Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange over Https, Relay in der DMZ welche Möglichkeiten habe ich?

Frage Microsoft Exchange Server

Mitglied: askando

askando (Level 1) - Jetzt verbinden

09.07.2012 um 14:45 Uhr, 5827 Aufrufe, 18 Kommentare

Mein Chef hat bei einem Kunden (vor meiner Zeit) einen Exchangeserver eingerichtet. Nun will er exchange over https nutzen, damit Endgeräte für exchange nicht immer die vpn nutzen müssen.

Meine Frage bezieht sich auf eure Erfahrungen damit. Kennt jemand eine günstige / kostenlose Lösung ein Relay einzurichten, das dann in der DMZ sitzt und das exchange Zertifikat ohne es aufzulösen einfach nur durchreicht an den Exchange der hinter der DMZ sitzt?

http://lostcommunication.de/index.php/apache-reverse-proxy-fur-exchange ...
sowas zum Beispiel: wichtig ist halt nicht nur das https relay, sondern das weiterreichen vom exchange zertifikat ohne dieses aufzulösen.

Wäre über eure Anregungen sehr erfreut!
Mitglied: Onitnarat
09.07.2012 um 14:50 Uhr
Und was spricht jetzt gegen die von Dir gepostete Lösung mit dem Apache?
Bitte warten ..
Mitglied: askando
09.07.2012 um 14:58 Uhr
weil apache seit 3 jahren bei größeren rpc paketen einen bug hat der nicht gefixed wird ;/
Bitte warten ..
Mitglied: Epixc0re
09.07.2012 um 15:21 Uhr
nginx, oder der leichter zu konfigurierende pound kann das auch
Bitte warten ..
Mitglied: askando
09.07.2012 um 15:55 Uhr
vielen dank! ich werde die beiden proxy's morgen testen und berichten.
Bitte warten ..
Mitglied: Dani
09.07.2012 um 16:55 Uhr
Moin,
also Apache würde ich gleich wieder vergessen! Da ist die Performance unter alter Sau!
Wir haben überall nginx im Einsatz und sind sehr zufrieden. Ob aber RPC inzwischen problemlos klappt bezweifel ich. Nginx supporter NTLM noch nicht...


Grüße,
Dani
Bitte warten ..
Mitglied: filippg
09.07.2012 um 22:04 Uhr
Hallo,

das exchange Zertifikat ohne es aufzulösen einfach nur durchreicht
Was willst du damit denn sagen?
"einfach durchreichen" von Datenpaketen ist das, was jeder Router macht.
Nicht einfach durchreichen, sondern die Verbindung terminieren und eine neue aufbauen (und dabei auch neu verschlüssel [wofür man bei Wunsch aber das gleiche Zertifikat nehmen kann]) tut jeder Reverse-Proxy.

Gruß

Filipp
Bitte warten ..
Mitglied: askando
11.07.2012, aktualisiert 13.07.2012
ok vielen Dank für eure Antworten. Ich habe mich nun für den Squid auf Ubuntu entschieden.

Da der Proxy kein Webproxy darstellen soll, sondern ausschließlich für rpc over https gedacht ist, damit der Exchange nicht mit einem Bein im Internet steht, habe ich mir eine entsprechende config file gesucht.
01.
visible_hostname owa.Beispiel.local 
02.
extension_methods RPC_IN_DATA RPC_OUT_DATA 
03.
 
04.
https_port 443 cert=/path/to/external/cert 
05.
 
06.
key=/path/to/external/cert.key defaultsite=external.owa.domain.name 
07.
 
08.
cache_peer ip.address.of.exchange parent 443 0 no-query originserver login=PASS 
09.
 
10.
ssl sslflags=DONT_VERIFY_PEER sslcert=/path/to/exchange/cert.crt sslkey=/path/to/exchange/certkey.pem name=owaServer 
11.
 
12.
acl OWA dstdomain external.owa.domain.name 
13.
 
14.
cache_peer_access owaServer allow OWA 
15.
 
16.
never_direct allow OWA 
17.
 
18.
http_access allow OWA 
19.
 
20.
http_access deny all 
21.
 
22.
miss_access allow OWA 
23.
 
24.
miss_access deny all
Da die OWA Lösung bereits über das VPN realisiert ist, möchte ich hier ausschließlich RPC darüber abwickeln. Daher würde ich die config abspecken, so dass auschließlich darüber rpc läuft. Kann mir jemand sagen, ob ich die owa Einträge damit einfach aus der o.g. config löschen kann?

Das Zertifikat (SSL) wird vom Exchange vorgegeben und daher brauche ich kein eigenes auf dem Squid zu erstellen.
01.
visible_hostname owa.Beispiel.local 
02.
extension_methods RPC_IN_DATA RPC_OUT_DATA 
03.
 
