Zarafa Port 236/237

[catweazle71]

Hallo zusammen,

wozu eigentlich ist der Port 236 bzw. 237 (SSL) notwendig ???

Ich habe derzeit nur 443 freigegeben und kann darüber sowohl ActiveSync als auch webaccess laufen lassen.

Wo ich allerdings Probleme habe, ist bei Nutzung des Zarafa webaccess von außen (WAN). Ich greife per ReverseProxy (von meiner DS211+ realisiert) auf meine Webseiten zu und dabei bekomme ich stets Fehlermeldungen (404), wenn ich die Zarafa webaccess Seite aufrufe.

 

[cyorps]

Diese Ports sind für die Kommunikation mit einem Exchange-Desktop-Client wie z.B. Outlook notwendig. Beim Problem vermute ich, das etwas mit deiner Portweiterleitung vom Router zu DS nicht stimmt.

 

[catweazle71]

Hi cyorps,

danke für die Erklärung

Bzgl. meines Problems glaube ich das eher nicht direkt. Nutze auch schon andere Inhalte auf dieselbe Art. Per https an den Reverse Proxy, und von da per http intern weiter an den eigentlichen Web-Server.
Es ist auch nicht so, dass gar nichts geladen wird, ich sehe schon die Oberfläche von Zarafa webaccess, aber nicht die Inhalte ...

 

[cyorps]

Ohne mich jetzt mit Reverse Proxies auszukennen würde ich mir trotzdem entsprechende Logeinträge des Proxy heraussuchen. Denn aus deiner Beschreibung geht hervor, dass zur Anmeldung der Weboberfläche zwar richtig geroutet wird, aber der restliche, webclient-interne Datenverkehr nicht mehr am Rechner ankommt. Da müsste man doch etwas in den Logs sehen!?

Die Logs ich ich von Zarafa kenne, findest du unter /var/log/zarafa.

 

[catweazle71]

Ich schau mir die Logs mal an ...

 

[Maeckes]

Hallo,

benötigt man eine Firewallregel für Port 236/237 auch, wenn man nur im LAN auf die DS mit Outlook zugreiffen will?

Gruß und Danke!

 

[WolfBerlin]

Nope, Firewallregeln sind nur für Zugriffe von außen erforderlich.
Auf dem Rechner auf dem das zugreifende Outlook läuft kann aber eine Anwendungs-Firewall / die (Anwendungs-) Firewall-Komponente einer Internet Security Suite dazwischenfunken. Diese ist als Übeltäter ausgemacht wenn nach temporären Ausschalten eben dieser Firewall alles funzt. Dann sollte man die FW-Regeln checken, wo denn was blockiert wird.

 

[Maeckes]

Hallo Wolf,

kaum zu glauben, aber seit die Firewall in der DS aus ist, geht es auch mit Outlook im LAN. Danke!

 

[491810]

Kann mir mal jemand erklären, wieso ich (und bei mir sind die Firewallregeln alle gesetzt und auch richtig - bin selber Fachinformatiker SI) die Verbindung mit dem 237er (SSL) nicht "harmoniert" (236er - also ohne SSL - geht wiederum problemlos)?

 

[fbartels]

Hallo 491810,

auch wenn du Fachinformatiker bist, "nicht harmoniert" ist leider keine wirklich aussagekräftige Fehlerbeschreibung.

Bitte schreibe genau was du versuchst zu erreichen, und welche Fehlermeldung du dabei erhältst (Fehlermeldungungen bitte wort wörtlich, oder per Screenshot).
Was steht zu diesem Zeitpunkt im server.log von Zarafa? Eventuell könntest du das Logging von Zarafa kurzzeitig auch auf Level 6 stellen (zur Übernahme reicht ein Reload des Servers, Neustart nicht nötig).
Wie sieht die server.cfg von Zarafa aus ("gut" ist hierbei keine Antwort, lade sie am besten zu Pastebin o.ä. hoch)?
Eventuell auch von Belang: welche Version des Zarafa Clients setzt du ein, und welche Version von Outlook?

Da dies aber über die Frage des eigentlichen Threaderstellers hinausgeht, würde dich dir empfehlen einen neuen Post aufzumachen.

