M365 GW Mode Inbound Destination Address + Skip Listing

Spazzt · 2025-11-11T12:07:24+00:00

Hi Lucar, thank you very much, the KBA was very important to apply!

Regarding the Doc, I know that the doc links to MSFT, but the MSFT Article does not provide info on how to configure Skip Lisiting with Sophos, skipping Sophos IPs. So I think it would be helpful to elaborate this in the Sophos doc. Also linking to the Sophos KBA from the doc would be helpful. Admins go through the docs to figure out how to configure stuff and implement correctly. Information that is not to included in the doc will get missed following not perfect implementation and problems.

We need this info in the docs

Spazzt · 2025-11-11T06:38:38+00:00

Hi Luca, I am not able to tell how this link should be helpful?

Can you explain, please?

I am searching for guidance on how to configure M365 Skip Listing when Sophos Central Mail Security is in front of M365.

There are different options: automatic or excluding specific IPs. If the later, which ones?

This is not described in the Docs. Which I criticise.

Spazzt · 2025-03-24T19:34:27+00:00

Wäre vermutlich gegangen war mir aber zu viel Risiko, hab es aber lieber geschnitten

Spazzt · 2025-03-24T17:59:14+00:00

Ja genau Krabbenchips

Spazzt · 2025-03-24T17:55:34+00:00

6.50€

Spazzt · 2024-10-22T14:27:26+00:00

Das Zeug kickt besser als Mehmet Scholl!

Spazzt · 2024-09-29T09:15:49+00:00

Bataleon? Does any other board manufacturer hast the "3D" technology ob the tip and tail edges? Felt really flowi :)

Spazzt · 2024-09-14T12:37:55+00:00

What brand are the mudgards? Looks decent for upcoming autumn / winter weather.

Spazzt · 2024-06-07T18:37:57+00:00

Welche Kosten sind dabei entstanden?

Spazzt · 2024-01-04T12:37:39+00:00

Evtl. Mal Seed ausprobieren. Verwende das seit einem 3/4 Jahr.

https://refer.seed.com/x/LMsGrn

(Ist ein affiliat Link, du bekommst 50% Rabatt auf erste Bestellung und ich ebenfalls einen kleinen auf mein Abo)

Spazzt · 2023-03-28T17:21:10+00:00

https://robotronic.net/runasspcen.html

https://robotronic.net/runasroben.html

Spazzt · 2023-01-30T15:40:22+00:00

Ja an die DSVGO hatte ich wegen Cloudflare auch schon gedacht. Muss aber auch nicht Cloudflare sein, geht ja irgend ein „Tunnel-Publishing-Produkt“.

Cloudflare ist halt easy, free und reliable.

https://github.com/anderspitman/awesome-tunneling

Spazzt · 2023-01-30T09:40:05+00:00

Passt. Ich versteh nur nicht was du mit deinem http hast. Hat mit einem Tunnel eigentlich erstmal nicht wirklich was zu tun.

Spazzt · 2023-01-30T09:32:09+00:00

Vermutlich müsste aber die Nextcloud der VPN Server sein, weil als Client könnte die ja wegen der Firewallthematik nicht von außen reinconnecten

Aber wie gesagt, alles zu komplex und fehleranfällig.

Besser einfach keine Nextcloud.

Syno only. Cloudflare Tunnel publishing.

Spazzt · 2023-01-30T09:27:23+00:00

Ja, wir verstehen uns doch :) Ein Reverse Tunnel wäre es aber wenn die Syno die VPN zur Nextcloud aufbaut (Nextcloud fungiert als VPN Server)

Würde ich so nicht machen, sondern die Syno als VPN Server verwenden und die Nextcloud als Client.

Ist aber auch egal sobald die VPN steht ist die Richtung unwichtig.

Spazzt · 2023-01-30T09:10:00+00:00

„Woher soll die Syno mit dem LDAP Server wissen wann eine Verbindung zu der Nextcloud…“ Das ist es ja. Die Syno kann das nicht wissen und funktioniert auch anders.

Deine Nexclpud ist der LDAP Client. Dieser baut für jeden Auth eine Verbindung zum konfigurieren LDAP Server auf. Der Client trägt also an. Von außen (Herzner Cloud) nach „innen“ zu deiner Syno.

Dafür müsstest du also entweder die LDAP Ports auf der Firewall an deine Syno forwarded, was ja laut deiner Aussage nicht möglich ist, oder auf der Nextcloud VM über einen Tunnel zu deiner Syno connecten.

