Office365 + Pfsense



  • Buenas

    Explico mi inconveniente, actualmente en la empresa que trabajo estamos en proceso de migración a Office 365 sin embargo tengo el siguiente inconveniente:

    Tengo dos pfsenses:

    PfSenseA = Pfsense de Ruteo
    PfSenseB = Pfsense de Internet. (Package squid).

    PfsenseA: Interfaz LAN = 10.0.1.10
    PfSenseB: Interfaz LAN = 10.0.1.12

    Es importante mencionar que el Gateway de las maquinas(10.0.1.10) "No es el mismo" que se usa para la salida a Internet ya que para la salida de Internet utilizo el pfsenseB(10.0.1.12) en las maquinas.

    El inconveniente es el siguiente y quisiera saber si alguno a pasado por éste mismo inconveniente, la única forma en que funciona el correo es cuando tengo el proxy configurado en la maquina desde el Panel de control/Opciones de Internet/Configuración LAN etc etc  a menos de que salga a Internet por un Internet libre sin restricciones ni uso de proxy o poniendo el proxy en la maquina, pero lo que quiero es que pueda funcionar el correo sin necesidad de usar proxy desde la LAN del pfsenseA.

    La solución que he pensado es la siguiente: Realice un nslookup outlook.office365.com y me dio el siguiente resultado:

    Name:    outlook-namsouth.office365.com
    Address: 132.245.3.210
    Name:    outlook-namsouth.office365.com
    Address: 132.245.81.178
    Name:    outlook-namsouth.office365.com
    Address: 132.245.61.50
    Name:    outlook-namsouth.office365.com
    Address: 132.245.40.2
    Name:    outlook-namsouth.office365.com
    Address: 132.245.38.82
    Name:    outlook-namsouth.office365.com
    Address: 132.245.68.210
    Name:    outlook-namsouth.office365.com
    Address: 132.245.9.226
    Name:    outlook-namsouth.office365.com
    Address: 132.245.15.226
    Name:    outlook-namsouth.office365.com
    Address: 132.245.16.242
    Name:    outlook-namsouth.office365.com
    Address: 132.245.8.2

    Cada una de esas direcciones publicas las libere en el pfsense de Internet mediante reglas en el firewall en el pfsenseB de la interfaz LAN.

    Ejemplo:

    Proto          Source    Port    Destination        Port    Gateway    Queque    Shedule    Description
    TCP/UDP    Lan net    *        132.245.9.226    *        *                  none                          Office365

    Luego en el PfSenseA hice Rutas Estáticas de la siguiente manera para cada una de esas IPs publicas:

    Network                  Gateways    Interface      Descripction
    132.245.9.226/31    10.0.1.12    LAN            Ruta Office365

    Sin embargo me faltan muchas IPs para que pueda sincronizar correctamente el outlook de office365 pero se me esta haciendo muy complicado ingresar tantas IPs en el firewall por lo que mi consulta es si existe alguna otra forma de realizar esto o si algún o alguna a pasado por dicha experiencia para que me pueda aconsejar del tema?.

    Saludos y muchas gracias por el respaldo que me puedan brindar.



  • Crea un alias de hosts, métele outlook-namsouth.office365.com y emplea el alias de hosts en la regla.

    Esa es una posible solución para lo que deseas hacer.



  • Gracias muy amable por la acostumbrada ayuda Josep.

    Sin embargo me podría explicar un poco más detallado como realizo esa configuración si me hace el favor?.

    Creo que lo del "Alias" se realiza en la siguiente ruta de pestañas:  Firewall / Aliases  pero no estoy seguro ya que  las opciones que salen disponibles son: IP/ Port/ URLs/ ALL cuando se refiere a Host es a IPs , tampoco entendí muy bien lo de  "outlook-namsouth.office365.com"con eso te refieres a una descripción del Alias?.

    Saludos y de nuevo las gracias por la acostumbrada ayuda.



  • Ver imágenes.








  • Excelente Josep  muchas gracias excelente idea. Perdón por la molestia entiendo lo de el Alias sin embargo ahora me surge la duda de como realizo la ruta estática hacía el Alias: Office365 que creamos ya que como te había comentado nosotros contamos con dos pfsense:

    PfsenseA= Pfsense de Ruteo.(10.0.1.10)
    PfsenseB= Pfsense de Internet.(10.0.1.12) con el package squid

    En el PfSenseA hice Rutas Estáticas de la siguiente manera para cada una de esas IPs publicas del outlook-namsouth.office365.com:

    Network                  Gateways    Interface      Descripction
    132.245.9.226/31    10.0.1.12    LAN            Ruta Office365

    Para que las maquinas de la LAN no tengan que tener configurado el proxy para poder enviar y recibir correos es decir que tengan el check de: "No usar servidor proxy".

