Office365 + Pfsense

bcalvo

Buenas

Explico mi inconveniente, actualmente en la empresa que trabajo estamos en proceso de migración a Office 365 sin embargo tengo el siguiente inconveniente:

Tengo dos pfsenses:

PfSenseA = Pfsense de Ruteo
PfSenseB = Pfsense de Internet. (Package squid).

PfsenseA: Interfaz LAN = 10.0.1.10
PfSenseB: Interfaz LAN = 10.0.1.12

Es importante mencionar que el Gateway de las maquinas(10.0.1.10) "No es el mismo" que se usa para la salida a Internet ya que para la salida de Internet utilizo el pfsenseB(10.0.1.12) en las maquinas.

El inconveniente es el siguiente y quisiera saber si alguno a pasado por éste mismo inconveniente, la única forma en que funciona el correo es cuando tengo el proxy configurado en la maquina desde el Panel de control/Opciones de Internet/Configuración LAN etc etc  a menos de que salga a Internet por un Internet libre sin restricciones ni uso de proxy o poniendo el proxy en la maquina, pero lo que quiero es que pueda funcionar el correo sin necesidad de usar proxy desde la LAN del pfsenseA.

La solución que he pensado es la siguiente: Realice un nslookup outlook.office365.com y me dio el siguiente resultado:

Name:    outlook-namsouth.office365.com
Address: 132.245.3.210
Name:    outlook-namsouth.office365.com
Address: 132.245.81.178
Name:    outlook-namsouth.office365.com
Address: 132.245.61.50
Name:    outlook-namsouth.office365.com
Address: 132.245.40.2
Name:    outlook-namsouth.office365.com
Address: 132.245.38.82
Name:    outlook-namsouth.office365.com
Address: 132.245.68.210
Name:    outlook-namsouth.office365.com
Address: 132.245.9.226
Name:    outlook-namsouth.office365.com
Address: 132.245.15.226
Name:    outlook-namsouth.office365.com
Address: 132.245.16.242
Name:    outlook-namsouth.office365.com
Address: 132.245.8.2

Cada una de esas direcciones publicas las libere en el pfsense de Internet mediante reglas en el firewall en el pfsenseB de la interfaz LAN.

Ejemplo:

Proto          Source    Port    Destination        Port    Gateway    Queque    Shedule    Description
TCP/UDP    Lan net    *        132.245.9.226    *        *                  none                          Office365

Luego en el PfSenseA hice Rutas Estáticas de la siguiente manera para cada una de esas IPs publicas:

Network                  Gateways    Interface      Descripction
132.245.9.226/31    10.0.1.12    LAN            Ruta Office365

Sin embargo me faltan muchas IPs para que pueda sincronizar correctamente el outlook de office365 pero se me esta haciendo muy complicado ingresar tantas IPs en el firewall por lo que mi consulta es si existe alguna otra forma de realizar esto o si algún o alguna a pasado por dicha experiencia para que me pueda aconsejar del tema?.

Saludos y muchas gracias por el respaldo que me puedan brindar.

bellera

Crea un alias de hosts, métele outlook-namsouth.office365.com y emplea el alias de hosts en la regla.

Esa es una posible solución para lo que deseas hacer.

bcalvo

Gracias muy amable por la acostumbrada ayuda Josep.

Sin embargo me podría explicar un poco más detallado como realizo esa configuración si me hace el favor?.

Creo que lo del "Alias" se realiza en la siguiente ruta de pestañas:  Firewall / Aliases  pero no estoy seguro ya que  las opciones que salen disponibles son: IP/ Port/ URLs/ ALL cuando se refiere a Host es a IPs , tampoco entendí muy bien lo de  "outlook-namsouth.office365.com"con eso te refieres a una descripción del Alias?.

Saludos y de nuevo las gracias por la acostumbrada ayuda.

bellera

Ver imágenes.

bcalvo

Excelente Josep  muchas gracias excelente idea. Perdón por la molestia entiendo lo de el Alias sin embargo ahora me surge la duda de como realizo la ruta estática hacía el Alias: Office365 que creamos ya que como te había comentado nosotros contamos con dos pfsense:

PfsenseA= Pfsense de Ruteo.(10.0.1.10)
PfsenseB= Pfsense de Internet.(10.0.1.12) con el package squid

En el PfSenseA hice Rutas Estáticas de la siguiente manera para cada una de esas IPs publicas del outlook-namsouth.office365.com:

Network                  Gateways    Interface      Descripction
132.245.9.226/31    10.0.1.12    LAN            Ruta Office365

Para que las maquinas de la LAN no tengan que tener configurado el proxy para poder enviar y recibir correos es decir que tengan el check de: "No usar servidor proxy".

