Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3818 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.000][QUESTION] Web Application Firewall with OWA and iPhone ActiveSync

MarCow
Hi,

I have Exchange 2007 running under VMWare, and up until ASG 8.0 had DNAT set up to route incoming HTTPS on port 443 to this VM.  After upgrading to ASG 8.000 a few days ago, this setup continued to work as you'd expect, but I decided to use Web Application Security instead.  I've set up the necessary  real web server, fronted by a virtual web server using advanced protection (and with the original DNAT entry turned off).  Initially I got a 403 error when accessing externally via Internet Explorer, until I switched my URL in IE to use the same FQDN as the ASG hostname, at which point everything started working.  It's been working well for the last 24 hours, until maybe 3 hours ago.

This morning, I found I was suddenly unable to access OWA via IE through the ASG from outside my network.  IE reports an "HTTP 403 Forbidden", with the actual message being "You don't have permission to access /owa on this server.".  What I don't understand was that this was working fine earlier today, and I didn't change anything related to this WAF (which I've confirmed by reviewing my change log under the Management menu).  I've tried restarting the Web App Security, and have even rebooted the ASG, but I still can't access OWA.  In the meantime, I'm still able to access my Exchange server via ActiveSync on my iPhone just fine, so the problem appears to be specific to OWA. 

Any suggestions on what I did wrong?  I could just revert to my original DNAT approach with WAF disabled, but I'd like to use WAF if I can.  What's puzzling me the most is that OWA access stopped working for no clear reason, while iPhone ActiveSync continued to work without an issue.

Thanks in advance,
Martin.


This thread was automatically locked due to age.
  • 0
    After some more experimentation, I found that disabling Cookie signing eliminates the issue and allows me to access OWA externally via IE.  I don't understand why however; I was originally using the Advanced Protection firewall profile unmodified without an issue, and this is the first time I disabled Cookie signing.  The WebAdmin help does mention disabling this option, but implies it's only necessary for local server access as opposed to external access.  Still, I'm up and running with OWA now, and hopefully this thread is useful to someone out there.
  • 0
    Martin, I was not able to get OWA to work under version 7 and now having the same struggles with version 8, any help would be greatly appreciated!
  • 0
    Hi,

    Under version 7, I just had a DNAT rules set up to redirect inbound port 443 traffic to the Exchange server.  This was all I had to do in order to get OWA (and ActiveSync) working.  What setup are you attempting, and are you able to access OWA successfully when on your local network (i.e. not going through the Astaro)?

    With version 8 the same port forwarding solution worked fine, but I decided to move to the new reverse proxy feature.  This took a little experimentation as mentioned above, but it was fine after a couple of minor adjustments.  I can document my config steps in full if that helps you out.

    Cheers,
    Martin.
  • 0
    Hallo,

    I' also interested in a nice little documentation or howto for getting OWA to work with WAF. Any info from you would be greatly appreciated.

    Thanks
    Stephan
  • 0
    The quick and easy way (without WAF) is to simply set up a DNAT rule to translate traffic from source "Any", service "HTTPS", destination "External (Address)" to a destination of your internal Exchange server.  It probably wouldn't be a bad thing to attempt this first, to confirm that you can indeed access OWA when outside your network.  If you can't, then there could be some other issue preventing access, such as firewall settings on the Exchange server itself, or an ISP block on inbound port 443 traffic.

    As for WAF, here's my configuration.  On WAF | Real Web Servers, I have my Exchange 2007 server set as the host, type SSL (HTTPS), port 443.  On WAF | Virtual Web Servers, I have a virtual web server set up of type SSL (HTTPS), certificate Local X509 Cert, interface External (Address), port 443, and my real web server checked in the box below.  I also have it set up to use Advanced Protection as the firewall profile.  Under WAF | Firewall Profiles, I had to edit the Advanced Protection profile to disable Cookie signing and URL hardening - I kept all other settings as they were originally.  Lastly, I enabled WAF on WAF | Global, and also disabled/deleted my original DNAT rule.

    Hope this helps - it ended up being quick to set up following these steps, and the DNAT-only approach took no time.

    Cheers,
    Martin.