@podvox23

Как обеспечить доступ мобильному телефону к Exchange в локальной сети, не используя vpn?

Доступ к нашему серверу Exchange открыт только внутри локальной сети. Мобильные клиенты стучатся к нему внутри VPN по протоколу IMAP. Но есть у нас один сотрудник, которому можно все, он отказывается настраивать VPN на своем телефоне.
Какие существуют способы дать доступ к Exchange мобильному телефону с ios, не устанавливая на него никаких приложений и не используя vpn? Не хотелось бы пробрасывать порты почты в интернет ради одного человека.
  • Вопрос задан
  • 176 просмотров
Пригласить эксперта
Ответы на вопрос 8
Francyz
@Francyz
Photographer & SysAdmin
Не хотелось бы пробрасывать порты почты в интернет
Тогда никак.
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer
1. Проброс портов (DNAT).
2. Load balancer типа Haproxy.
3. Сервер клиентского доступа (Client Access role) Exchange

Предполагаю, что если вы спрашиваете о таких банальных вещах - знаний у вас не хватает и я бы вам не советовал выпускать exchange наружу любым из способов, если вы и ваша компания не хотите нарываться на проблемы типа https://www.microsoft.com/security/blog/2021/03/02...
Ответ написан
@salavec
Создай А запись в днс согласно внешнему имени на локальный ip серврера или DAG если используется
Ответ написан
@Mnemonic0
Задача: дать дать доступ к Exchange снаружи без VPN c IOS без проброса портов.
Ответ: никак

Захотите предоставить доступ. Вариантов несколько:
Доступ в браузере через OWA - DNS,NAT
Доступ через IMAP - NAT
Полноценное конфигурирование с autodiscover,без всякого старья аля IMAP/POP3 - DNS, NAT, серты

Предоставить доступ только с определённого устройства:
Разрешаем использовать только определённую версию IOS
Запрещаем использовать ActiveSync для всех, кроме данного пользователя
Запрещаем использовать OWA для всех, кроме данного пользователя
Ответ написан
@romancelover
программист C++ под Linux
Мысль такая: берём у провайдера IPv6, у того, кто хочет подключаться без VPN, тоже ставится IPv6 (хорошо, если у него оператор МТС, иначе без VPN не обойтись), и он подключается к хосту с Exchange или какими-то другими локальными сервисами. Для ограничения доступа можно перед хостом поставить firewall, блокирующий подключения к Exchange. Перед подключением клиент выполняет какое-то действие, требующее аутентификации (например, обращается по HTTPS ссылке с указанным сертификатом или логином и паролем, или заходит по SSH с определённым ключом, просто заходит, не вводит какую-то команду), можно и port knocking'ом просто обратиться, (хотя это уже не так безопасно, если кто-то может просмотреть трафик клиента), и по этому действию с адреса клиента на определённое время разрешается доступ к сервисам.
Хотя можно и просто порты пробросить, и не использовать IPv6, с контролем по такому же принципу (по умолчанию доступ закрыт, по какому-то действию с аутентификацией на определённое время с адреса клиента открывается). Без IPv6 возможна ситуация, что у клиента shared IP, и кто-то ещё с этого же IP зайдёт, но это маловероятно.
Ответ написан
@res2001
Developer, ex-admin
Используйте IMAPS, но порты все равно придется пробросить.
Ответ написан
ky0
@ky0
Миллиардер, филантроп, патологический лгун
он отказывается настраивать VPN на своем телефоне

Напишите письмо руководителю человека, объясните варианты и причины, по которым VPN лучше проброса портов.
Ответ написан
@NortheR73
системный инженер
Потыкайте для начала Remote Connectivity Analyzer для проверки соединений и/или ошибок.
iOS умеет спрашивать autodiscover и настраивать мобильного клиента.
Как Ваш Exchange ходит в интернет?
Сервис autodiscover (autodiscover.yourdomain.yourtld) как-то опубликован в интернет?
И что у Вас с ActiveSync?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы