ReverseProxy und Exchange RPC over https

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

ReverseProxy und Exchange RPC over https

Beitrag von MarcusM »

Hallo,
da bei einem Kunden nun zum Exchange auch noch ein Webserver intern von außen erreichbar gemacht werden soll habe ich die Anbindung an den Exchange von Portforwarding auf ReverseProxy umgestellt. Das ganze war sowieso schon eine ordentliche Tortur, alleine die selbstsignierten Exchangezertifikate in die UTM zu bekommen... 
Die Smartphones und Outlooks können sich eigentlich Problemlos mit dem Exchange via RPC over https verbinden, auch owa ist von außen ohne Zertifikatswarnung erreichbar (CA als vertrauenswürdige Stammzertifizierungsstelle lokal installiert) allerdings können mit Outlook keine Emails mit Anhang versendet werden. Vom Smartphone funktioniert es....
Outlook meldet nach einiger Zeit "Die Verbindung mit Microsoft Exchange ist nicht verfügbar..." obwohl Outlook mit dem Exchange verbunden ist.
Aktiviere ich die Porftilerregel für die Portweiterleitung funktioniert es wieder einwandfrei.
Das Postfach lässt sich per Autodiscover in Outlook Problemlos einrichten, mit der Portweiterleitung funktioniert ja auch alles. In den Logs der UTM kann ich nur sehen das die Verbindung in der Regel Internet --> external-interface --> https "accepted" wird. Wie kann ich weitere Daten des ReverseProxy "einsehen", gerne auch über die cli? Oder hat vielleicht sogar jemand eine Idee woran es liegen könnte?

Danke im Voraus für jeden Tip :)

Gruß,
Marcus

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

funktionieren generell kein Versand von Anhäge via Outlook oder erst Anhänge ab X MB?

Gruß

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Versuch es mal damit:

Code: Alles auswählen

destdom_regex           -i (mail|autodiscover|owa)\.domain\.de
urlpath_regex           -i ^(/autodiscover|/ecp|/ews|/Microsoft-Server-ActiveSync|/oab|/owa|/mapi|/rpc|/RpcWithCert)
Destdom-Regex beispielhaft für mail.domain.de, autodiscover.domain.de und owa.domain.de (Achtung: Destdom-Regex funktioniert anscheinend erst ab V11.7.4)
Der Urlpath-Regex sollte für Exchange 2003 - 2016 und Outlook 2003 - 2016 passen.

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Hallo und danke,
den urlpath_regex hatte ich bereits hier im Forum gefunden und nach einem Firmwareupdate eingetragen. 
Den destdom_regex habe ich eben hinzugefügt (V11.7.4 ist drauf), bringt leider auch nicht den erhofften Erfolg :(

Tatsächlich gehen Anhänge mit weniger als ca. 2 MB raus, alles ab ca 2 MB zumindest nicht mehr.

Benutzeravatar
NETworks-IT
Beiträge: 23
Registriert: Mi 11.06.2014, 12:13
Wohnort: Hehlen
Kontaktdaten:

Beitrag von NETworks-IT »

Nur mal so als dummer Gedanke: Die Größenbeschränkungen im MailRelay und im Transport-Hub des Exchange passen noch?

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Ja, mit der Portweiterleitung funktioniert es auch wieder. Habe ich aber auch noch mal geprüft. Meine Vermutung ist, dass der Virenscan der UTM einen Timeout verursacht? Kann das sein?

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Der Reverse Proxy verwendet den Virenscanner des Proxys nicht.

Das Problem an diesem Problem: Keiner weiß woran es liegt.(Außer dass irgendwann der SSL Handshake kaputt geht)
Lösung: Exchange auf http umstellen und den Reverse Proxy extern https annehmen lassen und nach intern zum Exchange geht es dann mit http weiter.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

In welcher Kombination aus Exchange- und Outlook-Version tritt das Problem auf?
Bei der Kombination aus Exchange 2010 und Outlook 2010 - 2016, die wir noch viel einsetzen, hatte ich den beschriebenen Effekt noch nicht festgestellt.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Ab Exchange 2013+ (meines Wissens nach)
Die Outlook Version ist egal, das Problem kann auch bei ActiveSync mit Mobilen Geräten auftreten.

