Доброго дня

Есть Exchange 2007 и DFL-800. На DFL настроен проброс портов на внутренний почтовик.

GS_Mail (Exchange Server 2007) : 192.168.0.5
wan1_ip : 82.82.82.82

Правила:
Имя: SAT_HTTPS_Ext-2
Действие: SAT
Сервис: https-in

Источник: Any all-nets
Назначение: core wan1_ip

На вкладке SAT указан почтовый сервер GS_Mail

Аналогичное правило, только без SAT, создано для Allow.

Из вне, можно свободно, с помощью коммуникатора подключиться. Синхронизация работает на ура. Но вот из локальной сети не возможно. Т.е. пробовал через Wifi (внутренний) и через Центр устройств ПК (Windows Mobile) не работает.

Если, смотрим на соединения в DFL во время синхронизации с Exchange, то видим:

Состояние Proto Источник Назначение Таймаут
zombie TCP lan:192.168.0.100 core: 82.82.82.82:443 0

Помогите советом, пожалуйста.

Для доступа изнутри сделайте дополнительно

SAT lan/lannet core/wan1_ip https-in (SAT: new destination = GS_Mail)
NAT lan/lannet core/wan1_ip https-in

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ситуация такая же. Такие правила я уже пробовал создавать.

Приношу извинения за не полную информацию, но хочу еще уточнить по поводу имен серверов.

Внешнее имя почтового сервера mail.domen.ru. Зона DNS у хостинг-провайдера. Внутреннее имя почтового сервера mail.gorod.domen.ru.
Когда имена совпадали, то проблем не наблюдалось.

Если, сейчас седлать синхронизацию по внутреннему имени, то все пройдет, но опять из вне не будет работать.

а почему вы решили что проблема в дфл ?

озвучьте какой тип и в каком виде у вас выдан ssl сертификат (fqdn).

p/s и почему раньше у вас имена совпадали, а сейчас нет?

Проблема в DFL, потому-что из вне работает. А из локалки zombie я приводил.

Сертификат записан на коммуникатор через Windows Mobile. Из вне он работает. Если се5ртификат был бы не верным, то вообще не работало.

Доменное имя у нас было третьего уровня. Поменяли на второго. Но внутри остался третьего. Это было до меня и менять внутри домен хлопотно, когда все итак стабильно работает.

раньше у вас работало т.к доменные имена совпадали, а значит сертификат ssl выданный именно на это имя fqdn: mail.domain.ru был верный для обоих случаев (из нутри и снаружи адрес один, и сертификат собственно подтвержда это), сейчас же у вас сертифкат остался тем же - допустим mail.domain.ru ( именно его FQDN я и просил вас указать чтобы стало понятно с какой стороны вам надо подходить к решнию вашей проблемы), а когда вы из локалки пишите в адресной строке https://mail.gorod.domen.ru , а сертификат выдан для mail.gorod.ru - есстественно работать не будет., и это не вина dfl.

Могу предложить 2 варианта - коли у вас есть домен, то и локальный днс , просто в нем сделайте разделяемый днс для вашего доменного имени., и через него спокойно на аналогичное имя что и из вне заверните запросы локальных пользователей т.е тот же mail.domain.ru, тока соотв. он сразу будет бежать на локальный ip exchange, но зато сертификат верно проверит имя.
Или же второй - переделать сертификат с обычного который у вас сейчас на wildcard.

Уточняю про сертификат. Он не тот же, а заменен. Соответственно в него включены уже имена как внутреннего, так и внешнего домена.

Уточните еще про адресацию - mail.gorod.domen.ru имеет тот же публичный адрес, что и mail.domen.ru или внутренний?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

у вас есть внутренний днс в домене?, создайте alias mail.domain.ru с локальным ip адресом exchange. Тогда ваши локальные пользователи будутнапрямую попадать на exchange без DFL.

Я так понимаю, что нужно создать запись CNAME во внутренней зоне DNS. Пробовал создать, но вот ругается типа: DNS-имя содержит записи, несовместимые с записью CNAME. Но это, как я понимаю, вопрос не в этот форум.