Gruß Felix

 

[491810]

Hallo 491810,

auch wenn du Fachinformatiker bist, "nicht harmoniert" ist leider keine wirklich aussagekräftige Fehlerbeschreibung.

Bitte schreibe genau was du versuchst zu erreichen, und welche Fehlermeldung du dabei erhältst (Fehlermeldungungen bitte wort wörtlich, oder per Screenshot).
Was steht zu diesem Zeitpunkt im server.log von Zarafa? Eventuell könntest du das Logging von Zarafa kurzzeitig auch auf Level 6 stellen (zur Übernahme reicht ein Reload des Servers, Neustart nicht nötig).
Wie sieht die server.cfg von Zarafa aus ("gut" ist hierbei keine Antwort, lade sie am besten zu Pastebin o.ä. hoch)?
Eventuell auch von Belang: welche Version des Zarafa Clients setzt du ein, und welche Version von Outlook?

Da dies aber über die Frage des eigentlichen Threaderstellers hinausgeht, würde dich dir empfehlen einen neuen Post aufzumachen.

Gruß Felix

Okay. Hatte nur schon Foren erlebt, wo ich die Leute mit dem Fachchinesisch überfordert hatte. Also ...

Ich habe eine Astaro ASG120 UTM9, die hier in den USA - wo ich derzeit wohne - hinter einem Router von
Verizon FiOS (Kabelmodem) steht. Auf beiden ist der Port 236 wie auch 237 per Portforwarding aktiviert.

D.h. WAN>236/237>192.168.1.2/24 (die interne IP ist meine ASG!). die ASG hat ein Portforwarding via NAT.
D.h. meine Synology DS713+, die in der DMZ steht und die 10.0.0.10/24 hat ist auf 192.168.1.2 auf port
236/237 erreichbar bzw. "horcht" dort. Auf der Synology DS713+ ist natürlich 236/237 ebenfalls aktiviert.

Nun hatte ich mir den Zarafa Server mit einem selbst erstellten SSL Zertifikat soweit eingerichtet, dass er
endlich mit aktiviertem 236 (non-SSL) und 237 (SSL) fehlerfrei startet und auch von außen über mein iPhone
(Exchange) erreichbar ist - was ja beim Zarafa bequem über den https (443) port funktioniert. Soweit so gut.

Auch kann ich mein Outlook mit dem Zarafa Plugin auch lokal im Intranet (172.16.0.0/24) dazu bewegen, dass
ich den Zarafa Server erreiche. Aber selbst hier bekomme ich es leider nicht hin, per SSL (237) zu verbinden.

Dabei wird mir jedes Mal folgende Fehlermeldung angezeigt - die wiederum "network error" nicht aussagekräftig ist:
"Ein unbekannter Fehler ist auftgetreten, Error-Code: 0x80040115"

Im "server.log" bekomme ich lediglich folgende Fehlermeldung wiederkehrend: "Error while connecting to indexer on
file:///var/run/zarafa-search". die restlichen logs geben mir jetzt keine bedenklichen Fehlermeldungen aus.

Muss jetzt aber erstmal die config auf Level 6 umstellen damit ich Dir/euch dann mal einen ausführlicheren Extrakt
posten kann. Wie gesagt, ich verstehe eben "nur" nicht, wieso ich nicht zum zarafa via 237 connecten kann (?).

 

[491810]

Habe auch nochmal probiert (nicht gerade representativ) aus dem LAN über meine öffentliche dyndns-IP (also quasi
von hinten durch die Brust ins Auge) per SSL (237) zu connecten. Da bekomme ich den Fehler, dass ich leider keine
Verbindung zum Server erhalten konnte und wurde gefragt, ob ich die Einstellungen dennoch speichern möchte.

Also alles ein wenig crazy. Aus den LAN kann ich weder via 172.16.0.5/24 (das ist die 2nd LAN Schnittstelle des
DS713+, die in meinem LAN hängt) noch via 10.0.0.10/24 (die 1st LAN Schnittstelle, die in der DMZ hängt) connecten.

