PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : BB Verbindung zum BES über WLAN deaktivieren?



BBManu
09.09.2013, 07:51
Hallo zusammen,
ich bin gerade dabei den BES 10 einzurichten und habe hier aktuell noch ein Problem.
Unsere aktuelle Umgebung BES10 im internen LAN und ein BES 10 Router in der DMZ.
Wenn wir das BlackBerry Endgerät (Q10 ) mit dem Firmen-Wlan verbinden versucht das Blackberry eine direkte Verbindung zum BES10 im internen LAN aufzubauen.
Diese Verbindung wird natürlich von unserer Firewall geblockt.
Ist es möglich das BlackBerry so zu konfigurieren das dieses eine Verbindung über das Internet und der BlackBerry Infrastruktur und über den BB Router in der DMZ herstellt und sich nicht direkt verbindet?

Danke euch,
Gruß Manu

Berry_Adm
09.09.2013, 18:54
Hallo Manu, wenn das Q10 den BES10 nicht direkt erreicht (warum lasst ihr das nicht zu?) dann geht er auf anderem Weg dort hin. Also über die BBI zum Router. Kommt das Q10 denn frei ins Web auf Port 443 aus dem internen WLan?
Allerdings kann es sein, dass eure Firewall merkt, wenn ein Gerät aus dem Firmen-WLan (also quasi von intern) kommt und sozusagen außenherum wieder rein will - und genau diese Verbindung auch blockiert. Hatten wir hier auch und mussten das an der FW erlauben. Über Mobilfunk klappt es, richtig? Lass deine Firewalladmins das mal prüfen... Konfigurieren kann man da am Q10 nichts.
Grüße
Ralf

BBManu
08.10.2013, 13:57
Hallo Ralf,

ich habe das Thema nun nochmal mit meinen Firewall Menschen aufgegriffen, wir haben nun festgestellt das das BlackBerry Direkt über 443 eine Verbindung zu unserem Exchange aufbaut und den BlackBerry Server komplett umgeht.
Wir wollen allerdings diesen Port nicht öffnen. Gibt es irgend eine Möglichkeit hier etwas am BlackBerry einzustellen? Das der Zugriff übers Internet bzw. über den Router gesteuert werden kann.

Danke,
Gruß Manu

Berry_Adm
08.10.2013, 15:15
Hallo Manu,
am Q10 gibt es da keine Einstellung. Standard ist die Verbindung über das Internet/BBI zum Router. Aus dem WLAN kann das BB aber ins Internet via Port 80 und 443? Wenn das nicht geht kann es durchaus sein, dass er versucht direkt zum Mailserver zu kommen, dessen Namen das Q10 im WLAN sicher auflösen kann? Und über Mobilfunk klappt alles?
Grüße
Ralf

BBManu
08.10.2013, 15:48
Internet funktioniert ohne Probleme es ist auch kein Proxy oder ähnliches dazwischen geschalten. Ja das BlackBerry kann den Namen auflösen ich vermute es hat die Information von dem Email-Profil welches auf dem BES erstellt und zugewiesen werden muss. Unter Mobilfunk funktioniert alles ohne Probleme.

Berry_Adm
09.10.2013, 07:54
Hallo Manu, "Internet funktioniert ..." - ja, gut, kannst Du denn an der Firewall sehen, wie das Q10 aufs Internet vom Firmen-WLAN aus zugreift? Es sollte dies auch über den BES10 machen! An der Firewall muss für diesen Traffic die Quell-IP Eures BES10 auftauchen. Allerdings nur wenn Du den Browser aus dem geschäftlichen Perimeter benutzt!! In dem Zusammenhang fällt mir auf: Du browst im Web doch hoffentlich mit den geschäftlichen Browser? Es ist ein unterschied, ob Du den privaten oder geschäftlichen benutzt! Privat = direkt raus / Geschäftlich = via BES10!
Du siehst das auch in den Logs des BES (Dispatcher). Verbindungen zum Exchange tauchen im EMWS und MDAT Log auf. Check die Logs auf Fehler. Und prüfe, ob aus dem Firmen-WLAN Port 443 nach außen offen ist - Internet ist zu allgemein, Browsen ist in erster Linie Port 80!
Ein weiteres: Wie ist die IT-Policy eingestellt? Hast Du die angepasst bzw. eine neue erstellt und zugewiesen? Welche Einstellungen?
Gruß, Ralf

