sauberste Lösung ist, mir hilft Sie temporär. a) Ich habe nun 443 ohne Reverse Proxy für DirectAccess an den DirectAccess Server weitergeleitet. b) DirectAccess funktioniert nun per LTE und V-DSL Anschlüssen (Probleme noch mit UnityMedia aber das ist ein anderes Thema) c) für Smartphone habe ich am Gateway 9443 an intern 443 weitergeleitet, somit profitiert diese Verbindung nun auch vom V-DSL d) Outlook komuniziert über DirectAccess mit Exchange, somit brauche ich hier gar kein 443 mehr weiterleiten. Nun heißt es nur noch dieses verdammte Problem lösen dass es an bzw. mit vielen UnityMedia Anschlüssen Probleme gibt, trotz dass mein eigener tarif einer ist wo ich eine richtige IPv4 Adresse erhalte, nix DS-Lite oder sonst was. Aber dazu gibt es schon ein Thema von mir, entweder rolle ich das nochmal auf oder erstelle ein neues. Danke nochmal für eure Vorschläge Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 11. Februar 2017 Melden Teilen Geschrieben 11. Februar 2017 Schneller wird der Outlook Zugang dadurch aber nicht. Bei direct access sollte man sehr genau darauf achten, ob man seine Dienste durch den Tunnel oder außen herum erreichen will/kann. In deinem Fall als workaround ok, aber sauber ist es eben nicht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.