So ... hier mal der Extract des 'server.log' - was mir aber auch nicht sagt, warum ich nicht per 237 connecten kann:

Sun Oct 27 13:57:14 2013: Starting zarafa-server version 7,1,2,39121, pid 12092
Sun Oct 27 13:57:14 2013: Config warning: Option 'index_services_enabled' is not used anymore.
Sun Oct 27 13:57:14 2013: Config warning: Option 'index_services_path' is not used anymore.
Sun Oct 27 13:57:14 2013: Config warning: Option 'index_services_search_timeout' is not used anymore.
Sun Oct 27 13:57:14 2013: Using select events
Sun Oct 27 13:57:14 2013: Listening for priority pipe connections on /var/run/zarafa-prio
Sun Oct 27 13:57:14 2013: Listening for pipe connections on /var/run/zarafa
Sun Oct 27 13:57:14 2013: Listening for TCP connections on port 236
Sun Oct 27 13:57:15 2013: Listening for SSL connections on port 237
Sun Oct 27 13:57:15 2013: Connection to database 'zarafa' succeeded
Sun Oct 27 13:57:15 2013: zarafa-licensed is running, but no license key was found. Not all commercial features will be available.
Sun Oct 27 13:57:16 2013: New internal session (3090243215779824683)
Sun Oct 27 13:57:16 2013: Loading searchfolders
Sun Oct 27 13:57:17 2013: Startup succeeded on pid 12098
Sun Oct 27 13:57:17 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-spooler
Sun Oct 27 13:57:17 2013: User SYSTEM receives session 792039538533212803
Sun Oct 27 13:57:17 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-spooler
Sun Oct 27 13:57:17 2013: User SYSTEM receives session 17700661467815911543
Sun Oct 27 13:57:17 2013: End of session (logoff) 17700661467815911543
Sun Oct 27 13:57:17 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-spooler
Sun Oct 27 13:57:17 2013: User SYSTEM receives session 7307614268266256432
Sun Oct 27 13:57:17 2013: End of session (logoff) 7307614268266256432
Sun Oct 27 13:57:17 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-spooler
Sun Oct 27 13:57:17 2013: User SYSTEM receives session 3497324654888947971
Sun Oct 27 13:57:17 2013: End of session (logoff) 3497324654888947971
Sun Oct 27 13:57:17 2013: End of session (logoff) 792039538533212803
Sun Oct 27 13:57:17 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-spooler
Sun Oct 27 13:57:17 2013: User SYSTEM receives session 11370573822840233141
Sun Oct 27 13:57:17 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-spooler
Sun Oct 27 13:57:17 2013: User SYSTEM receives session 9943443869955541265
Sun Oct 27 13:59:31 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-admin
Sun Oct 27 13:59:31 2013: User SYSTEM receives session 16674161886217396643
Sun Oct 27 13:59:31 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-admin
Sun Oct 27 13:59:31 2013: User SYSTEM receives session 13897160645128758040
Sun Oct 27 13:59:31 2013: End of session (logoff) 13897160645128758040
Sun Oct 27 13:59:31 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-admin
Sun Oct 27 13:59:31 2013: User SYSTEM receives session 13801734730746102884
Sun Oct 27 13:59:31 2013: End of session (logoff) 13801734730746102884
Sun Oct 27 13:59:31 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-admin
Sun Oct 27 13:59:31 2013: User SYSTEM receives session 1893937758788286674
Sun Oct 27 13:59:31 2013: End of session (logoff) 1893937758788286674
Sun Oct 27 13:59:31 2013: End of session (logoff) 16674161886217396643
Sun Oct 27 13:59:31 2013: User SYSTEM from file:///var/run/zarafa authenticated through Pipe socket using program zarafa-admin
Sun Oct 27 13:59:31 2013: User SYSTEM receives session 5842629245808646008
Sun Oct 27 13:59:31 2013: End of session (logoff) 5842629245808646008

 

[fbartels]

Deine Firewall kann höchstwahrscheinlich ausgeschlossen werden, da die direkte Verbindung ja auch scheitert.

Klingt ein wenig danach, als ob das SSL Zertifikat nicht ganz passt. Mach mal bitte ein "openssl s_client -connect 10.0.0.10:237".

PS: keine Lösung vielmehr ein Workaround. aber du könntest mittels Reverse Proxy die Outlook Kommunikation auch über Apache laufen lassen. Damit kommst du per Outlook auch in eingeschränkten Netzen an deine Daten.

