Archiv für den Monat: September 2014

Exchange mit pfSense veröffentlichen (Squid Reverse Proxy)

Die Veröffentlichung von Outlook Web Access, ActiveSync und Outlook Anywhere (RPC over HTTPs) ist mit der pfSense absolut easy einzurichten. Externes Zertifikat im Cert Manager hinterlegen, das Package Squid Proxy 3.1 installieren, ein paar Mausklicks und los geht’s. Ich habe zwar eine virtuelle Maschine in unserer DMZ die diese Freigabe mit mod_proxy_msrpc über Apache regelt, aber in kleineren Umgebungen kann man mit den Bordmitteln der kostenlosen pfSense sehr schnell das gleiche Ergebnis erzielen. Der Kompromiss ist meiner Meinung nach absolut in Ordnung. Also – Let’s Klick and Go:
System -> Cert Manager
SQUID_Cert
System -> Packages
SQUID_package1
Services -> Reverse Proxy
SQUID_Reverseproxy1 SQUID_Reverseproxy2
Der HTTPS Port 443 muss von extern natürlich erreichbar sein:
Firewall -> Rules -> INTERNET
SQUID_FW_Rule1
Check des Logfiles
SQUID_Logfile
So sieht die Konfiguration aus. Kann man auch in jedem „normalen“ Squid nutzen:

Sophos UTM Site2Site VPN mit mehreren Providern: IPSec, Failover, GRE/RED Devices und OSPF Routing

In diesem Testaufbau geht es darum, zwei Standorte mit mehreren Internetprovidern redundant über VPN zu verbinden. Hat man mehrere interne Netzwerke an den Standorten und will nicht jedesmal die IPSec SA’s anlegen und pflegen, bietet sich IPSec im Transportmode und dazu ein GRE Tunnel an. Dieser GRE Tunnel kann auf der Sophos UTM als „L2 Device“ für das OSPF Routing ausgewählt werden. Sophos nennt das ganze statt GRE ein „RED“ (Remote Ethernet Device). In meinem Testszenario habe ich an jedem Standort zwei Internetprovider simuliert. Dazu nimmt am einfach ein Linuxsystem und richtet darauf mehrere Ethernetschnittstellen in verschiedenen VLANs ein. Da der ganze Test auf einem VMware vSphere System abgebildet wird, war das Bereitstellen der Sophos UTM, der Clients und des Routers ohne größeren Aufwand möglich:
Sophos-vApp      Sophos-vApp-Network
Folgender schematischer Aufbau liegt der Simulation zugrunde:
Sophos-Testaufbau
Ich beginne mit dem Anlegen und konfigurieren der RED Tunnel und des OSPF. Die grundsätzlichen Einstellungen und Inbetriebnahme der UTM und des Linuxrouters werde ich hier nicht erläutern. Dieser Artikel ist nicht für Einsteiger gedacht 🙂 Wir steigen direkt nach dem Grundsetup ein. Als erstes definieren wir die WAN Zugänge:
Sophos-1-WAN Sophos-2-WAN
und legen das Uplink Balancing an:
Sophos-1-UplinkbalanceSophos-3-Uplinkbalance
Nun werden die RED Tunnel aktiviert und definiert. Sophos 1 nehmen wir als Server:
Sophos-1-RED-Server
Anschliessend die Provisioning Files downloaden und auf Sophos 2 als Client anlegen:
Sophos-2-RED-Client
Für jeden RED Client nehmen wir einen Internetprovider (WAN1 und WAN2) des RED Servers als Zielhost. Wenn man dieses Setup nun aktiviert passiert folgendes:
Sophos-RED-beide-23er
Die Verbindung zum RED Server (Sophos 1) wird über den ersten Internetprovider im Uplink Balancing hergestellt! Das müssen wir mit einer Multipath-Rule auf dem RED Client verhindern!
Sophos-RED-Multipathrule2     Sophos-RED-Multipathrule1
Wichtig ist dabei die Option „Skip Rule on Interface Error“, denn sonst wird der ausgefallene Tunnel durch das Uplink Balancing wieder über den verbleibenden Provider aufgebaut und wir erreichen nach einem Ausfall einer Leitung wieder den Zustand, dass beide RED Tunnel über einen Provider aufgebaut werden. Durch das strikte Zuweisen der Pfade von RED Tunnel  1 über WAN3 und RED Tunnel 2 über WAN4 wird dieses verhindert. Nun sollte das ganze so aussehen:
Sophos-RED-beide-23er-24er
Wenn die Tunnel angelegt sind, können wir die dazugehörigen Interfaces in der Sophos UTM anlegen (interfaces & Routing). Als „Hardware“ wählen wir reds1 und reds2 aus. Diese Interfaces werden vom System wie normale Netzwerkkarten behandelt:
Sophos-2-RED-Interfaces2
Sophos-1-RED-Interfaces1 Sophos-2-RED-Interfaces1
Nun haben wir Interfaces die wir beim Einrichten von OSPF zuweisen können:
Sophos-1-Interfaces Sophos-2-Interfaces
Im OSPF legen wir eine „Backbone“ Area 0.0.0.0 an. In einer richtigen integration muss man hier natürlich eine andere Zone wählen sofern man OSPF schon im Einsatz hat. Die internen Schnittstellen und die RED Interfaces müssen im OSPF als OSPF Interface angelegt werden. Anschliessend werden diese OSPF Interfaces der Area zugewiesen:
Sophos-1-OSPF Sophos-2-OSPF
Nun haben wir erreicht, das die Informationen der Backbone Area „0.0.0.0“ über die zwei Standorte durch die Tunnel verteilt werden. Die Routen sind auf beiden Sophos UTM sichtbar und die Clients können sich erreichen. Zum abschliessenden Test des Setups simuliert man am besten den Ausfall eines Internetprovider, in dem man die Netzwerkkarte im Linuxrouter deaktiviert. Man sieht kurz wie OSPF den neuen Pfad wählt und die Verbindung ohne große Verluste bestehen bleibt:
Sophos-RED-FailoverScreen
Mit diesem Setup erspart man sich das Definieren der ganzen IPsec SA’s und kann dynamische Routingverfahren über einen IPsec Tunnel nutzen.