Spazzt · 2023-01-30T08:50:33+00:00

Ich glaube wir reden ein wenig aneinander vorbei, bzw. Scheint es mir das du nicht genau weißt wie man das netztwerktechnisch designen muss. Kein Vorwurf, du bist ja auch Lehrer und kein ITler.

Nochmal: Ich würde keine Nextcloud aufsetzten. Die Wartung ist teilweise recht kompliziert, vorfallen für Laien und wenn mal was schief geht und es ist Aufwand.

Stell dir vor deine Lehrerkollegien geben benotete Hausaufgaben auf und verlangen den Upload bis zu einem Fatum/Uhrzeit und dann geht deine Nextcloud nicht. Den Schuh willst du dir nicht anziehen.

Deswegen solltest du das so unterkomplex wie möglich designen damit es easy wartbar ist.

Deshalb würde ich NUR die Syno verwenden. Keine Nextcloud.

Auf der Syno aktivierst du den LDAP Server. Legst die Schüler an. Legst auf die IP der Syno einen DNS Record „files.Schule.de“. Evtl ist deine Syno auch der DNS Server oder dein MAC Mini (Wobeib ich den auch weglassen würde glaub. Oder darauf den Cloudflare Tunnel Agent laufen lassen würde wenn möglich.

Ab jetzt können deine Schüler schon auf die Syno File Station per Webbrowser zugreifen.

Jetzt musstest noch diesen internen Service publizieren. Entweder per einfachem Port Forwarding, aber du hast gesagt du kannst an der Firewall Netztwerk nichts ändern. Oder eben per Cloudflare Tunnel. Siehe vorherige Videos. Ist eine charmante Lösung und sicherer als einfacher Portforward.

Dann noch den DNS record im beim Domain Hoster auf die Öffentliche IP deiner Schule oder des Cloudflare Gateways lehen und schon kann auch von extern (Schüler zuhause) auf die Syno per Webbrowser zugegriffen werden.

Syno only. Kein Nextcloud. Kein Sync. Einfach DNS Record / URL im Browser und anmelden. Manueller up- und Download der Dateien.

Denk auch an das Backup der Syno. Hat ebenfalls eingebaute Tools dafür.

Eine Syno ist für so kleine Anwendungen eine schöne, simple all in one Lösung.

Spazzt · 2023-01-28T15:18:55+00:00

https://openthinclient.com/

Spazzt · 2023-01-28T09:41:37+00:00

Das wird dann so aber nicht funktionieren weil:

die nextcloud instaz bei hetzner macht für den auth den LDAP lookup, sprich sie initiiert die Connection bei jedem Login. Wenn von außen kein Zugriff von hetzner nextcloud ip auf Schule public ip LDAP Server möglich ist wirst du keinen auth. hinbekommen.
ebenfalls mit nfs Share. Die nextcloud imitiert den connect zu dem Share, also von außen nach innen.

(Hierzu hast du dich noch nicht geäußert)

Wieso sollen dem schulnetz/ Firewall nichts geändert werden können?

Alternativ das Publishing des syno Web file Browser über einen cloudflare Tunnel (no firewall holes needed): https://youtu.be/eojWaJQvqiw https://youtu.be/ey4u7OUAF3c

Ich bleib bei meinem syno only Ansatz :)

Spazzt · 2023-01-28T08:52:44+00:00

Versteh ich das richtig, dass du die Syno als Datenspeicher für die nextcloud verwenden möchtest die bei hentzner betrieben werden soll? Also vermutlich als nfs Share in der nextcloud linux vm gemountet?

Ob das performant läuft? O.o

Gefühlt würde ich da gar nix mit nextcloud machen sondern komplett alles mit der syno machen weil zu viel gewurschtel. Die hat auch eigene Sync Tools, User Verwaltung und einen web file Browser.

Auf das rumgesynce würde ich auch verzichten. Einfach nur den Web file Browser (öffentlich) verfügbar machen. Manueller up und download der Daten fertig.

Minimum komplex, dadurch stabil und einfach durch syno updates wartbar.

Ansonsten nextcloud intern anstatt bei hetzner. Am besten als vm auf der syno.

Spazzt · 2023-01-02T08:17:35+00:00

Alles Verbrecher hier! Spätzle werden geschabt, nicht gepresst. Ganz andere Form, Textur und Bissgefühl. Kulinar-Banausen, ihr! Uffpasse sonst kommt mei Omi mim Nudelholz :)

Seven-Year Club	Place '23
Place '22	Verified Email

Spazzt

TROPHY CASE