Saludos y muchas gracias por la ayuda.

bellera

¡Buf, no me fijé con lo de la ruta!

No todas las funciones de Office365 van vía web, https://technet.microsoft.com/en-us/library/hh852522.aspx

Prueba a poner 132.245.0.0/16

http://bgp.he.net/ip/132.245.9.226

De todas maneras no me termina de gustar la idea porque si te cambian el rango o hay algo fuera de él, problemas. Más valdría una solución por nombre.

Y eso se logra mediante un archivo proxy.pac de configuración de proxy que informe qué destinos deben ser directos.

Ejemplo para DropBox + AmazonWS (DropBox usa AmazonWS):

function FindProxyForURL(url, host) {
   if (shExpMatch(url,"*.dropbox.com/*")) {return "DIRECT";}
   if (shExpMatch(url,"*.amazonaws.com/*")) {return "DIRECT";}
   return "PROXY 192.168.0.1:3128";
}

bcalvo

Muchas gracias Josep

bcalvo

Gracias Josep por tu ayuda, te comento que lo del Aliases si funciona, sin embargo tengo el siguiente inconveniente aún no he podido resolver que las maquinas no tengan que utilizar el servidor proxy para poder enviar y recibir correos, es decir quiero que el correo les funcione sin necesidad de que tengan configurado el proxy en Panel de Control/Opciones de Internet/Conexiones/Configuración de LAN/.

Hice un laboratorio en donde tengo un Pfsense VK-T40E (http://store.pfsense.org/VK-T40E/)  y una maquina conectada directamente al puerto LAN, configure el squid en el pfsense y toda la configuración normal, aún así el correo con office365 en outlook 2010 no funciona a menos de que tenga el check de usar servidor proxy en la maquina. NOTA: En éste laboratorio "El Gateway de la maquina" es el mismo que se usa como proxy.

Muchas gracias por la ayuda que me pueda brindar al respecto, saludos.

bellera

Pues si indicando el proxy el tráfico pasa y sin él no, falta regla que permita esos destinos.

bcalvo

Comprendo Josep

Sin embargo ya había ingresado la regla creada con el Aliases que me explico anteriormente, adjunto imagen de las reglas del firewall para la interfaz LAN, también ingrese los dominios siguientes en el whitelist:

outlook.com
login.microsoftonline.com
mail.office365.com
outlook.office365.com

Adicional te explico que la forma en que sé que el Aliases funciona, es debido a que si realizo un ping a unas de las IPs del grupo creado en el Aliases si obtengo respuesta.

Pero por alguna razón que aún desconozco no funciona el correo sin tener el proxy configurado en la maquina. .

bcalvo

Buenas Josep

Solo para comentar en el post realizado que el error que estaba teniendo tanto en el Laboratorio como en la configuración real se debía a lo siguiente:

El Outlook busca siempre la dirección: https://outlook.office365.com  para ésto creamos el Aliases: Office365 mencionado en la conversación anterior sin embargo en el escenario que mencione anteriormente:
PfsenseRed y PfsenseInternet, En donde el gateway de las maquinas no es el mismo por donde se sale a internet (proxy) en la configuración de DHCP Server del PfsenseRed estaba poniendo DNS que no tenían salida a Internet o en caso de no tener un servidor DNS que me resuelva los Aliases creados nunca iban a poder sincronizar al servidor de office365 por el Aliases creado(conjunto de IPs en las reglas del firewall), en mi caso solo realice ese cambio y ya funciono correctamente al igual imagino que creando una regla del puerto 53 de ese servidor hacía afuera también me hubiera funcionado.

Muchas gracias pro la ayuda lo del Aliases funciona muy bien.

bellera

@bcalvo:

estaba poniendo DNS que no tenían salida a Internet

¡Me alegro de que encontraras el fallo!

Los errores DNS son bastante habituales y pensamos en que es alguna regla, el proxy… pero no.

Muchas gracias por la ayuda lo del Aliases funciona muy bien.

¡De nada!