BBManu
09.10.2013, 13:52
Hallo Ralf,

das BlackBerry geht im Firmen-WLAN direkt ins Internet und nicht über den BES sonst würde hier eine Proxy Authentifizierung kommen. Zugriff auf das Intranet im Firmen-WLAN funktioniert auch nicht. Egal welchen Browser ich verwenden bei beiden ist das Verhalten hier gleich. Ist das BB allerdings nicht im Firmen-WLAN funktioniert alles richtig, zugriff auf das Intranet über den Geschäftsbrowser aber nicht über den Privatbrowser.
im Log ist mir nur diesen Punkt hier aufgefallen:
<2013-10-09 09:15:12.144 CEST>:[7409]:<MDS-CS_DEBU-SBB03_MDS-CS_1>:<DEBUG>:<LAYER = IPPP, EVENT = Sending, TAG = 146283056, DEVICEPIN = 2aed65f5@[B@7edd5b9b, VERSION = 16, CONNECTIONID = 1439959037, SEQUENCE = 0, TYPE = ERROR, SIZE = 68, ERRORCODE = 127, ERRORMSG = [could not connect to www.google.de:80 (http://www.google.de:80) for connectionid = 1439959037], PERIMETERID = 1;4BD5AD0E-EDA0-4B03-A228-FE0B01F4BF0C>
Die Verbindung über 443 aus dem Firmen-WLAN funktioniert.
Die IT-Policy haben wir neu erstellt allerdings nichts besonderes eingestellt, Passwort Sicherheit, Firmen-WLAN, Email- Profil

Gruß Manu

Berry_Adm
09.10.2013, 14:10
Hallo Manu,
zum Test setze in der Policy unter Security "Network Access Control for Work Apps" auf YES. Zwingt alle Work-Apps über den Device Service.
Ansonsten sieht es nach Deiner Beschreibung tatsächlich so aus, als könne das BB aus dem Firmen-WLAN zur BBI kommen, denn 443 ist ja offen wie du sagst.
Der Logeintrag wiederum zeigt, dass vom BES10 kein Zugriff aus Internet (ohne Proxyauthentifizierung) möglich ist. Wenn ihr einen Proxy habt, muss der als Profil mitgegeben werden. Da ist aber die Stelle wichtig! Wenn immer der Proxy angefragt wird, dann gehen die Anfragen an interne Ressourcen (Mailserver, Intranet) ins Leere.
Einfacher wäre, alle Anfragen des BES10 am Proxy vorbei direkt raus zu lassen. Das habe ich hier aus genannten Gründen zum Glück umsetzen können. Kenne auch andere, die mit Proxy und BES10 nicht glücklich geworden sind.
Viel mehr kann ich jetzt auch nicht mehr sagen...
Grüße und viel Erfolg! Habt ihr keinen Support, Provider wenigstens?
Ralf

BBManu
09.10.2013, 15:04
Ralf du bist mein Man, der Punkt "Network Access Control for Work Apps" war die Lösung. Sieht richtig gut aus, vielen vielen Dank.
Ich hätte jetzt nur noch eine letzte Frage bezüglich der Proxy Einrichtung. Wenn ich den geschäftlichen Browser nehme wo muss ich dann hier eine Proxy hinterlegen?
Ich habe schon ein Proxy Profil erstellt, allerdings habe ich keinen Punkt gefunden wie ich dieses Profil einem User zuordnen kann.

Berry_Adm
10.10.2013, 14:45
Ich glaube, Du musst das Proxy Profile der Device Service Instance zuweisen. Du findest das im Admin Guide für den BB Device Service.