Die Veröffentlichung von Outlook Web Access, ActiveSync und Outlook Anywhere (RPC over HTTPs) ist mit der pfSense absolut easy einzurichten. Externes Zertifikat im Cert Manager hinterlegen, das Package Squid Proxy 3.1 installieren, ein paar Mausklicks und los geht’s. Ich habe zwar eine virtuelle Maschine in unserer DMZ die diese Freigabe mit mod_proxy_msrpc über Apache regelt, aber in kleineren Umgebungen kann man mit den Bordmitteln der kostenlosen pfSense sehr schnell das gleiche Ergebnis erzielen. Der Kompromiss ist meiner Meinung nach absolut in Ordnung. Also – Let’s Klick and Go:
System -> Cert Manager
System -> Packages
Services -> Reverse Proxy
Der HTTPS Port 443 muss von extern natürlich erreichbar sein:
Firewall -> Rules -> INTERNET
Check des Logfiles
So sieht die Konfiguration aus. Kann man auch in jedem „normalen“ Squid nutzen:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
# Reverse Proxy settings http_port 172.21.1.2:80 accel defaultsite=extern.<domain>.de vhost https_port 172.21.1.2:443 accel cert=/usr/pbi/squid-amd64/etc/squid/5411409b89a61.crt key=/usr/pbi/squid-amd64/etc/squid/5411409b89a61.key defaultsite=extern.<domain>.de vhost cache_peer 192.168.30.112 parent 443 0 proxy-only no-query no-digest originserver login=PASS ssl sslflags=DONT_VERIFY_PEER front-end-https=on name=OWA_HOST_443_1_pfs cache_peer 192.168.30.112 parent 80 0 proxy-only no-query no-digest originserver login=PASS name=OWA_HOST_80_1_pfs ignore_expect_100 on acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/owa.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/exchange.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/public.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/exchweb.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/ecp.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/OAB.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/Microsoft-Server-ActiveSync.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/rpc/rpcproxy.dll.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/rpcwithcert/rpcproxy.dll.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/mapi.*$ acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/EWS.*$ acl OWA_URI_pfs url_regex -i ^http://extern.<domain>.de/AutoDiscover/AutoDiscover.xml acl OWA_URI_pfs url_regex -i ^https://extern.<domain>.de/AutoDiscover/AutoDiscover.xml acl OWA_URI_pfs url_regex -i ^http://autodiscover.<domain>.de/AutoDiscover/AutoDiscover.xml acl OWA_URI_pfs url_regex -i ^https://autodiscover.<domain>.de/AutoDiscover/AutoDiscover.xml cache_peer_access OWA_HOST_443_1_pfs allow OWA_URI_pfs cache_peer_access OWA_HOST_80_1_pfs allow OWA_URI_pfs cache_peer_access OWA_HOST_443_1_pfs deny allsrc cache_peer_access OWA_HOST_80_1_pfs deny allsrc never_direct allow OWA_URI_pfs http_access allow OWA_URI_pfs |
Hallo Michael
Habe gerade jetzt Deine Seite per Zufall entdeckt.
Mein Name ist Nebojsa und ich arbeite für einen Unternehmen in der Schweiz.
Ich bin dran Exchange 2003 auf Exchange 2010 zu „Transition“, bzw. updaten.
Habe 2 Exch. Server 2010 mit allen Rollen installiert HUB/CAS/MBX
Möchte gerne Sophos UTM 9.2 als HLB nutzen.
Nun, obwohl ich etwas Erfahrung mit Astaro bzw. Sophos habe, komme zu keinem Ansatz wie ich diese Server bzw. Hardware LoadBalancing Funktion auf Sophos UTM 9 konfigurieren soll.
Für CAS für den Aussen Zugriff (Webmail, ActiveSync ) habe ich RerverseProxy via Virtual Web Servers erfolgreich implementiert.
Für Computers im LAN brauche ich für HA eine Hardware LoadBalancing Lösung.
Ich würde mich sehr freuen wenn Du mir einige Tipps, Links diesbezüglich senden könntest.
Danke sehr und Beste Grüsse aus der Schweiz
Nebojsa B.
bondneb@sunrise.ch
funktioniert das bei Dir auch noch mit den aktuellen Versionen?
pfSense 2.2.6
squid3 Paket 0.4.7 (v3.4.10)
Ich bekomme bei Outlook Anywhere ganz viele „TCP_MISS_ABORTED“ im Log
und die Clients verlieren dementsprechend immer wieder die Verbindung zum Exchange!
Ich habe mittlerweile auf POUND umgestellt. Squid war nur eine Spielerei und wird als interner Proxy genutzt. Nicht mehr als reverse Proxy.