pfsense 2.5 + squid + squid revers proxy(OWA enable)+ авторизация AD
-
Добрый день!
Всё настроено и работает. Вопрос вот в чем. Почему при входе на OWA с улицы по URL к которому нету доступа через реверс прокси запрашивает авторизацию?
Прокси не прозрачный. Для авторизации по AD в Squid Custom Options (Before Auth) прописано:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешенияhttp_access allow nonauth
http_access deny !auth
http_access allow authКак это можно побороть?
-
Добрый
@dmdandrew
Настройте split dns. Не надо заходить внутри сети по ВНЕШНЕМУ имени. -
Split DNS есть, но при переходе на сайт из ВНЕШНЕЙ сети (чистый интернет) никак не связанной физически с настроенной системой сайт просит авторизацию.
-
@dmdandrew
Какую функ-цию сквид выполняет для OWA в вашем случае?
Зачем это звено в цепочке для доступа ИЗВНЕ и почему просто не открыть доступ извне к OWA просто пробросив 80\443-й порты на адрес эксченджа?Почему при входе на OWA с улицы по URL к которому нету доступа через реверс прокси запрашивает авторизацию
Предположу ,что сквид у вас слушает ВСЕ интерфейсы. Перевесьте его на loopback\localhost и LAN. И сохранить настройки не забудьте.
ЗЫ. Если в будущем надумаете сменить Экс на открытое ПО (в 3-х НЕмелких конторах за этот год проделал лично):
mailcow (Sogo прекрасен)
https://mailcow.email
https://serveradmin.ru/informacziya-o-pochtovom-servere-mailcow/
https://winitpro.ru/index.php/2021/04/05/mailcow-pochtovyj-server-postfix-dovecot-sogo-v-docker/Proxmox Mail Gateway (БЕСПЛАТНЫЙ пограничный почтовый шлюз):
https://www.proxmox.com/en/proxmox-mail-gateway
https://interface31.ru/tech_it/2019/02/proxmox-mail-gateway-nastraivaem-pogranichnyy-pochtovyy-shlyuz.htmlPiler - an open source email archival application (архиватор почты с ДЕДУПЛИКАЦИЕЙ)
https://bitbucket.org/jsuto/piler/src/master/
https://www.mailpiler.org/wiki/startФайлообменник Jirafeau (для обмена почтой с объемными вложениями - просто даете ОДНУ ссылку в письме на вложение в рассылке на 100500 человек, а после файл через 1-2-n-дней самоудаляется)
https://koobik.net/install-jirafeau-on-nginx/Все свои "секреты" по почте раскрыл )
-
@werter said in pfsense 2.5 + squid + squid revers proxy(OWA enable)+ авторизация AD:
@dmdandrew
Какую функ-цию сквид выполняет для OWA в вашем случае?
Зачем это звено в цепочке для доступа ИЗВНЕ и почему просто не открыть доступ извне к OWA просто пробросив 80\443-й порты на адрес эксченджа?Почему при входе на OWA с улицы по URL к которому нету доступа через реверс прокси запрашивает авторизацию
Предположу ,что сквид у вас слушает ВСЕ интерфейсы. Перевесьте его на loopback\localhost и LAN. И сохранить настройки не забудьте.
ЗЫ. Если в будущем надумаете сменить Экс на открытое ПО (в 3-х НЕмелких конторах за этот год проделал лично):
mailcow (Sogo прекрасен)
https://mailcow.email
https://serveradmin.ru/informacziya-o-pochtovom-servere-mailcow/
https://winitpro.ru/index.php/2021/04/05/mailcow-pochtovyj-server-postfix-dovecot-sogo-v-docker/Proxmox Mail Gateway (БЕСПЛАТНЫЙ пограничный почтовый шлюз):
https://www.proxmox.com/en/proxmox-mail-gateway
https://interface31.ru/tech_it/2019/02/proxmox-mail-gateway-nastraivaem-pogranichnyy-pochtovyy-shlyuz.htmlPiler - an open source email archival application (архиватор почты с ДЕДУПЛИКАЦИЕЙ)
https://bitbucket.org/jsuto/piler/src/master/
https://www.mailpiler.org/wiki/startФайлообменник Jirafeau (для обмена почтой с объемными вложениями - просто даете ОДНУ ссылку в письме на вложение в рассылке на 100500 человек, а после файл через 1-2-n-дней самоудаляется)
https://koobik.net/install-jirafeau-on-nginx/Все свои "секреты" по почте раскрыл )
На Pfsense выбор пал в качестве замены TMG. Для проброса OWA используется Squid Reverse Proxy. Squid слушает только LAN и lookback, также он выполняет функцию прокси для пользователей AD.
P.S. Спасибо за список ПО , буду знать куда смотреть.
-
@dmdandrew
Вот же https://www.itwriting.com/blog/9592-publishing-exchange-with-pfsense.html
Достаточно сменить порт вебки пф на нестандартный (напр., 10080\10443) и пробросить TCP 80\443 на локальный ip экса. Всё.Я не совсем понимаю зачем для этого нужен сквид реверс прокси (
Для https? Так его можно на самом эксе с iis настроить.Зы. Тут https://hobbycomp.ru/soft/exchange-pfsense/ и https://hobbycomp.ru/soft/pfsense-shlyuz-za-pyat-minut/