 

[491810]

Was ich gerne hätte wäre ja der Zugriff auf mein Outlook via ssl (237) über das Internet ohne extra L2TP nutzen zu müssen.
Mit L2TP VPN Verbindung kann ich ja dank Verschlüsselung im Tunnel auch den Outlook direkt ohne SSL (236) kontaktieren.
Da das aber mit dem iPhone5 "Zucker-Ei" via https (443) funktioniert via Internet zum Zarafa zu connecten wäre es doch
super, wenn ich eigentlich ebenso ohne Problem mit meinem Outlook via Internet ohne L2TP von der Arbeit connecten könnte.

Anbei aber erstmal die Daten, die Du haben wolltest. Jetzt bin (war ich auch niemals zuvor) "deep" in Apache oder viel mit Linux
unterwegs. Hatte mal bei IBM als Windows Consultant ein AIX Kurs - okay ... ist ähnlich ... aber schon 12 Jahren her. Here we go ...

DS713> openssl s_client -connect 172.16.0.5:237
WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
CONNECTED(00000003)
depth=1 C = US, ST = USA, L = New York, O = [ENTFERNT], OU = Certificate Authority, CN = [ENTFERNT]\09, emailAddress = [ENTFERNT]
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/C=US/ST=USA/L=New York/O=[ENTFERNT]/OU=IT/CN=[ENTFERNT]/emailAddress=[ENTFERNT]
i:/C=US/ST=USA/L=New York/O=[ENTFERNT]/OU=Certificate Authority/CN=[ENTFERNT]\x09/emailAddress=a[ENTFERNT]
1 s:/C=US/ST=USA/L=New York/O=[ENTFERNT]/OU=Certificate Authority/CN=[ENTFERNT]\x09/emailAddress=a[ENTFERNT]
i:/C=US/ST=USA/L=New York/O=[ENTFERNT]/OU=Certificate Authority/CN=[ENTFERNT]\x09/emailAddress=[ENTFERNT]
---
Server certificate
-----BEGIN CERTIFICATE-----
[ENTFERNT]
-----END CERTIFICATE-----
subject=/C=US/ST=USA/L=New York/O=[ENTFERNT]/OU=IT/CN=[ENTFERNT]/emailAddress=[ENTFERNT]
issuer=/C=US/ST=USA/L=New York/O=[ENTFERNT]/OU=Certificate Authority/CN=[ENTFERNT]\x09/emailAddress=[ENTFERNT]
---
No client certificate CA names sent
---
SSL handshake has read 1926 bytes and written 523 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : AES256-GCM-SHA384
Session-ID: [ENTFERNT]
Session-ID-ctx:
Master-Key: [ENTFERNT]
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 07 81 b5 a9 f2 7b 30 3d-f8 16 f8 7a 29 09 1d 99 .....{0=...z)...
0010 - ea 70 c5 ec 22 3a aa b9-b7 22 d8 1f 70 a7 45 86 .p..":..."..p.E.
0020 - 68 94 1a c0 50 96 de 47-7e 98 df a6 6a 0e 9b 09 h...P..G~...j...
0030 - d5 e0 09 67 d3 91 46 7a-78 32 f5 02 fe 88 08 e2 ...g..Fzx2......
0040 - a7 3d 6d 7f eb b1 8f db-a8 5a 0f 0e fc 7c d7 5c .=m......Z...|.\
0050 - e1 ff 48 68 47 17 7b 50-c7 51 33 91 99 6b 10 96 ..HhG.{P.Q3..k..
0060 - 76 d9 6c 34 cd 68 28 ef-e6 d8 84 3f 92 57 7d 75 v.l4.h(....?.W}u
0070 - 3d d5 fa 67 e6 e4 32 c0-9e c3 6f bb 57 38 89 6b =..g..2...o.W8.k
0080 - 6f 81 df 32 dd 7f 9d 48-c5 2e b4 81 eb c7 59 fc o..2...H......Y.
0090 - db 5b b3 b9 20 2e 55 8d-34 6e c3 0d cf 00 80 8f .[.. .U.4n......

Start Time: 1382999841
Timeout : 300 (sec)
Verify return code: 19 (self signed certificate in certificate chain)
---
read:errno=0

 

[fbartels]

Hmmm.. eine harte Nuss. Ich vermute das es etwas mit deiner SSL Cipher (AES256-GCM-SHA384) zu tun hat. Kannst du mal AES256-SHA ausprobieren?

