Autor Thema: Welche Einstellung am Domino-Server für HTTP-Tunnel Connections auf Port 1352?  (Gelesen 9467 mal)

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Hallo zusammen,

ich habe eine sehr spezielle Anfrage die ich leider weder mit Adminhilfe, noch KB Suche, noch Google Suche lösen konnte.

Szenario:
Ein Notes-Client soll sich per HTTP Tunnel auf einen Dominoserver im Web verbinden.
Die Clienteinstellungen sind soweit ok (getestet gegen "notes1.notes.net".
Der eigentliche Zielserver weist die Connection aber mit "nicht supportetem Protokoll" zurück.

Es kommt gar keine Verbindung zustande.

Welche Einstellung muss ich am Dominoserver vornehmen damit dieser Port 1352 NRPC Calls über den HHTP Tunnel akzeptiert?

Danke im voraus

Peter


Offline Maseltow

  • Frischling
  • *
  • Beiträge: 15
was ist bei dir ein HTTP-Tunnel? ein Anfrage über Port 80?
beschreib doch mal dein Szenario genauer

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Notes Client -> Arbeitsumgebungsdok -> HTTP-Tunnel
Dort den Firmenproxy eintragen
Der Notes Client sendet dann alle NRPCs über Port 80 über den Proxy.

Ziel ist ein Dominoserver hinter einer FW auf der Port 80 freigeschaltet wird.

Ich denke das Problem ist, das der Dominoserver NICHT HTTP machen darf, da er sonst die Anfrage auf Port 80 beantwortet und nicht den NRPC auf Port 1352.

Ich habe deswegen eine Frage bei IBM laufen.
Ich poste hier eine Antwort, wenn ich eine bekome :-)

Gruß
Peter

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Du meinst den unten abgebildeten Dialog?

Ich fürchte, da verwechselst Du was. Wenn Du hinter einer Firewall bist und auf einen Server jenseits der FW zugreifen willst/musst, so muss dieser nicht auf Port 80 hören, nur weil Du einen HTTP Tunnel verwendest, um durch die FW zu kommen.

Wikipedia meint dazu:

Zitat
HTTP Tunneling is a technique by which communications performed using various network protocols are encapsulated using the HTTP protocol, the network protocols in question usually belonging to the TCP/IP family of protocols. The HTTP protocol therefore acts as a wrapper for a covert channel that the network protocol being tunneled uses to communicate.

The HTTP stream with its covert channel is termed an HTTP Tunnel.

The application that wishes to communicate with a remote host opens an HTTP connection to a mediator server, which acts as a relay of communications to and from the remote host. The application then communicates with the mediator server using HTTP requests, encapsulating the actual communications within those requests.

The mediator server unwraps the actual data before forwarding it to the remote host in question. Symmetrically, when it receives data from the remote host, it wraps it in the HTTP protocol before sending it as part of an HTTP response to the application.


« Letzte Änderung: 05.01.11 - 21:30:25 von m3 »
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Maseltow

  • Frischling
  • *
  • Beiträge: 15
mit dieser HTTP-Tunnel-Einstellung wird nur die Verbindung zum Internet für den notesinsternen Browser festgelegt, und hat nichts mit der Notes-Client-Verbindung zum Domino-Server zu tun

der Notes-Client geht per default immer über den Port 1352

wenn man den HTTP-Task am Domino-Server startet, dann hört er auch auf den Port 80, dann muß man aber mit einem Browser drauf, und nicht mit dem Client

falls der Server durchs Internet erreichbar sein soll, dann muß am Zielsystem (Firewall) der Port 1352 weitergeleitet werden, und dann sollte der Server aber mindestens in einer DMZ stehen
besser wäre natürlich eine VPN-Einwahl, das wäre auch meine Empfehlung

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Sorry, aber da unterliegst du einem Irrtum.
Die HTTP-Tunnel Einstellung in der Arbeitsumgebung hat nix mit dem eingebauten Browser zu tun.
Warum sollte man auch Browser HTTP Zugriffe über Port 80 HTTP Tunneln?

Man kann das ganz wunderbar hier nachlesen

https://www.ibm.com/developerworks/lotus/library/ls-Native_Notes/

Und den HTTP Tunnel zur Überbrückung von Firewalls hier

https://www.ibm.com/developerworks/lotus/library/ls-Native_Notes/side1.html

Aber da steht eben nur was über die Client-einstellungen und nix darüber wie ein Dominoserver zu konfigurieren ist damit ein Zugriff mit getunnelten NRPCs funktioniert.

Mir fehlt da die Erklärung des "Mediator Servers" aus dem Wiki Eintrag.
Kann das ein Dominoserveer sein? Wenn ja, wie muss man den konfigurieren?

Gruß
Peter



Offline Micha B

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.922
Hier ist eine Beschreibung für Sametime: http://www.ibm.com/support/docview.wss?uid=swg21090222 Dort steht u.a.:

...
2.  In the Domino Directory:

Open the Server document, located in the Domino Directory, open the Ports tab, the Internet Ports tab, the Web tab and change the TCPIP Port field from 80 to 8088 (Change from 8088 to 80 to disable tunneling).
...

Ob Dir das was hilft weiß ich allerdings nicht.

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Prima, danke.
Das schaue ich mir mal genauer an.

