Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2726 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

simple SBS setup?

ttecher
I have an SBS 2003 server running Exchange, but no ISA. Keep in mind this is all one box. Topology as follows: SBS box presently serves as the firewall for my internal LAN (192.168.1.0) and has an external static WAN IP address behind a DSL modem. I only have one spare static IP address left in my block of 5. 

I download POP3 email from my ISP, but send SMTP outbound directly from Exchange.

I need to connect to my server from the road, and I presently use the SBS remote web workplace to do so. I am not locked in to this and would be happy to use one of the various ASG provided remote access methods if this would work better.

No web server.

I want to insert the ASG between the SBS box and the DSL. 

1. How should I configure the (2) interfaces on the ASG and the external interface on the SBS box? 
2. What else do I need to do with SBS/Exchange to make this work? ie the Exchange SMTP connector, etc. 
3. What is the best remote access scheme for me?

thanks for the help!


This thread was automatically locked due to age.
Parents
  • 0
    I thinking that I should insert the ASG between DSL and SBS box. I would reconfigure the external interface on the SBS box to 192.168.2.X, and set the LAN interface of the ASG to an address in that range.

    Then the WAN interface of the ASG is set to the static (public) IP address that was previously the external address of my server.

    Since I use my server only to send outbound SMTP email (I download incoming from POP3), must I still configure the ASG for SMTP proxy?

    The more I think about remote access, I really do like the "remote web workplace" set up that SBS 2003 provides. Can I still make that work?
  • 0 in reply to ttecher
    I thinking that I should insert the ASG between DSL and SBS box. I would reconfigure the external interface on the SBS box to 192.168.2.X, and set the LAN interface of the ASG to an address in that range.


    Then the WAN interface of the ASG is set to the static (public) IP address that was previously the external address of my server.[/QUOTE]
    That´s right.

    Since I use my server only to send outbound SMTP email (I download incoming from POP3), must I still configure the ASG for SMTP proxy?

    You must not use this function, but it is recommandable to use this function to check the outgoing mails for bad content.

    The more I think about remote access, I really do like the "remote web workplace" set up that SBS 2003 provides. Can I still make that work?

    If you want use this function from outside, I assume, you can securely realize it with VPN.
  • 0 in reply to Cowiz
    As the other points have been covered I'll just comment on RWW...

    You should be able to accomplish this. You will need to publish the internal webserver through the firewall. You will need to configure a DNat rule to publish ports 443 (https) and 4125 (RWW) and route these to the IP address configured on your external facing NIC. BEWARE THOUGH! You will need to move the client portal port(location for download of vpn clients) from the default port of 443 before starting this process! 

    You will then need to configure the access rules to allow the same ports on the server from all external addresses this should allow access.

    Hope this helps.
Reply
  • 0 in reply to Cowiz
    As the other points have been covered I'll just comment on RWW...

    You should be able to accomplish this. You will need to publish the internal webserver through the firewall. You will need to configure a DNat rule to publish ports 443 (https) and 4125 (RWW) and route these to the IP address configured on your external facing NIC. BEWARE THOUGH! You will need to move the client portal port(location for download of vpn clients) from the default port of 443 before starting this process! 

    You will then need to configure the access rules to allow the same ports on the server from all external addresses this should allow access.

    Hope this helps.
Children
  • 0 in reply to jim_bo
    Wouldn't recommend Client VPN at all since it's very easy to get in a situation where you end up having some unknown and unmanaged PC (with who knows what installed and active on it) connecting directly to your internal network in virtual ways.

    Thing is that VPN only secures the transport. It does nothing for the security of source and destination.
  • 0 in reply to Arthur.Bommele
    No offence, nobody should be allowed to connect to an internal device with an unknown and unmanaged device, wether by VPN nor any other service. Though a SBS is a all-in-one box, compromising it by opening well known ports should keep clearly in mind. 

    It could be a solution, if it would be essential, to create a DNAT-Rule e.g. with a port 20000 to 4125 by calling this service from WAN with extern_ip_address:20000.
  • 0 in reply to Cowiz
    Indeed, but RWW doesn't exactly allow for direct (virtual) access to an internal device as, say, VPN or RDP would.

    As far as I understand it, with SBS2003, you have to open up an authenticated HTTPS to the SBS2003 portal web server first. There you initiate a RWW connection between the unmanaged device and the SBS2003 portal web server and that RWW connection gets translated into a RDP connection between the SBS2003 portal web server and an internal device.

    Also note that nothing is listening for RWW at the SBS2003 portal web server unless there's a validated RWW connection initiated. So given the choice between VPN, RDP of RWW I would recommend RWW. On the other hand, none of those will protect against, say, key loggers. Yet RDP and RWW will protect against, say, a port scanner. But RDP requires a continues listener where RWW does not.

    If you want to change the default RWW port into something else you likely will have to perform a registry hack somewhere.

    The non registry hack DNAT rule would be Any -> RWW (TCP 1024:65535->4125) -> Internet address portal web server. With a Destination translation of your internal address portal web server.

    The Packet Filer would be Any -> RWW -> internal address portal web server.
Cookie Information Banner