Exchange on premise mit DNS split und VPN

Started by cklahn, October 23, 2025, 07:48:28 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 23, 2025, 07:48:28 PM
Hallo Forum,
ich habe bei mehreren Kunden einen lokalen Exchange-Server im Einsatz, der per Webproxy (HAProxy) von aussen erreichbar ist. Autodiscover und der eigentliche Zugriff erfolgt immer von aussen (ist als Split DNS aufgesetzt).

Outlook auf den Rechnern versucht also immer den Pfad zum Exchange-Server über das Internet zu finden. Das klappt eigentlich hervorragend. Wenn die Nutzer beispielsweise in einem Hotel WLAN sind, findet Outlook immer den Weg nach Hause.

Wenn nun aber ein VPN-Tunnel zum Fileserver aufgebaut wird, bricht die Verbindung von Outlook zum Exchange-Server ab. Das Problem scheint DNS zu sein.

Was müsste ich wo einstellen, damit Outlook funktioniert, wenn der VPN-Tunnel aufgebaut wird.

Habe bei Kunden, die noch eine SOPHOS SG und XGS haben, übrigens das gleiche Problem.

Besten Dank für Hinweise

Gruß
Christoph
October 23, 2025, 11:10:08 PM #1
Quote from: cklahn on October 23, 2025, 07:48:28 PMich habe bei mehreren Kunden einen lokalen Exchange-Server im Einsatz, der per Webproxy (HAProxy) von aussen erreichbar ist. Autodiscover und der eigentliche Zugriff erfolgt immer von aussen (ist als Split DNS aufgesetzt).
Genau in diesem Fall braucht es ja kein Split-DNS, wenn du Zugriffe immer über den Reverse-Proxy laufen sollen, der direkt auf der öffentlichen IP lauscht.

Das DNS soll also in jedem Fall die öffentliche IP liefern. Also kann man die Antwort einfach dem öffentlichen DNS überlassen.
Es braucht lediglich eine Regel, die den Zugriff erlaubt.

Wenn das so ist, sollte VPN da keinen Einfluss haben.

Grüße
October 25, 2025, 01:11:08 AM #2
Meinst Du eine ausgehende Regel vom VPN-Netz nach aussen per Port 153?
October 25, 2025, 09:06:21 AM #3
Nein, ich meinte die Verbindung zum Reverse-Proxy muss erlaubt werden.

Ich nehme an, du stellst den VPN Clients DNS bereit, und im DNS hast du eine Host Überschreibung für die Exchange-Domain. Diese sollte weg. Dann bekommen die Clients die öffentliche IP aufgelöst.
Den Zugriff explizit zu erlauben wäre nötig, wenn diese IP über das VPN geroutet wird. Vom WAN aus ist der Zugriff ja bereits erlaubt, wie ich es verstanden habe. Wenn das ohnehin nicht der Fall ist, sollte es auch problemlos klappen, ansonsten ist die Ursache anderswo zu suchen.

DNS Zugriff von den VPN-Clients müsste dann natürlich auch erlaubt sein, aber das funktioniert ja wohl, ansonsten könnten sie auch andere lokale Hosts nicht auflösen. Das dürfte ja das Ziel der DNS-Bereitstellung sein.
Print
Go Up Pages1
User actions