Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Office365 + Pfsense

    Scheduled Pinned Locked Moved Español
    12 Posts 2 Posters 4.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bcalvo
      last edited by

      Buenas

      Explico mi inconveniente, actualmente en la empresa que trabajo estamos en proceso de migración a Office 365 sin embargo tengo el siguiente inconveniente:

      Tengo dos pfsenses:

      PfSenseA = Pfsense de Ruteo
      PfSenseB = Pfsense de Internet. (Package squid).

      PfsenseA: Interfaz LAN = 10.0.1.10
      PfSenseB: Interfaz LAN = 10.0.1.12

      Es importante mencionar que el Gateway de las maquinas(10.0.1.10) "No es el mismo" que se usa para la salida a Internet ya que para la salida de Internet utilizo el pfsenseB(10.0.1.12) en las maquinas.

      El inconveniente es el siguiente y quisiera saber si alguno a pasado por éste mismo inconveniente, la única forma en que funciona el correo es cuando tengo el proxy configurado en la maquina desde el Panel de control/Opciones de Internet/Configuración LAN etc etc  a menos de que salga a Internet por un Internet libre sin restricciones ni uso de proxy o poniendo el proxy en la maquina, pero lo que quiero es que pueda funcionar el correo sin necesidad de usar proxy desde la LAN del pfsenseA.

      La solución que he pensado es la siguiente: Realice un nslookup outlook.office365.com y me dio el siguiente resultado:

      Name:    outlook-namsouth.office365.com
      Address: 132.245.3.210
      Name:    outlook-namsouth.office365.com
      Address: 132.245.81.178
      Name:    outlook-namsouth.office365.com
      Address: 132.245.61.50
      Name:    outlook-namsouth.office365.com
      Address: 132.245.40.2
      Name:    outlook-namsouth.office365.com
      Address: 132.245.38.82
      Name:    outlook-namsouth.office365.com
      Address: 132.245.68.210
      Name:    outlook-namsouth.office365.com
      Address: 132.245.9.226
      Name:    outlook-namsouth.office365.com
      Address: 132.245.15.226
      Name:    outlook-namsouth.office365.com
      Address: 132.245.16.242
      Name:    outlook-namsouth.office365.com
      Address: 132.245.8.2

      Cada una de esas direcciones publicas las libere en el pfsense de Internet mediante reglas en el firewall en el pfsenseB de la interfaz LAN.

      Ejemplo:

      Proto          Source    Port    Destination        Port    Gateway    Queque    Shedule    Description
      TCP/UDP    Lan net    *        132.245.9.226    *        *                  none                          Office365

      Luego en el PfSenseA hice Rutas Estáticas de la siguiente manera para cada una de esas IPs publicas:

      Network                  Gateways    Interface      Descripction
      132.245.9.226/31    10.0.1.12    LAN            Ruta Office365

      Sin embargo me faltan muchas IPs para que pueda sincronizar correctamente el outlook de office365 pero se me esta haciendo muy complicado ingresar tantas IPs en el firewall por lo que mi consulta es si existe alguna otra forma de realizar esto o si algún o alguna a pasado por dicha experiencia para que me pueda aconsejar del tema?.

      Saludos y muchas gracias por el respaldo que me puedan brindar.

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        Crea un alias de hosts, métele outlook-namsouth.office365.com y emplea el alias de hosts en la regla.

        Esa es una posible solución para lo que deseas hacer.

        1 Reply Last reply Reply Quote 0
        • B
          bcalvo
          last edited by

          Gracias muy amable por la acostumbrada ayuda Josep.

          Sin embargo me podría explicar un poco más detallado como realizo esa configuración si me hace el favor?.

          Creo que lo del "Alias" se realiza en la siguiente ruta de pestañas:  Firewall / Aliases  pero no estoy seguro ya que  las opciones que salen disponibles son: IP/ Port/ URLs/ ALL cuando se refiere a Host es a IPs , tampoco entendí muy bien lo de  "outlook-namsouth.office365.com"con eso te refieres a una descripción del Alias?.

          Saludos y de nuevo las gracias por la acostumbrada ayuda.

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            Ver imágenes.

            1_alias_por_nombre_de_host.png
            1_alias_por_nombre_de_host.png_thumb
            2_regla_con_alias_y_puerta.png
            2_regla_con_alias_y_puerta.png_thumb
            3_alias_genera_ips_automaticamente_en_tabla.png
            3_alias_genera_ips_automaticamente_en_tabla.png_thumb

            1 Reply Last reply Reply Quote 0
            • B
              bcalvo
              last edited by

              Excelente Josep  muchas gracias excelente idea. Perdón por la molestia entiendo lo de el Alias sin embargo ahora me surge la duda de como realizo la ruta estática hacía el Alias: Office365 que creamos ya que como te había comentado nosotros contamos con dos pfsense:

              PfsenseA= Pfsense de Ruteo.(10.0.1.10)
              PfsenseB= Pfsense de Internet.(10.0.1.12) con el package squid

              En el PfSenseA hice Rutas Estáticas de la siguiente manera para cada una de esas IPs publicas del outlook-namsouth.office365.com:

              Network                  Gateways    Interface      Descripction
              132.245.9.226/31    10.0.1.12    LAN            Ruta Office365

              Para que las maquinas de la LAN no tengan que tener configurado el proxy para poder enviar y recibir correos es decir que tengan el check de: "No usar servidor proxy".

