Fritz!Box 7270 und Exchange

Experimente

Hallo zusammen!
Ich habe nun mit den MTU-Einstellungen gespielt und leider keine Lösung des Problems herbeiführen können.

Ich habe dabei auch nochmal den Zugriff auf den OWA getestet und festgestellt, dass ich beim Zugriff dort eine Zertifikatswarnung erhalte: Das Zertifikat sei nicht von einer vertrauenswürdigen Stelle ausgestellt... Kann es da einen Konflikt geben, der nur bei der Fritz!Box auftritt, weil sie einfach etwas kritischer ist als andere Router?

Ach ja, Asche auf mein Haupt, ich bin noch immer die Antwort auf die Frage nach der Entourage-Version schuldig: Ich nutze Entourage 2008 mit allen aktuell verfügbaren Updates.

Liebe Grüße
Wolfgang
 
(...) dass ich beim Zugriff dort eine Zertifikatswarnung erhalte: Das Zertifikat sei nicht von einer vertrauenswürdigen Stelle ausgestellt (...)

Nein, die FB wertet die Gültigkeit eines SSL-Zertifikats nicht aus (kann sie auch nicht), das macht ausschließlich der Client (Browser, E-Mail-Prgramm...), der mit dem Zertifikat den Traffic verschlüsseln soll.

Vor der Verschlüsselung prüft der Client dabei anhand offizieller Zertifizierungsstellen (bspw. Verisign), ob dieses Zertifikat eben vertrauenswürdig ist, sprich, ob die Zertifizierungsstelle als Aussteller des Zertifikats die Echheit desselben bestätigen kann, womit auch die Herkunft und Authentizität der später zu übermittelnden Daten als gesichert gelten darf.

Bei euch wird es dann scheinbar ein selfsigned-, also selbsterstelltes Zertifikat sein - kein Problem, wenn man den Aussteller persönlich kennt und ihm vertraut.

Allerdings fällt dann der Client auf die Nase, wenn er so eingestellt ist, dass er nach einer erfolglosen Zertifikatsprüfung eine verschlüsselte Verbindung ablehnt und diese schlicht kappt.

Wenn du bei der beschriebenen Fehlermeldung über OWA die Möglichkeit hast, dir das Zertifikat anzeigen zu lassen, wirst du auch die Möglichkeit haben, es als File zu sichern (im Firefox kannst du es auch direkt den Ausnahmen hinzufügen).
Sollte das gelingen, wird es erstmal ausreichen, das Zertifikat manuell in den lokalen Zertifikatsstamm vertrauenswürdiger Zertifikate (oder Zertifizierungsstellen, je nachdem, wie MacOS das handhabt) zu importieren.
Wie das bei dir funzt, musst du mal ergooglen, wenn du's auch nicht direkt parat hast.

Und dann schau' mal, ob du weiter kommst - immerhin hat dein Client ja schonmal das Zertifikat von eurem Exchange bekommen, sonst käme diese Fehlermeldung nicht - also klappt grundsätzlich der Verbindungsaufbau...
 
Zuletzt bearbeitet:
Und dann schau' mal, ob du weiter kommst - immerhin hat dein Client ja schonmal das Zertifikat von eurem Exchange bekommen, sonst käme diese Fehlermeldung nicht - also klappt grundsätzlich der Verbindungsaufbau...
Das stimmt so leider nicht ganz...

Zur Geschichte: Das Zertifikat habe ich bei mir auf dem Rechner schon abgelegt bzw. die Seite im Browser als vertrauenswürdig gespeichert. Nach dem Hinweis im Forum hab ich mal die Zertifikate ausgeräumt und nachgesehen, ob da was schief laufen könnte... Es melden sich nun Browser und Entourage wegen des angeblich nicht vertrauenswürdigen Zertifikatausstellers. (Eigentlich auch nur, wenn ich über UMTS oder eben nicht die FB rausgehe)

Ich habe aber eine interessante Beobachtung gemacht: Wenn ich die Fritz!box neu starte, dann poppt diese Warnung von Entourage kurz auf, verschwindet dann aber gleich wieder. Das klingt für mich ganz so, als würde von der FB beim Start etwas geladen, was dann die Verbindung zum Exchange verhindert.