    Saludos y muchas gracias por la ayuda.



  • ¡Buf, no me fijé con lo de la ruta!

    No todas las funciones de Office365 van vía web, https://technet.microsoft.com/en-us/library/hh852522.aspx

    Prueba a poner 132.245.0.0/16

    http://bgp.he.net/ip/132.245.9.226

    De todas maneras no me termina de gustar la idea porque si te cambian el rango o hay algo fuera de él, problemas. Más valdría una solución por nombre.

    Y eso se logra mediante un archivo proxy.pac de configuración de proxy que informe qué destinos deben ser directos.

    Ejemplo para DropBox + AmazonWS (DropBox usa AmazonWS):

    function FindProxyForURL(url, host) {
       if (shExpMatch(url,"*.dropbox.com/*")) {return "DIRECT";}
       if (shExpMatch(url,"*.amazonaws.com/*")) {return "DIRECT";}
       return "PROXY 192.168.0.1:3128";
    }
    


  • Muchas gracias Josep



  • Gracias Josep por tu ayuda, te comento que lo del Aliases si funciona, sin embargo tengo el siguiente inconveniente aún no he podido resolver que las maquinas no tengan que utilizar el servidor proxy para poder enviar y recibir correos, es decir quiero que el correo les funcione sin necesidad de que tengan configurado el proxy en Panel de Control/Opciones de Internet/Conexiones/Configuración de LAN/.

    Hice un laboratorio en donde tengo un Pfsense VK-T40E (http://store.pfsense.org/VK-T40E/)  y una maquina conectada directamente al puerto LAN, configure el squid en el pfsense y toda la configuración normal, aún así el correo con office365 en outlook 2010 no funciona a menos de que tenga el check de usar servidor proxy en la maquina. NOTA: En éste laboratorio "El Gateway de la maquina" es el mismo que se usa como proxy.

    Muchas gracias por la ayuda que me pueda brindar al respecto, saludos.



  • Pues si indicando el proxy el tráfico pasa y sin él no, falta regla que permita esos destinos.



  • Comprendo Josep

    Sin embargo ya había ingresado la regla creada con el Aliases que me explico anteriormente, adjunto imagen de las reglas del firewall para la interfaz LAN, también ingrese los dominios siguientes en el whitelist:

    outlook.com
    login.microsoftonline.com
    mail.office365.com
    outlook.office365.com

    Adicional te explico que la forma en que sé que el Aliases funciona, es debido a que si realizo un ping a unas de las IPs del grupo creado en el Aliases si obtengo respuesta.

    Pero por alguna razón que aún desconozco no funciona el correo sin tener el proxy configurado en la maquina. .




  • Buenas Josep

    Solo para comentar en el post realizado que el error que estaba teniendo tanto en el Laboratorio como en la configuración real se debía a lo siguiente:

    El Outlook busca siempre la dirección: https://outlook.office365.com  para ésto creamos el Aliases: Office365 mencionado en la conversación anterior sin embargo en el escenario que mencione anteriormente:
    PfsenseRed y PfsenseInternet, En donde el gateway de las maquinas no es el mismo por donde se sale a internet (proxy) en la configuración de DHCP Server del PfsenseRed estaba poniendo DNS que no tenían salida a Internet o en caso de no tener un servidor DNS que me resuelva los Aliases creados nunca iban a poder sincronizar al servidor de office365 por el Aliases creado(conjunto de IPs en las reglas del firewall), en mi caso solo realice ese cambio y ya funciono correctamente al igual imagino que creando una regla del puerto 53 de ese servidor hacía afuera también me hubiera funcionado.

    Muchas gracias pro la ayuda lo del Aliases funciona muy bien.



  • @bcalvo:

    estaba poniendo DNS que no tenían salida a Internet

    ¡Me alegro de que encontraras el fallo!

    Los errores DNS son bastante habituales y pensamos en que es alguna regla, el proxy… pero no.

    Muchas gracias por la ayuda lo del Aliases funciona muy bien.

    ¡De nada!