              Saludos y muchas gracias por la ayuda.

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                ¡Buf, no me fijé con lo de la ruta!

                No todas las funciones de Office365 van vía web, https://technet.microsoft.com/en-us/library/hh852522.aspx

                Prueba a poner 132.245.0.0/16

                http://bgp.he.net/ip/132.245.9.226

                De todas maneras no me termina de gustar la idea porque si te cambian el rango o hay algo fuera de él, problemas. Más valdría una solución por nombre.

                Y eso se logra mediante un archivo proxy.pac de configuración de proxy que informe qué destinos deben ser directos.

                Ejemplo para DropBox + AmazonWS (DropBox usa AmazonWS):

                function FindProxyForURL(url, host) {
                   if (shExpMatch(url,"*.dropbox.com/*")) {return "DIRECT";}
                   if (shExpMatch(url,"*.amazonaws.com/*")) {return "DIRECT";}
                   return "PROXY 192.168.0.1:3128";
                }
                
                1 Reply Last reply Reply Quote 0
                • B
                  bcalvo
                  last edited by

                  Muchas gracias Josep

                  1 Reply Last reply Reply Quote 0
                  • B
                    bcalvo
                    last edited by

                    Gracias Josep por tu ayuda, te comento que lo del Aliases si funciona, sin embargo tengo el siguiente inconveniente aún no he podido resolver que las maquinas no tengan que utilizar el servidor proxy para poder enviar y recibir correos, es decir quiero que el correo les funcione sin necesidad de que tengan configurado el proxy en Panel de Control/Opciones de Internet/Conexiones/Configuración de LAN/.

                    Hice un laboratorio en donde tengo un Pfsense VK-T40E (http://store.pfsense.org/VK-T40E/)  y una maquina conectada directamente al puerto LAN, configure el squid en el pfsense y toda la configuración normal, aún así el correo con office365 en outlook 2010 no funciona a menos de que tenga el check de usar servidor proxy en la maquina. NOTA: En éste laboratorio "El Gateway de la maquina" es el mismo que se usa como proxy.

                    Muchas gracias por la ayuda que me pueda brindar al respecto, saludos.

                    1 Reply Last reply Reply Quote 0
                    • belleraB
                      bellera
                      last edited by

                      Pues si indicando el proxy el tráfico pasa y sin él no, falta regla que permita esos destinos.

                      1 Reply Last reply Reply Quote 0
                      • B
                        bcalvo
                        last edited by

                        Comprendo Josep

                        Sin embargo ya había ingresado la regla creada con el Aliases que me explico anteriormente, adjunto imagen de las reglas del firewall para la interfaz LAN, también ingrese los dominios siguientes en el whitelist:

                        outlook.com
                        login.microsoftonline.com
                        mail.office365.com
                        outlook.office365.com

                        Adicional te explico que la forma en que sé que el Aliases funciona, es debido a que si realizo un ping a unas de las IPs del grupo creado en el Aliases si obtengo respuesta.

                        Pero por alguna razón que aún desconozco no funciona el correo sin tener el proxy configurado en la maquina. .

                        office365.jpg
                        office365.jpg_thumb

                        1 Reply Last reply Reply Quote 0
                        • B
                          bcalvo
                          last edited by

                          Buenas Josep

                          Solo para comentar en el post realizado que el error que estaba teniendo tanto en el Laboratorio como en la configuración real se debía a lo siguiente:

                          El Outlook busca siempre la dirección: https://outlook.office365.com  para ésto creamos el Aliases: Office365 mencionado en la conversación anterior sin embargo en el escenario que mencione anteriormente:
                          PfsenseRed y PfsenseInternet, En donde el gateway de las maquinas no es el mismo por donde se sale a internet (proxy) en la configuración de DHCP Server del PfsenseRed estaba poniendo DNS que no tenían salida a Internet o en caso de no tener un servidor DNS que me resuelva los Aliases creados nunca iban a poder sincronizar al servidor de office365 por el Aliases creado(conjunto de IPs en las reglas del firewall), en mi caso solo realice ese cambio y ya funciono correctamente al igual imagino que creando una regla del puerto 53 de ese servidor hacía afuera también me hubiera funcionado.

                          Muchas gracias pro la ayuda lo del Aliases funciona muy bien.

                          1 Reply Last reply Reply Quote 0
                          • belleraB
                            bellera
                            last edited by

                            @bcalvo:

                            estaba poniendo DNS que no tenían salida a Internet

                            ¡Me alegro de que encontraras el fallo!

                            Los errores DNS son bastante habituales y pensamos en que es alguna regla, el proxy… pero no.

                            Muchas gracias por la ayuda lo del Aliases funciona muy bien.

                            ¡De nada!

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.