04.
cache_peer ip.address.of.exchange parent 443 0 no-query originserver login=PASS 
05.
 
06.
ssl sslflags=DONT_VERIFY_PEER sslcert=/path/to/exchange/cert.crt sslkey=/path/to/exchange/certkey.pem name=owaServer 
07.
 
08.
http_access deny all 
09.
 
10.
miss_access allow OWA 
11.
 
12.
miss_access deny all
Pardon falls dem einen oder anderen die Frage zu banal scheint, aber ich arbeite mich gerade erst wirklich ein - vorher habe ich mich kaum mit Proxys etc beschäftigen müssen.

Danke für eure Hilfe.
Bitte warten ..
Mitglied: Dani
13.07.2012 um 09:15 Uhr
Moin,
funktioniert RPCoHTTPS mit dieser Konfiguration überhaupt?! Da wäre doch erstmal wichtig, danach kannst du die Konfiguration verkleinern.

Das Zertifikat (SSL) wird vom Exchange vorgegeben und daher brauche ich kein eigenes auf dem Squid zu erstellen.
Hmm... da wäre ich mir nicht sicher. Unser RevProxy benötigt ein eigenständiges gültiges Zertifikat.

Da die OWA Lösung bereits über das VPN realisiert ist, möchte ich hier ausschließlich RPC darüber abwickeln.
Auch eine Möglichkeit...


Grüße,
Dani
Bitte warten ..
Mitglied: askando
16.07.2012 um 08:51 Uhr
Hallo Dani,

job Outlook Anywhere (RPCoHTTPS) funktioniert soweit mit Squid

siehe: http://www.administrator.de/contentid/50496
siehe: http://atlina.com/blog/?p=8

Das Problem ist bei diesen Lösungen ist immer OWA mit drin und ich suche halt nach einer configfile bzw. eine Befehlsreferenz zum Configfile, habe nicht wirklich bisher etwas passendes gesehen. Das Problem ist halt nicht das Verständnis, sondern die Quelle.
Bitte warten ..
Mitglied: Dani
16.07.2012 um 18:33 Uhr
Probier's mal so:
01.
acl OWA dstdomain external.owa.domain.name/rpc
Grüße,
Dani
Bitte warten ..
Mitglied: askando
24.07.2012, aktualisiert um 09:04 Uhr
Danke für die Antwort Dani und sorry ich musste mich um einen Notfall die letzten Tage kümmern, deswegen komme ich erst jetzt dazu hier zu lesen.
Wie meinst du das genau? Soll ich nur diese Zeile dort eintragen?

lieben Gruß
Bitte warten ..
Mitglied: Dani
25.07.2012 um 21:58 Uhr
Einfach Zeile 12 mit meiner Zeile austauschen.


Grüße,
Dani
Bitte warten ..
Mitglied: askando
08.08.2012, aktualisiert um 11:58 Uhr
Ok nach gründlicher Recherche bin ich nun ein ganzes Stück weitergekommen. Trotzdem sind noch ein paar Fragen offen.

Da ich wie schon vorher erwähnt das erste mal mich mit Proxy Servern beschäftige fiel mir das Verständnis nicht ganz so leicht und die vielen Forenbeiträge im Internet verwirren bei dem Thema schon sehr. Ich bin zuerst davon ausgegangen, das der Squid in der Lage ist das SSL Zertifikat das vom IIS (auf dem Exchange) ausgestellt ist selber für die interne Verschlüsselung zu nutzen und auch dieses Zertifikat zu nutzen um die SSL Verschlüsselung zum Client zu gewährleisten. Dieser Gedanke ist an sich jedoch völlig falsch was sich dann gezeigt hat. Squid ist jedoch in der Lage mit der sogenannten Connect -request Methode sämtliche Protokolle 1:1 weiterzuleiten ohne die Verbindung zu terminieren.

http://www.warp9.de/pub/BO07RevProxy.pdf hier sagt jemand das es mit der Version 2.6 definitiv möglich ist RPCoHTTPS zu betreiben.

Ok. Soweit so gut nun habe ich mich an die ersten Schritte gemacht und nochmal bei 0 begonnen.

Zuerst ist es wichtig zu wissen, das Squid an sich in der Grundkonfiguration nicht SSL beinhaltet und man daher das Paket neu kompilieren muss.

1. installieren von OpenSSL und kompilieren des Squid Paketes mit dem Parameter --enable-ssl
01.
apt-get install openssl
herunterladen von Squid,extrahieren und kompilieren.
01.
su -  
02.
 
03.
passwort eingeben 
04.
 
05.
wget http://www.squid-cache.org/Versions/v3/3.0/  
06.
 
07.
cd /root 
08.
 
