PfSense + Squid не использовать прокси для локальных серверов.



  • Здравствуйте.

    Использую PfSense + Squid + Authentication NTLM

    В локальной сети работает почтовый сервер Epsilon.domain.local с ip 10.10.0.6
    На клиенте в браузере установлен прокис и "Не использовать прокис для локальных адресов"
    Не понимаю почему нет доступа к почте по web интерфейсу.

    Логи
    10.10.1.92 TAG_NONE/503 epsilon.domain.local:443 user -
    10.10.1.92 TCP_DENIED/407 epsilon.domain.local:443

    Когда в браузере набираю ip адрес , то доступ к почтовому серверу получаю.

    Доступ через внешний интерфейс к web морде тоже не работает.
    Ошибка в браузере:

    Не удалось установить безопасное соединение с 10.10.0.6
    The system returned:
    (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
    Handshake with SSL server failed: [No Error]

    Подскажите пожалуйста как настроить прокси, чтобы локальные сервера работали.



  • @Alexander-swmdx
    У вас же squid в транспаренте. В настройках его покопайтесь. Или адрес узла\сети в Exclude destinations в сквиде добавьте.

    P.s. Про .local - http://itband.ru/2012/05/name/

    Как же правильно именовать домен?

    Ответ прост. Делать согласованное пространство имен. Т.е имея домен itband.ru в реальном мире, домен Active Directory делать суб-доменом типа corp.itband.ru. При таком раскладе все проблемы отпадают. И совсем не обязательно делать делегирование DNS суб-домена на внешнем DNS сервере. Хотя если вы это сделаете, можно добиться разрешения имен в обе стороны. (из внутренней сети внешних имен, из Internet внутренних имен)

    Для тех, кто не подумал изначально есть “хорошая” ссылка: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Приятных Вам вечером за чтением данного произведения.



  • У squid режим Transparent выключен.
    Внутри работает DNS сервер который резолвит FQDN имя почтовика для внешнего и внутреннего домена на один ip.

    Вот странно, что по ip адресу с в локальной сети я прохожу на OWA почтового сервера. А по имени нет. При этом имя резолвится в правильный ip адрес.

    Подскажите пожалуйста, где установить исключение в squid ?



  • Скорее всего ваш клиен имеет IP не из 10.10.0/24
    В настройке Squid - Transparent Proxy Settings -> Bypass Proxy for These Destination IPs, но это если используется Transparent mode..., eсли нет - тогда

    d9e82cbd-0e0b-417b-9d9f-bee98beb908b-image.png
    e6e9883e-7941-4a3f-a7c7-27163bafa588-image.png



  • Transparent mode отключен.

    Есть интересное наблюдение.
    Почтовый сервер epsilon.domain.local его ip 10.10.0.6

    Я с клиента ip 10.10.0.92 в IE с включенным прокис и галкой не использовать прокси для локальных серверов.
    https://10.10.0.6/owa - работает.
    https://epsilon/owa - работает.
    https://epsilon.domain.local/owa - НЕ работает.

    Если прописать в исключение адрес https://epsilon.domain.local в IE в параметрах прокси, то все работает.

    Как я понимаю, что для IE адрес https://epsilon.domain.local воспринимается как не локальный и проходит через прокси. В логах получаю

    IP Status Address
    10.10.1.92 TAG_NONE/503 epsilon.domain.local:443

    Я думаю, что по этой же причине и с внешнего адреса на OWA не пройти.
    Как заставить работать https://epsilon.domain.local через прокси ?



  • @Alexander-swmdx

    Из вне надо мутить с Squid reverse proxy



  • @Alexander-swmdx

    Вот странно, что по ip адресу с в локальной сети я прохожу на OWA почтового сервера. А по имени нет. При этом имя резолвится в правильный ip адрес.

    Попробуйте обращаться из LAN к exchange по внешнему имени. По хорошему у вас должен быть настроен SplitDNS, чтобы внутри LAN внешнее имя exchange разрешалось в локальный адрес. Или настроить NAT Loopback на пф, что есть костыль.
    Но ssl-сертификат exchange привязан ко внешнему имени. Без доп. телодвижений ругаться будет при заходе на .local

    Я думаю, что по этой же причине и с внешнего адреса на OWA не пройти.

    https://www.itwriting.com/blog/9592-publishing-exchange-with-pfsense.html
    (?) http://www.digitalfoundations.com.au/blog/reverse-proxy-ssl-with-pfsense-inc-owa

    Я с клиента ip 10.10.0.92 в IE с включенным прокис и галкой не использовать прокси для локальных серверов.
    https://10.10.0.6/owa - работает.
    https://epsilon/owa - работает.
    https://epsilon.domain.local/owa - НЕ работает.

    Покажите nslookup с этого клиента до epsilon и epsilon.domain.local

    Зы. Зачем именовать домен .local, если у вас есть реальное доменное имя? Так и пользуйте его для именования домена. Лишние проблемы себе создаете с .local

    Зы2. Попробуйте для теста прописать имя вашего локального домена в выделенное поле в настройках проблемного клиента. После сбросить кэш днс (ipconfig /flushdns от имени Админ-ра) и ping до epsilon проверить.
    dns.png

    Зы3. Если ваш пф работает dhcp-сервером, то указано ли корректно доменное имя (к-ое c .local) в его настройках? При правильности настроек пф будет выдавать dns-суффикс клиентам автоматом и ваш "голый" epsilon будет светиться как epsilon.domain.local



  • Я обратил внимание на то, что PfSense не правильно резолвил локальные имена.
    Я отключил DNS resolver и в System – General Setup – DNS Server Setting прописал внутренние DNS сервера. После чего я смог пройди из локальной сети по адресу https://epsilon.domain.local/owa ! )))

    Осталось понять почему же из внешней сети я получаю такую ошибку.
    Снимок.JPG

    Когда я включаю фильтрацию SSL в Proxy Server - General Settings – General - SSL Man In the Middle Filtering

    То из внутренней сети получаю такую же ошибку.

    Снимок2.JPG


Log in to reply