PfSense + Squid не использовать прокси для локальных серверов.
-
Здравствуйте.
Использую PfSense + Squid + Authentication NTLM
В локальной сети работает почтовый сервер Epsilon.domain.local с ip 10.10.0.6
На клиенте в браузере установлен прокис и "Не использовать прокис для локальных адресов"
Не понимаю почему нет доступа к почте по web интерфейсу.Логи
10.10.1.92 TAG_NONE/503 epsilon.domain.local:443 user -
10.10.1.92 TCP_DENIED/407 epsilon.domain.local:443Когда в браузере набираю ip адрес , то доступ к почтовому серверу получаю.
Доступ через внешний интерфейс к web морде тоже не работает.
Ошибка в браузере:Не удалось установить безопасное соединение с 10.10.0.6
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: [No Error]Подскажите пожалуйста как настроить прокси, чтобы локальные сервера работали.
-
@Alexander-swmdx
У вас же squid в транспаренте. В настройках его покопайтесь. Или адрес узла\сети в Exclude destinations в сквиде добавьте.P.s. Про .local - http://itband.ru/2012/05/name/
Как же правильно именовать домен?
Ответ прост. Делать согласованное пространство имен. Т.е имея домен itband.ru в реальном мире, домен Active Directory делать суб-доменом типа corp.itband.ru. При таком раскладе все проблемы отпадают. И совсем не обязательно делать делегирование DNS суб-домена на внешнем DNS сервере. Хотя если вы это сделаете, можно добиться разрешения имен в обе стороны. (из внутренней сети внешних имен, из Internet внутренних имен)
Для тех, кто не подумал изначально есть “хорошая” ссылка: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Приятных Вам вечером за чтением данного произведения.
-
У squid режим Transparent выключен.
Внутри работает DNS сервер который резолвит FQDN имя почтовика для внешнего и внутреннего домена на один ip.Вот странно, что по ip адресу с в локальной сети я прохожу на OWA почтового сервера. А по имени нет. При этом имя резолвится в правильный ip адрес.
Подскажите пожалуйста, где установить исключение в squid ?
-
Скорее всего ваш клиен имеет IP не из 10.10.0/24
В настройке Squid - Transparent Proxy Settings -> Bypass Proxy for These Destination IPs, но это если используется Transparent mode..., eсли нет - тогда
-
Transparent mode отключен.
Есть интересное наблюдение.
Почтовый сервер epsilon.domain.local его ip 10.10.0.6Я с клиента ip 10.10.0.92 в IE с включенным прокис и галкой не использовать прокси для локальных серверов.
https://10.10.0.6/owa - работает.
https://epsilon/owa - работает.
https://epsilon.domain.local/owa - НЕ работает.Если прописать в исключение адрес https://epsilon.domain.local в IE в параметрах прокси, то все работает.
Как я понимаю, что для IE адрес https://epsilon.domain.local воспринимается как не локальный и проходит через прокси. В логах получаю
IP Status Address
10.10.1.92 TAG_NONE/503 epsilon.domain.local:443Я думаю, что по этой же причине и с внешнего адреса на OWA не пройти.
Как заставить работать https://epsilon.domain.local через прокси ? -
Из вне надо мутить с Squid reverse proxy
-
Вот странно, что по ip адресу с в локальной сети я прохожу на OWA почтового сервера. А по имени нет. При этом имя резолвится в правильный ip адрес.
Попробуйте обращаться из LAN к exchange по внешнему имени. По хорошему у вас должен быть настроен SplitDNS, чтобы внутри LAN внешнее имя exchange разрешалось в локальный адрес. Или настроить NAT Loopback на пф, что есть костыль.
Но ssl-сертификат exchange привязан ко внешнему имени. Без доп. телодвижений ругаться будет при заходе на .localЯ думаю, что по этой же причине и с внешнего адреса на OWA не пройти.
https://www.itwriting.com/blog/9592-publishing-exchange-with-pfsense.html
(?) http://www.digitalfoundations.com.au/blog/reverse-proxy-ssl-with-pfsense-inc-owaЯ с клиента ip 10.10.0.92 в IE с включенным прокис и галкой не использовать прокси для локальных серверов.
https://10.10.0.6/owa - работает.
https://epsilon/owa - работает.
https://epsilon.domain.local/owa - НЕ работает.Покажите nslookup с этого клиента до epsilon и epsilon.domain.local
Зы. Зачем именовать домен .local, если у вас есть реальное доменное имя? Так и пользуйте его для именования домена. Лишние проблемы себе создаете с .local
Зы2. Попробуйте для теста прописать имя вашего локального домена в выделенное поле в настройках проблемного клиента. После сбросить кэш днс (ipconfig /flushdns от имени Админ-ра) и ping до epsilon проверить.
Зы3. Если ваш пф работает dhcp-сервером, то указано ли корректно доменное имя (к-ое c .local) в его настройках? При правильности настроек пф будет выдавать dns-суффикс клиентам автоматом и ваш "голый" epsilon будет светиться как epsilon.domain.local
-
Я обратил внимание на то, что PfSense не правильно резолвил локальные имена.
Я отключил DNS resolver и в System – General Setup – DNS Server Setting прописал внутренние DNS сервера. После чего я смог пройди из локальной сети по адресу https://epsilon.domain.local/owa ! )))Осталось понять почему же из внешней сети я получаю такую ошибку.
Когда я включаю фильтрацию SSL в Proxy Server - General Settings – General - SSL Man In the Middle Filtering
То из внутренней сети получаю такую же ошибку.