Leider finde ich gerade den Link nicht wo das Problem erklärt wurde.(der link irgendwo in den tiefen der squid community begraben)

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Franz hat geschrieben:In welcher Kombination aus Exchange- und Outlook-Version tritt das Problem auf?
Bei der Kombination aus Exchange 2010 und Outlook 2010 - 2016, die wir noch viel einsetzen, hatte ich den beschriebenen Effekt noch nicht festgestellt.
Heißt ihr habt solche Umgebungen mit dem ReverseProxy über https am laufen?
Auch mit selbstsignierten Zertifikaten?
Hier handelt es sich um einen Exchange 2010 (auf SBS Server), sowohl mit Outlook 2010 als auch mit Outlook 2013 hab ich das beschriebene Verhalten.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

 Ja, das läuft bei verschiedenen Kunden in der Kombination (egal ob SBS oder nicht).
Das mit dem von der lokalen CA des SBS ausgestellten Zertifikat sollte eigentlich kein Problem sein.
Man kann es ja als .P12 exportieren, dann mit Openssl in Key+Zertifikate und CA-Zertifikat zerlegen und auf UTM importieren (direkter PKCS12-Import funktioniert ja leider nicht).

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Ja, das hab ich auch schon durch. Wobei dann ja die encryption des Keys decrypted werden muss. Nur bei der CA hat er ja keinen privaten Schlüssel.
Aber rein prinzipiell funktioniert es auch, Verbindung kann aufgebaut werden und "kleinere" Anhänge können auch versendet werden. Sonst muss ich den Support noch mal bemühen, meint ihr die können dabei helfen? 

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Auf jeden Fall einen Versuch wert, vielleicht finden die noch was.

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo zusammen,

das Problem mit Anhängen größer als 2MB lässt sich auf die Kommunikation zwischen Firewall und internen Server bzw. 
deren Verschlüsselung zurückführen.
Mit der 11.7 ist das gebrochene SSLv3 ja nicht mehr möglich und auch Microsoft empfiehlt kein SSLv3:
https://blogs.technet.microsoft.com/exc ... practices/

Es gibt einen möglichen Workaround, allerdings sollten betroffene Kunden lieber ihre Exchange Konfiguration entsprechend des Best Practises anpassen, ich zitiere auszugsweise:

Prioritize TLS 1.2 ciphers, and AES/3DES above others
Strongly consider disabling RC4 ciphers

Hier der beschriebene, aber nicht zu empfehlende Workaround, indem Sie TLS 1.0 mit RC4 verwenden:

"The fact is, if you tell squid to use TLS 1.0 with RC4 to connect internally with your Exchange, the issue will be solved."

https://forum.pfsense.org/index.php?topic=120796.0

Dazu geht man wie folgt vor:

1. Die Konfigdatei der über den Reverse Proxy veröffentlichten Seiten anzeigen lassen und den gesamten Inhalt der Ausgabe kopieren:

cat /etc/squid/squid-reverse-sites.conf

2. Template /etc/squid/squid-reverse.conf bearbeiten

3. Kommentieren Sie die Zeile, in der die Seiten geladen werden aus und fügen Sie die zuvor kopierte Konfig an dieser Stelle ein.

finally include the reverse proxy site definitions
Auskommentiert # include /etc/squid/squid-reverse-sites.conf
=> Hier die Konfig

shutdown_lifetime 0

4. In die eingefügte Konfig den fett markierten Eintrag hinzufügen.

site: mail.domain.local (sbw: 0, cbw: 0, method: round-robin) #
cache_peer 192.168.174.1 parent 80 0 no-query originserver connection-auth=on ssl sslflags=DONT_VERIFY_PEER sslcipher=RC4-SHA sslversion=4 name=peer_0007_0000

5. spcli appmgmt config

6. appmgmt restart application squid-reverse

Bei MAPI/RPC ist es zudem wichtig dass die Option: Zugangsdaten weiterleiten (client) und Auth AN aktiv ist.

Beste Grüße
Christian

Antworten