LG Wolfgang
 
So langsam komme ich nicht mehr mit...

Mein letzter Stand war, dass deine Mac-Browser beide in einen Timeout laufen.

Jetzt bekommst du aber kurz den Zertifikats-Fehler - und das heißt, dass der Exchange durch deine FB sein Zertifikat zum Browser oder Entourage geschickt hat, sonst könnten die das nicht wie auch immer bewerten.

Tatsache ist, dass eine Standard-FritzBox im Bereich der Internetverteilung im LAN ein "simpler" NAT-Router ist: Anfrage von intern annehmen, mit eigener WAN-IP nach extern schicken, Antwort erhalten und dem ursprünglich Anfragenden intern zurücksenden. Kein Cache. Kein Mitlesen bzw. Bewerten des Traffics.

Ich glaube, ich passe erstmal...
 
Zuletzt bearbeitet:
Ich glaube, ich passe erstmal...

Das kann ich Dir nicht verübeln!

Ich habe mich in den letzten Stunden bemüht, den Fehler einzugrenzen. Dabei habe ich auch den Zertifikatespeicher geleert.
Nach wie vor laufen alle Browser des Mac ins Timeout, Entourage kann sich nicht verbinden. Durch das Löschen der Zertifikate bin ich allerdings draufgekommen, dass beim Neustart der FB bei laufendem Entourage kurz die Zertifikats-Warnung aufpoppt, hier also Traffic zum Server durchkommen muss. Allerdings nur kurz, denn dann dürfte auf der FB etwas geladen werden, was diese Kommunikation wieder unterbindet.

Liebe Grüße
Wolfgang
 
Schneid' doch mal den Traffic während des Verbindungsversuchs auf der FB mit (how to) und schau dir den Mitschnitt in Wireshark an (oder poste ihn hier) - vielleicht kommt man dann weiter...

PS: Irgendeinen Trojaner oder sonstigen Schädling auf deinem Mac, der sich da in den Traffic einklinkt, kann man ausschließen...?

PPS: Solltest du den Mitschnitt posten: es kann sein, dass deine Benutzerdaten im KLARTEXT zu lesen sind!!
 
Geschafft!

Lieber PCMor,
Schneid' doch mal den Traffic während des Verbindungsversuchs auf der FB mit
Der Tipp war Gold wert. Ich habe den Traffic mitgeschrieben und dabei festgestellt, dass der Verkehr zwar nicht zum Exchange-Server durch kommt - was mir von Serverseite ja bestätigt wurde - aber er kommt bis zur Firewall. Es hat sich scheinbar um eine Geschichte zwischen Firewall und FB gehandelt, warum ich über DSL nicht auf den Exchangeserver habe zugreifen können. Warum es zB über die UMTS-Verbindung trotzdem gegangen ist, das habe ich bis jetzt noch nicht begriffen...
Der Admin hat jetzt was an der Firewall gedreht und jetzt komme ich wieder über die FB an meine Mails.

Vielen herzlichen Dank allen Helfern!!!!
Liebe Grüße aus Salzburg
Wolfgang
 
Ich nehme mal an das Exchange- und Firewalladmin die selbe Person ist. In diesem Fall könnte ich es mir glaube nicht verkneifen zu fragen warum er es nicht schon beim ersten mal gesehen hat.
 
Na wunderbar :)

Auch, wenn ich jetzt schon noch gerne wüsste, an welcher Regel dein Exchange-/Firewall-Admin nun noch gedreht hat - und warum es mit deinem alten Router bei gleicher Konstellation ohne besagten nachträglichen Admin-Eingriff funktioniert hatte...

Aber grundsätzlich erstmal schön, dass dein Problem aus der Welt ist!

Viel Spaß weiterhin und bis demnächst in diesem Theater :D
 

Statistik des Forums

Themen
246,300
Beiträge
2,249,714
Mitglieder
373,904
Neuestes Mitglied
Elemir
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.