OWA SQUID TS gateway



  • Народ а ктонибудь разбирался с аутлуком ексченжем и вот этими фишками? Так как на ова 2010 заходит, но криво криво, а аутодискавери вообще не работает авторизация не проходит. Рдп гейт не пашет тоже не авторизует. Реально запустить, или это пока только заготовка в вебе?



  • правила верно прописаны для imap,pop,smtp, http,https? аутодискавери как авторизацию запрашивает?





  • В общем суть: в сам интерфейс owa заходит нормально, только файлы через один прикрепляются, авторизация проходит. Из оутлука даже не знаю где сомтреть, логи сквида на максимум, на самой ферме все тихо, просто постоянно запрашивает пароль, а в логах сквида TCP_MISS/401. Наткнулся на такую тему,  но как это в пф запихнуть. Чет вообще мозги уже плавятся, ну как то люди же далают,  не все же через тмг сидят, блин.

    werter: а, не сообразил коментарии там почитать, ясно, жалко. Я думал рабочее решение.



  • В итоге на отдельном сервере squid 3.1.19 реверс прокси на owa стал прикреплять файлы.

    Конфиг следующий

    ignore_expect_100 off
    https_port ип_на_который_идут_запросы_из_вне:443 accel cert=/etc/squid3/cert1/123.cert key=/etc/squid3/cert1/123.key defaultsite=внешний_FDQN vhost connection-auth=off  sslflags=DELAYED_AUTH
    cache_peer локальный_ип_овы parent 443 0 no-query originserver login=PASS ssl sslflags=DONT_VERIFY_PEER front-end-https=on name=owaServer
    acl OWA dstdomain внешний_FDQN
    cache_peer_access owaServer allow OWA
    never_direct allow OWA

    lock down access to only query the OWA server!

    http_access allow OWA
    http_access deny all
    miss_access allow OWA
    miss_access deny all

    Красным отметил того что нет в пфсенсе.

    Секция реверса в пфе:

    Reverse Proxy settings

    http_port ип_на_который_идут_запросы_из_вне:80 accel defaultsite=внешний_FDQN vhost
    https_port ип_на_который_идут_запросы_из_вне:443 accel cert=/usr/pbi/squid-amd64/etc/squid/53aa9084b4850.crt key=/usr/pbi/squid-amd64/etc/squid/53aa9084b4850.key defaultsite=внешний_FDQN vhost
    cache_peer локальный_ип_овы  parent 443 0 proxy-only no-query originserver login=PASS ssl sslflags=DONT_VERIFY_PEER front-end-https=on name=OWA_HOST_443_1_pfs
    cache_peer локальный_ип_овы  parent 80 0 proxy-only no-query originserver login=PASS name=OWA_HOST_80_1_pfs

    МС изменила протокол rdp на 8.0 даже squid 3.3 его не поддерживает, что то жесть какая то, блин у меня все на пф…



  • Не совсем понял (совсем не понял), заработало?



  • А ой, что то не пишет что есть новые ответы, и забыл отписаться, прошу прощения. Реверс прокси переехали на HAproxy, там да, там заработало. И ТС гейт через веб тоже и автодискавери. А сквид , что то уже не помню кто из них что не делал, кажется он вообще протокол рдп 8.х не поддерживает, только в следующей версии вроде обещали. Я занимался сквидом, коллега в это время ковырял HAPROXY, так как в стандартной конфигурации тоже проблемы, вот да с разбором сертификата, да точно ХАпроски серт не мог принять от тс гейта, а сквид траф прокинуть. Но установленный отдельно на виртуалке заработал.  Пока в пф нет возможности все это реализовать, в стандартных настройках с ексченжем 10 и выше и тс гейтом на вин 12 из коробки не работает.



  • @gar2k:

    А сквид , … кажется он вообще протокол рдп 8.х не поддерживает, только в следующей версии вроде обещали.

    Можете дать ссылку, где обещали?
    На сколько я понимаю работу squid, для туннелирования всех непрофильных протоколов используется метод Connect. При этом трафик никак не анализируется.



  • Не дам, найти у себя уже точно не найду, а искать заново времени нет, есть большое подозрение, что там же в архивах сквид рассылки. Поищите по ssl-bump, rpc over https, rdp 8.1 и ts gateway 2012. Так-то  вариант просто коннекта, возможен когда один сервер, когда всего много не вариант. А для одного сервера гейтов,  реверс прокси сам по себе уже лишний.


Log in to reply