Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfsense 2.5 + squid + squid revers proxy(OWA enable)+ авторизация AD

    Scheduled Pinned Locked Moved Russian
    6 Posts 2 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DMDAndrew
      last edited by

      Добрый день!

      Всё настроено и работает. Вопрос вот в чем. Почему при входе на OWA с улицы по URL к которому нету доступа через реверс прокси запрашивает авторизацию?

      Прокси не прозрачный. Для авторизации по AD в Squid Custom Options (Before Auth) прописано:

      #Хелперы
      auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
      auth_param negotiate children 1000
      auth_param negotiate keep_alive on
      #Списки доступа
      acl auth proxy_auth REQUIRED
      acl nonauth dstdomain "/etc/squid/nonauth.txt"
      #Разрешения

      http_access allow nonauth
      http_access deny !auth
      http_access allow auth

      Как это можно побороть?

      werterW 1 Reply Last reply Reply Quote 0
      • werterW
        werter @DMDAndrew
        last edited by

        Добрый
        @dmdandrew
        Настройте split dns. Не надо заходить внутри сети по ВНЕШНЕМУ имени.

        D 1 Reply Last reply Reply Quote 0
        • D
          DMDAndrew @werter
          last edited by DMDAndrew

          @werter

          Split DNS есть, но при переходе на сайт из ВНЕШНЕЙ сети (чистый интернет) никак не связанной физически с настроенной системой сайт просит авторизацию.

          werterW 1 Reply Last reply Reply Quote 0
          • werterW
            werter @DMDAndrew
            last edited by werter

            @dmdandrew
            Какую функ-цию сквид выполняет для OWA в вашем случае?
            Зачем это звено в цепочке для доступа ИЗВНЕ и почему просто не открыть доступ извне к OWA просто пробросив 80\443-й порты на адрес эксченджа?

            Почему при входе на OWA с улицы по URL к которому нету доступа через реверс прокси запрашивает авторизацию

            Предположу ,что сквид у вас слушает ВСЕ интерфейсы. Перевесьте его на loopback\localhost и LAN. И сохранить настройки не забудьте.

            ЗЫ. Если в будущем надумаете сменить Экс на открытое ПО (в 3-х НЕмелких конторах за этот год проделал лично):

            mailcow (Sogo прекрасен)
            https://mailcow.email
            https://serveradmin.ru/informacziya-o-pochtovom-servere-mailcow/
            https://winitpro.ru/index.php/2021/04/05/mailcow-pochtovyj-server-postfix-dovecot-sogo-v-docker/

            Proxmox Mail Gateway (БЕСПЛАТНЫЙ пограничный почтовый шлюз):
            https://www.proxmox.com/en/proxmox-mail-gateway
            https://interface31.ru/tech_it/2019/02/proxmox-mail-gateway-nastraivaem-pogranichnyy-pochtovyy-shlyuz.html

            Piler - an open source email archival application (архиватор почты с ДЕДУПЛИКАЦИЕЙ)
            https://bitbucket.org/jsuto/piler/src/master/
            https://www.mailpiler.org/wiki/start

            Файлообменник Jirafeau (для обмена почтой с объемными вложениями - просто даете ОДНУ ссылку в письме на вложение в рассылке на 100500 человек, а после файл через 1-2-n-дней самоудаляется)
            https://koobik.net/install-jirafeau-on-nginx/

            Все свои "секреты" по почте раскрыл )

            D 1 Reply Last reply Reply Quote 1
            • D
              DMDAndrew @werter
              last edited by

              @werter said in pfsense 2.5 + squid + squid revers proxy(OWA enable)+ авторизация AD:

              @dmdandrew
              Какую функ-цию сквид выполняет для OWA в вашем случае?
              Зачем это звено в цепочке для доступа ИЗВНЕ и почему просто не открыть доступ извне к OWA просто пробросив 80\443-й порты на адрес эксченджа?

              Почему при входе на OWA с улицы по URL к которому нету доступа через реверс прокси запрашивает авторизацию

              Предположу ,что сквид у вас слушает ВСЕ интерфейсы. Перевесьте его на loopback\localhost и LAN. И сохранить настройки не забудьте.

              ЗЫ. Если в будущем надумаете сменить Экс на открытое ПО (в 3-х НЕмелких конторах за этот год проделал лично):

              mailcow (Sogo прекрасен)
              https://mailcow.email
              https://serveradmin.ru/informacziya-o-pochtovom-servere-mailcow/
              https://winitpro.ru/index.php/2021/04/05/mailcow-pochtovyj-server-postfix-dovecot-sogo-v-docker/

              Proxmox Mail Gateway (БЕСПЛАТНЫЙ пограничный почтовый шлюз):
              https://www.proxmox.com/en/proxmox-mail-gateway
              https://interface31.ru/tech_it/2019/02/proxmox-mail-gateway-nastraivaem-pogranichnyy-pochtovyy-shlyuz.html

              Piler - an open source email archival application (архиватор почты с ДЕДУПЛИКАЦИЕЙ)
              https://bitbucket.org/jsuto/piler/src/master/
              https://www.mailpiler.org/wiki/start

              Файлообменник Jirafeau (для обмена почтой с объемными вложениями - просто даете ОДНУ ссылку в письме на вложение в рассылке на 100500 человек, а после файл через 1-2-n-дней самоудаляется)
              https://koobik.net/install-jirafeau-on-nginx/

              Все свои "секреты" по почте раскрыл )

              На Pfsense выбор пал в качестве замены TMG. Для проброса OWA используется Squid Reverse Proxy. Squid слушает только LAN и lookback, также он выполняет функцию прокси для пользователей AD.

              P.S. Спасибо за список ПО , буду знать куда смотреть.

              werterW 1 Reply Last reply Reply Quote 0
              • werterW
                werter @DMDAndrew
                last edited by werter

                @dmdandrew
                Вот же https://www.itwriting.com/blog/9592-publishing-exchange-with-pfsense.html
                Достаточно сменить порт вебки пф на нестандартный (напр., 10080\10443) и пробросить TCP 80\443 на локальный ip экса. Всё.

                Я не совсем понимаю зачем для этого нужен сквид реверс прокси (
                Для https? Так его можно на самом эксе с iis настроить.

                Зы. Тут https://hobbycomp.ru/soft/exchange-pfsense/ и https://hobbycomp.ru/soft/pfsense-shlyuz-za-pyat-minut/

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.