09.
tar xvf *.gz 
10.
 
11.
./configure --prefix=/usr --includedir=${prefix}/include --enable-ssl --mandir=${prefix}/share/man --infodir=${prefix}/share/info --sysconfdir=/etc --localstatedir=/var --libexecdir=${prefix}/lib/squid3 --disable-maintainer-mode --disable-dependency-tracking --srcdir=. --datadir=/usr/share/squid3 --sysconfdir=/etc/squid3 --mandir=/usr/share/man --enable-inline --enable-async-io=8 --enable-storeio=ufs,aufs,diskd,null --enable-removal-policies=lru,heap --enable-delay-pools --enable-cache-digests --enable-underscores --enable-icap-client --enable-follow-x-forwarded-for --enable-auth=basic,digest,ntlm --enable-basic-auth-helpers=LDAP,MSNT,NCSA,SASL,SMB,YP,getpwnam,multi-domain-NTLM --enable-ntlm-auth-helpers=SMB --enable-digest-auth-helpers=ldap,password --enable-external-acl-helpers=ip_user,ldap_group --with-filedescriptors=65536 --with-default-user=proxy --enable-epoll --enable-linux-netfilter -with-openssl=/usr/include/openssl/ 
12.
 
13.
make 
14.
 
15.
make install
2. Danach überprüft man, ob Squid nun SSl inkludiert hat.
squid -v

3. Nun macht man sich an die Configfile

Hier habe ich verschiedene Methoden gefunden ich hoffe das jemand nun dort Erfahrung hat und mir vielleicht noch helfen kann.

ein configfile das vielversprechend aussieht fand ich hier: http://wiki.squid-cache.org/ConfigExamples/Reverse/ExchangeRpc

01.
# Publish the RPCoHTTP service via SSL 
02.
https_port ip_of_squid:443 accel cert=/path/to/clientcertificate defaultsite=rpc_domain_name 
03.
 
04.
cache_peer ip_of_exchange_server parent 443 0 no-query originserver login=PASS ssl sslcert=/path/to/certificate name=exchangeServer 
05.
 
06.
acl EXCH dstdomain .rpc_domain_name 
07.
 
08.
cache_peer_access exchangeServer allow EXCH 
09.
cache_peer_access exchangeServer deny all 
10.
never_direct allow EXCH 
11.
 
12.
# Lock down access to just the Exchange Server! 
13.
http_access allow EXCH 
14.
http_access deny all 
15.
miss_access allow EXCH 
16.
miss_access deny all
und eine andere hier: http://www.unixboard.de/vb3/showthread.php?49100-Squid-proxy-f%FCr-rpc- ...

01.
# Publish the RPCoHTTP service via SSL 
02.
https_port Proxy_IP:443  accel cert=/etc/squid3/cert/zertifikat.pem defaultsite=exchange.domain.de 
03.
cache_peer Exchange_IP parent 443 0 no-query originserver login=PASS ssl sslflags=DONT_VERIFY_PEER ssl sslcert=/etc/squid3/cert/Zertifikat.pem  name=exchangeServer 
04.
#cache_peer Exchange_IP parent 80 0 no-query originserver login=PASS front-end-https=on name=exchangeServer 
05.
 
06.
acl localhost src 127.0.0.1/255.255.255.255 
07.
acl local src Netzwerk/255.255.255.0 
08.
acl to_localhost dst 127.0.0.0/8 
09.
 
10.
#zugriff auf folgende URLs Erlauben, EXCH dient nur als frei wählbarer Parameter 
11.
acl EXCH url_regex -i ^https://exchange.domain.de/rpc/rpcproxy.dll.*$ 
12.
acl EXCH url_regex -i ^https://exchange.domain.de/exchange.*$ 
13.
acl EXCH url_regex -i ^https://exchange.domain.de/exchweb.*$ 
14.
acl EXCH url_regex -i ^https://exchange.domain.de/owa.*$ 
15.
acl EXCH url_regex -i ^https://exchange.domain.de/Microsoft-Server-ActiveSync.*$ 
16.
acl EXCH url_regex -i ^https://exchange.domain.de/ecp.*$ 
17.
acl EXCH url_regex -i ^https://exchange.domain.de/public.*$ 
18.
acl EXCH url_regex -i ^https://exchange.domain.de/cert.*$ 
19.
 
20.
cache_peer_access exchangeServer allow EXCH 
21.
cache_peer_access exchangeServer deny all 
22.
never_direct allow EXCH 
23.
 
24.
# Zugriffe für Parameter EXCH 
25.
http_access allow EXCH 
26.
http_access deny all 
27.
miss_access allow EXCH 
28.
miss_access deny all 
29.
 
30.
#erweitertes Logging 
31.
debug_options ALL,1 33,2
Ok wie oben beschrieben gibt in dieser Konstellation der IIS vom Exchange das SSL Zertifikat vor. Damit haben wir 3 Zertifikate beim Server

root.cert
CA.cert
Client.cert

wenn man sich jetzt oben das configfile ansieht denkt man als erstes "ok ich muss nun das CA & Client.cert auf dem Squid hochladen und die Pfade angeben."

Das habe ich dann auch gemacht. Eine Abfrage vom Client mit Outlook gestartet. Sehe auf dem Router auch die eingehende Verbindung, jedoch leitet der Squid die Anfrage nicht weiter.

Dann habe ich nochmal recherchiert und bin auf die o.g. Methode gestoßen "Connect Method". Also das der Squid gar nichts mit den Zertifikaten an sich zu tun hat und im Grunde nur die Pakete an den Exchange durchreicht ohne dabei zu cachen bzw. zu loggen. (wäre mir auch nicht wichtig)
Im Grunde soll der Squid nur als Schutzschild dienen, damit der Exchange nicht das erste Glied der Kette ist.

Folgender Foren Beitrag hat mir dann die Connect request Methode gezeigt. http://debianforum.de/forum/viewtopic.php?t=65898

Squid also supports these encrypted protocols by ``tunelling'' traffic between clients and servers. In this case, Squid can relay the encrypted bits between a client and a server.

Normally, when your browser comes across an https URL, it does one of two things:

The browser opens an SSL connection directly to the origin server.
The browser tunnels the request through Squid with the CONNECT request method.

The CONNECT method is a way to tunnel any kind of connection through an HTTP proxy. The proxy doesn't understand or interpret the contents. It just passes bytes back and forth between the client and server.

Alles klar nun will ich diese Connect Request Methode testen und hoffe dort mehr Erfolg zu haben. Wenn jemand in der Lage ist mir hier zu helfen wäre ich ihm sehr dankbar. Ich werde auch gerne nach der erfolgreichen Arbeit ein PDF in diesem Forum hochladen das dann alles von Installation bis zur Configfile beschreibt, damit dann alle deutschen Admins die sowas machen wollen etwas davon haben.

Wie gesagt für weitere Hilfe bin ich sehr dankbar!
Bitte warten ..
Mitglied: askando
10.08.2012 um 09:19 Uhr
keine eine Idee? Ich brauche speziell eine kurze Erklärung für die Authentifizierung. Also muss ich NTLM nutzen? Oder muss der Squid sein eigenes Zertifikat haben?
Bitte warten ..
Mitglied: Dani
10.08.2012 um 18:35 Uhr
Moin,
wenn es dir zu lansagem geht hast du zwei Möglichkeiten.

a) anderes Forum
b) TMG kaufen

Wir sind hier nicht beim kostenlosen Systemhaus support. Wir haben alle noch ein Hobby das uns 8-12 Stunden jeden Tag in Anspruch nimmt und selbst vllt. ein Proble zu lösen!

WArum hast du nochmal von vorne angefangen? Oben schreibst du das es funktioniert.


Grüße,
Dani
Bitte warten ..
Mitglied: askando
15.08.2012, aktualisiert 17.08.2012
war eigentlich eher ein Push auf den Thread und kein Gehetze...

Ich habe oben geschrieben das es laut der Quelle funktioniert. Jedoch ist die Konstellation eine ganz andere dort (mit Apache als Webproxy dahinter)

Das einzige Problem was ich momentan noch habe ist die Fehlermeldung "Failed to acquire SSL certificate '/etc/squid3/cert/zertifitkat.cer' : error: 0906d06c:PEM routines:PEM_red_bio:no start line



Vielen Dank!

Liebe Grüße zurück!
Bitte warten ..
Mitglied: Dani
12.10.2012 um 20:45 Uhr
Moin,
hier eine funktionierende Lösung für Squid als Reverse PRoxy für alle Exchange-Dienste.


Grüße,
Dani
Bitte warten ..
Mitglied: askando
05.12.2012 um 10:20 Uhr
Vielen Dank für das Howto Dani!! Sorry für die sehr verspätete Antwort ich war in den Staaten auf Projektarbeit...

Liebe Grüße!!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
Exchange 2010 SMTP-Connector - zusätzliches Relay (6)

Frage von FA-jka zum Thema Exchange Server ...

Firewall
gelöst Firewallregeln Exchange - DMZ (3)

Frage von A-Merten zum Thema Firewall ...

Exchange Server
gelöst SBS2011 - im Exchange mobile Geräte löschen (4)

Frage von MiSt zum Thema Exchange Server ...

Exchange Server
Inhalt von Postfächern in Exchange löschen (9)

Frage von m.reeger zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...