Ansonsten hoffe ich halt auf meine Anfrage bei IBM.

Gruß
Peter

Offline (h)uMan

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.056
  • Geschlecht: Männlich
  • Wird schon ...
vielleicht ist es ja auch eine rein Client-seitige Konfiguration, den Notes Client anstelle von Port 1352 über Port 80 mit dem Domino-Server zu connecten.

Auf dem Domino-Server müsste dann der http-Task laufen und Connects auf Port 80 akzeptieren (optimalerweise via SSL gesichert).
Beste Grüße, Uwe

Offline Maseltow

  • Frischling
  • *
  • Beiträge: 15
Sorry, aber da unterliegst du einem Irrtum.
Die HTTP-Tunnel Einstellung in der Arbeitsumgebung hat nix mit dem eingebauten Browser zu tun.
Warum sollte man auch Browser HTTP Zugriffe über Port 80 HTTP Tunneln?

Man kann das ganz wunderbar hier nachlesen

https://www.ibm.com/developerworks/lotus/library/ls-Native_Notes/

Und den HTTP Tunnel zur Überbrückung von Firewalls hier

https://www.ibm.com/developerworks/lotus/library/ls-Native_Notes/side1.html

Aber da steht eben nur was über die Client-einstellungen und nix darüber wie ein Dominoserver zu konfigurieren ist damit ein Zugriff mit getunnelten NRPCs funktioniert.

Mir fehlt da die Erklärung des "Mediator Servers" aus dem Wiki Eintrag.
Kann das ein Dominoserveer sein? Wenn ja, wie muss man den konfigurieren?

Gruß
Peter




Stimmt, die HTTP-Tunnel-Einstellung bestrifft nicht den Notesbrowser ???

Aber im zweiten Link steht die Antwort:
Und den HTTP Tunnel zur Überbrückung von Firewalls hier
https://www.ibm.com/developerworks/lotus/library/ls-Native_Notes/side1.html

***********
How to set up a firewall/proxy for Notes communication

To connect through a firewall, you must allow the destination IP port 1352 through the firewall. No additional proxy configuration is required. (Users do not need to specify any proxy settings on their Lotus Notes client to connect through a firewall; it's purely an administrative task.)

To connect through a proxy server, set up one of the following proxy technologies: Domino passthru, an HTTP proxy for Notes RPC communication, or a SOCKS proxy for Notes RPC communication. (The HTTP proxy server must support the Connect method.) In addition, you must allow port 1352 to pass through the proxy. The proxy should not require authentication because the Notes RPC does not support connections through an authenticated proxy. Finally, you should let your users know the correct proxy settings to use, so that they can enter them in their Location document.
************

Du mußt bei deinem Proxy eine Portumsetzung einrichten, damit er den Port 1352 durchläßt. Der Proxy tunnelt dann den Port 1352 (HTTP Tunnel).
Dein Zielsystem bekommt aber die Anfrage trotzdem auf dem Port 1352. Dort muß dann von der zuständigen Firewall genau dieser Port zum Dominoserver geleitet werden.

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Äh Freunde, das ist so nicht ganz Richtig, Maseltow hat es eh schon schön ausgeführt

Am Ziel-Domino muss kein WebTask laufen und auch der Port 80 muss dort NICHT offen sein.1
Der HTTPTunnel besteht nur zwischen dem Notes-Client und dem Rechner, den man in dem entsprechenen Config-Feld ("HTTP Tunnel")  eingetragen hat. Dieser agiert als "Mediator Server" und setzt den Request, der bei ihm auf Port 80 herein gekommen ist, auf einen Request auf Port 1352 um, der an den Zielserver gesedent wird. Die Antwort vom Ziel-Domino wird vom "Mediator Server" entgegen genommen, wieder in einen HTTP-Response verpackt und an den Client zurückgeschickt.

Wenn so ein "Mediator Server" aka. HTTP Proxy/Tunnel Server eingerichtet ist und die Verbindung drüber trotzdem nicht funktioniert, dann kann es ev. daran liegen, dass der Proxy so konfiguriert ist, dass er Requests an den Port 1352 nicht weiterleiten darf. Dann muss man mit dem Proxy-Admin sprechen.

Und ja, IBM Lotus gehört dafür geschlagen, dass sie die Proxy-Settings für den Browser und den Notes Client vermischen und nicht klar trennen.



1 ... Auch die Developer Works Server hören auf Port 1352 und nicht auf Port 80, wie man in dem verlinkten Dokument lesen kann:
Zitat
To see if you have a direct connection to the Internet, telnet to the host name notes1.notes.net and port 1352, using the following command:
Code
telnet notes1.notes.net 1352
If you successfully telnet to the server, move to step 2.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Ah, jetzt wird es klarer.

Das heißt unser Firmeninterner Proxy setzt den HTTP Tunnel auf Port 1352 um.
Da ich auf den "notes1.notes.net" draufkomme aus unserem internen Netz, schliesse ich daraus das ausgehend 1352 an der Firewall freigeschaltet sein muss.

Das bedeutet das ich an der Firewall des Zielunternehmens mit Port 1352 ankomme.
Dann ist auch klar warum ich da geblockt werde.

Ich prüfe das mal bei uns.
Vielen Dank für die Hilfe.

Gruß
Peter

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz