2 IP-adressen, 1 ASA en 1 SSL-verbinding - Serversoftware en clouddiensten

donderdag 17 september 2009 18:30

Acties:

Topicstarter

Ik zit met volgende probleem: een klant heeft 2 aparte internetverbindingen met 2 statische IP-adressen.
Verbinding 1 is rechtstreeks verbonden met een ASA (5505). Verbinding 2 is momenteel verbonden met een linksys-router, maar deze kan vervangen worden door een Cisco router of ASA.

Verbinding 1 wordt gebruikt voor VPN-connectie met de ASA (op poort 443), verbinding 2 moet gebruikt worden voor een SSL-verbinding met de exchangeserver (iPhone moet er mee kunnen synchroniseren, deze ondersteunt enkel poort 80 en 443, poort 80 is op verbinding 1 al in gebruik).

Het probleem is echter dat de default gateway van de exchange-server (die ook DC is) is ingesteld op de ASA en dus via Verbinding 1 naar buiten gaat, ook voor de requests die vanaf Verbinding 2 komen. En dat loopt natuurlijk niet goed.

Valt dit op te lossen zonder de nodige instellingen op de server te wijzigen?

Momenteel heb ik de router van verbinding 2 in een apart subnet staan, deze is ook verbonden met de ASA.

Ik dacht aan NAT, maar dan omgekeerd: het source-adres van iedere request die binnenkomt op poort 443 op de router van verbinding 2 wordt vertaald naar het intern IP-adres van de router en zo verder gestuurd naar de Exchange-server. Deze antwoord dan naar het inetern IP-adres van de router van verbinding 2 en deze vertaald het intern IP-adres dan opnieuw naar het publiek IP-adres.
Dit wil me echter niet lukken (momenteel aan het uittesten met een Cisco 800 series router), maar is dit eigenlijk wel mogelijk?
Of weet iemand een andere oplossing?

donderdag 17 september 2009 18:37

Acties:

GlowMouse

Verbinding 1 wordt gebruikt voor VPN-connectie met de ASA (op poort 443), verbinding 2 moet gebruikt worden voor een SSL-verbinding met de exchangeserver (iPhone moet er mee kunnen synchroniseren, deze ondersteunt enkel poort 80 en 443, poort 80 is op verbinding 1 al in gebruik).

Tegenspraak?

Kun je niet alleen die iPhones via verbinding 2 laten lopen, en dan de routeringstabel van de server aanpassen dat alle IP-ranges waar die iPhones in kunnen zitten via router 2 lopen?

donderdag 17 september 2009 20:02

Acties:

sanfranjake

Computers can do that?

Je hebt slechts poort 443 nodig voor ActiveSync, 80 hoeft zeker niet open (dat wil je ook niet! )

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 17 september 2009 20:53

Acties:

ComBax

Topicstarter

GlowMouse schreef op donderdag 17 september 2009 @ 18:37:
[...]

Tegenspraak?

Kun je niet alleen die iPhones via verbinding 2 laten lopen, en dan de routeringstabel van de server aanpassen dat alle IP-ranges waar die iPhones in kunnen zitten via router 2 lopen?

hmm, ja.
Verbinding 1 wordt momenteel gebruikt voor VPN (443) en een website (poort 80).
Verbinding 2 zou voor Exchange via SSL moeten dienen (ook 443).

Mogelijke IP-ranges van iPhones anders routeren is geen optie, omdat de requests een beetje van overal kunnen komen.

vrijdag 18 september 2009 11:33

Acties:

PsychoG

Pumpin' on your stereo...

Heeeeeel kort door de bocht... een router met 2 DSL aansluitingen... en dan policy based routing gaan gebruiken?

vrijdag 18 september 2009 12:27

Acties:

Flyduck

Er is laatst al zo een topic voorbij gekomen maar kan hem helaas niet terugvinden.
Was iig ook opgelost via een NAT rule op de Cisco router (dus ja, het kan)

*EDIT*
Dit topic geloof ik (laatste post)
[Cisco]NAT mapping met source translation...

[ Voor 27% gewijzigd door Flyduck op 18-09-2009 12:41 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

vrijdag 18 september 2009 14:27

Acties:

mookie

Heerlijk Helder

Het lijkt me dat die routers zowiezo NAT toepassen, of heb jij publieke IP addressen die je ook op je LAN gebruikt?
Kan wel, is alleen een beetje duur...

Ik neem aan dat je b.v. 10.x.x.x op je LAN gebruikt.
internet lijn 1 heeft dan 8.8.8.1
internet lijn 2 heeft dan 8.8.8.2

Op het moment dat iemand naar 8.8.8.1:80 gaat om je website te bezoeken dan zal die router zelf met zijn interne adres (b.v. 10.1.1.254) naar de webserver op je LAN gaan (b.v. 10.1.1.5).
Als hij die pagina heeft geeft hij hem terug aan de client op internet.
Jouw webserver ziet helemaal niet wie de pagina echt krijgt, die ziet alleen die router.

Dus als jij een tweede router hebt met 8.8.8.2 op internet en 10.1.1.253 op je LAN dan werkt dat hetzelfde.
webserver (exchange activesync) zit op 10.1.1.x en de router zit op 10.1.1.x en dus zal je server helemaal niet naar je default gateway gaan.

Enkel wanneer jouw webserver (activesync) direct naar een computer moet die niet op het LAN zit ga je via een gateway.

Het enige wat je kunt controleren is de NAT session timeout.
Voor notifications (zodat email direct op je phone binnenkomt als hij op de server binnenkomt) zal de webserver contact moeten leggen met je iphone/pda.
Dat kan gewoon via de tcp sessie die al openstaat.
Echter kan het zijn dat een router de sessie na X seconden inactiviteit afsluit.
Die timeout moet je verhogen.

Bij ISA 2004 is dat b.v. standaard 2 minuten.
Die moet verhoogt worden naar b.v. 30 minuten.
Ik denk dat je in je Cisco ook zoiets in zal moeten stellen.

mookie

vrijdag 18 september 2009 14:56

Acties:

Flyduck

@Mookie
Mooi verhaal, maar het klopt niet.
De interne webserver ziet wel degelijk dat het source adres een public IP is, en niet het interne adres van de router.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

vrijdag 18 september 2009 21:04

Acties:

Predator

Suffers from split brain

Waarom zet je gewoon niet de default gateway van je exchange/DC server naar de router voor INET conn 2 (voor activesync) ?
Ik veronderstel dat je VPN users wel naar je exchange server moeten kunnen maar dat is makkelijk op te lossen door een statische route toe te voegen op je server voor het subnet(ten) die je VPN users toegewezen kregen naar de ASA op INET conn 1.

Je Exchange/DC zal wel via INET conn 2 op internet gaan (voor updates bv) maar dat maakt weinig uit denk ik ?

Everybody lies | BFD rocks ! | PC-specs

vrijdag 18 september 2009 22:25

Acties:

axis

Die SSL VPN, is dat voor clients, of alleen voor site-to-site? In het laatste geval zou je de SSL VPN ook over poort 444 ofzo kunnen laten lopen, als de andere partij dat ook ondersteunt. Dan kun je alles af met 1 internetconnectie, wel zo makkelijk.

Ik zou sowieso beide internetverbindingen in 1 asa prikken, hoef je nog maar 1 doosje te managen, en dat maakt het een heel stuk makkelijker. De ASA zonder secplus license ondersteunt 3 vlans (inside, outside, en een restricted dmz), en daar kun je prima mee vooruit. Je configureert dan een inside, outside1 en outside2, en vervolgens maak je een static nat rule die de exchange nat naar de outside2 interface, je maakt een access rule om poort 443 inkomend op outside2 toe te staan, en je bent klaar volgens mij.

Nu gaan wel alle uitgaande pakketjes vanaf de Exchange naar de buitenwereld over de outside2, als je dat niet wilt kun je op de Exchange een 2e ip toevoegen, en maak je alleen de static nat van het 2e ip naar outside2.

[ Voor 12% gewijzigd door axis op 18-09-2009 22:26 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

zaterdag 19 september 2009 12:26

Acties:

mbaltus

Is het niet goedkoper om de beide ADSL lijnen om te zetten naar één Business (A)DSL met meerdere IP adressen. Dan ben je dat gedoe met twee lijnen kwijt en kun je alles prima inregelen.

The trouble with doing something right the first time is that nobody appreciates how difficult it is

zondag 20 september 2009 11:13

Acties:

ComBax

Topicstarter

@PsychoG: het is geen DSL, dan was er idd geen probleem. De DSL-provider die we aan onze klanten aanraden laat inderdaad toe om meer IP-adressen op 1 verbinding te zetten. Deze klant gebruikt echter internet via kabel en deze provider biedt deze service niet aan (technisch niet mogelijk

).

@Flyduck: tnx, die laatste post is denk ik voor mij de oplossing, ik bekijk het morgen!

@Predator en axis: op de server kan/mag niets aangepast worden

VPN is trouwens ook voor clients.

zondag 20 september 2009 18:36

Acties:

axis

ComBax schreef op zondag 20 september 2009 @ 11:13:
@Predator en axis: op de server kan/mag niets aangepast worden

Gewoon zeggen dat ze dan pech hebben

Nee, maar bij dat soort gezeik gewoon verschillende oplossingen presenteren met het bijbehorende prijskaartje. Als ze 1000 euro extra moeten lappen (500 euro voor een ASA en misschien je uren) omdat iemand vind dat er geen ip mag worden aangepast, ook prima, maar ik merk dat als men dat soort beslissingen moet nemen, de regeltjes opeens niet meer zo hard zijn

Trouwens, de oplossing die ik hierboven had gepresenteerd zou volgens mij gewoon prima moeten werken zonder iets op de server aan te passen.

[ Voor 41% gewijzigd door axis op 20-09-2009 18:42 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

vrijdag 2 oktober 2009 08:51

Acties:

ComBax

Topicstarter

Flyduck schreef op vrijdag 18 september 2009 @ 12:27:
Er is laatst al zo een topic voorbij gekomen maar kan hem helaas niet terugvinden.
Was iig ook opgelost via een NAT rule op de Cisco router (dus ja, het kan)

*EDIT*
Dit topic geloof ik (laatste post)
[Cisco]NAT mapping met source translation...

Even ter informatie: met bovenstaande post is het geluk

Tnx voor de hulp en het meedenken iedereen.