Zum Workaround: wenn du Apache wie hier (http://doc.zarafa.com/trunk/Adminis...party_components.html#_apache_as_a_http_proxy) beschrieben einrichtest kannst du dich gegen Port 443 statt 237 verschlüsselt verbinden. Solltest du dort allerdings die selbe Cipher haben ist die Chance hoch, dass dies ebenfalls scheitert (und meine These mit der Cipher untermauert).

 

[491810]

Hmmm.. eine harte Nuss. Ich vermute das es etwas mit deiner SSL Cipher (AES256-GCM-SHA384) zu tun hat. Kannst du mal AES256-SHA ausprobieren?

Zum Workaround: wenn du Apache wie hier (http://doc.zarafa.com/trunk/Adminis...party_components.html#_apache_as_a_http_proxy) beschrieben einrichtest kannst du dich gegen Port 443 statt 237 verschlüsselt verbinden. Solltest du dort allerdings die selbe Cipher haben ist die Chance hoch, dass dies ebenfalls scheitert (und meine These mit der Cipher untermauert).

Okay ... wenn´s daran liegt ändere ich eben das Zertifikat. Die Änderung dervon Dir genannten Einstellung geht doch über den Menüpunkt "Zertifikat" mittels "Zertifikat erstellen" unter "DSM-Einstellungen" oder muss ich diese Einstellung über eine Zertifikatserstellung auf der Kommandozeile machen??? Wenn letzteres - und das hast einen guten Link parat, der beschreibt, wie ich cih das mit SHA anstelle GCM384 mache - sende mir denn bitte mal - Danke.

Wundert mich dann eben nur, wieso ich mich per iPhone "Exchange" verbinden kann es aber um´s Verrecken nicht via Outlook SSL (237) funktioniert. Prüft Microsoft da etwas ab oder sind die Buben bzgl. der Einstellungen einfach nur zu unflexibel?

 

[fbartels]

Ah, ich dachte die Zertifikate hast du selbst erstellt. Ich nutze Zarafa nicht auf Synology sondern auf "echter" Hardware. Eine Anleitung zur Erstellung der Zertifikate findest du im Zarafa Handbuch: http://doc.zarafa.com/7.1/Administrator_Manual/en-US/html/_ssl_connections_and_certificates.html

Das darfst du nicht verwechseln (iPhone und Outlook) das eine ist Exchange ActiveSync, das andere ist die Mapi über Soap verbindung des Zarafa Clients. Das sind schon zwei unterschiedliche Prozesse (einmal zarafa-server direkt mit eigener http Implementation, einmal Apache über Z-Push, über php-mapi über zarafa-server).

 

[491810]

Ah, ich dachte die Zertifikate hast du selbst erstellt. Ich nutze Zarafa nicht auf Synology sondern auf "echter" Hardware. Eine Anleitung zur Erstellung der Zertifikate findest du im Zarafa Handbuch: http://doc.zarafa.com/7.1/Administrator_Manual/en-US/html/_ssl_connections_and_certificates.html

Das darfst du nicht verwechseln (iPhone und Outlook) das eine ist Exchange ActiveSync, das andere ist die Mapi über Soap verbindung des Zarafa Clients. Das sind schon zwei unterschiedliche Prozesse (einmal zarafa-server direkt mit eigener http Implementation, einmal Apache über Z-Push, über php-mapi über zarafa-server).

Ich hatte das sowohl so (per Synology erstellt) als auch so (direkt auf der Kommandozeile per openssl) mal ein Zertifikat erstellt. Das aktuell verwendete war glaube ich via Synology GUI.
Kann es aber nochmal neu erstellen. Muss es dann eben nur wieder - was ja keine große Arbeit ist - wieder im iPhone und iPads meiner Frau und mir eben als Profil wieder aktualisieren.

 

[fbartels]

PS: welche Version des Windows Client setzt du ein. Nicht zufällig noch eine 7.0.x Version?

 

[491810]

PS: welche Version des Windows Client setzt du ein. Nicht zufällig noch eine 7.0.x Version?

Nein. Aktuell ist v7.1.2.39121 installiert.