Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 6844 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

nat on port 443 not working

tekpoint
hello
 
I just installed a sbs server with exchange 2010. Now i know already that my isp blocks port 443 so in order for me to use Outlook Web Access from the internet i created the following nat rule:
 
traffic selector: Any -> port 12127 (or any other port of choice) -> External (WAN)
Dest. transaltion: Exchangeserver -> https service
 
Now, from the internet (another range then the one of my isp) i can reach the standard IIS page but if i try to go to the owa page(MyServer - Web hosting information and review | Just another WordPress site) i get as the classic certificate error on which i chose to continue anyway and then the following error page appears:
 
Forbidden
You don't have permission to access /owa/auth/logon.aspx on this server
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request
 
What am i missing here? Owa works perfectly in the lan, it also works if i change the nat port 12127 to 443 (but and only  from other networks of the same isp cos as i mentioned my isp won't allow port 443 to be reachable from other isp's networks). So i am pretty sure is not a IIS or certificate issue.
 
Anyone help please?
 
Ed
 
Sophos UTM9 - 9.006-5


This thread was automatically locked due to age.
  • 0
    By the looks of it, not an UTM issue at all.  Exchange / IIS issue -- you are getting a response from the IIS service -- the NAT rule has done it's job.

    If you have Webserver Protection enabled (doesn't sound like you do) on the UTM that could be an issue.
  • 0 in reply to BrucekConvergent
    Hello Bruce. Thanks for the reply.

    Idd I don't have web protection enabled and the reason why i think that to be an UTM issue is the fact that if i apply on the NAT rule port 443 both on the traffic selector and the destination translation then it works (keep in mind, as long as i operate for a different ip but form the same isp)
    So i  rather belive that something is happening between the point that the UTM directs the traffic of port 12127 to port 443 of the exchange. Browsing for the specific error i posted, brings you to a link of a linux forum...however that is all chinese to me 

    You don't have permission to access / on this server. - SOLVED
  • 0
    you can even change the port in exchenge OWA to 8443
    and have a straight NAT: 8443 to exchange 8443 cause IIS is a bit difficult
  • 0 in reply to Ol Deda
    Thanks for your suggestion Oldeda but problem is that exchange does not like changing the port. Never has since exchange 2003. This is because there are lots of internal things that are using http/https and many things are hard coded to use that port, such as Exchange ActiveSync, Outlook Anywhere, Autodiscover and the availability service. So I belive that changing port would only open up even more issues.
  • 0
    I found this article How to Change SSL Ports on OWA | eHow.com
    But as you say this may lead to other problems
    Consider to make a new NAT 8443 to 443 cause microsoft knows 8443 as https too
  • 0 in reply to Ol Deda
    The code for ActiveSync is getting confused because it is configured to listen on one port while the request is coming from another.  Not a UTM issue.

    The steps here How to Change SSL Ports on OWA | eHow  would be your best bet; you can also try just changing the URL parameter for OWA/etc. to use the port number as part of the URL without touch IIS... it may or may not work.
  • 0
    Just a quick update/conclusion for those who might come across the same issue that i had

    I just reinstalled my SBS and i came to the conclusion of this not being a UTM neither Exchange related problem but merely an ISP limitation. The solutions we discussed: 
    Doing a NAT translation to port 443: This will not work in exchange, since (as already mentioned) Exchange is hard-coded (for Outlook Anywhere) to work on port 443. Morover I think it could become pretty messy also with the configuration of Outlook on the client side.
    Using the alternative SSL port 8443: Not going for the same reasons mentioned above.
    So my only solution/conclusion (I know i am getting out of the UTM field but it might help somebody having the same problem who stumbles upon this post): change your ISP to one that will allow incoming traffic on 443. 
    If you live in Belgium, you might chose Belgacom where 443 is blocked per default but you can have them open it with a simple phone call. Telenet is the only ISP in Belgium so far to my knowledge that absolutely doesn't allow incoming 443 for residential subscriptions, all the others are pretty flexible in it.
    Cheers all and thanks for your time and answers!
    Ed