pasu69
Goto Top

Exchange 2019CU14 hinter Reverse Proxy

Moin,

ich habe eine Testumgebung mit einem DC und einem Exchange 2019 CU14, in der alles sauber funktioniert.
Ich würde nun gerne einen Reverse Proxy vor den Exchange setzen und hatte dabei an NPM gedacht.

Dazu habe ich auf meinem Proxmost Host eine Ubuntu CT eingerichtet mit Docker und den NGINX Proxy Manager installiert. Der funktioniert auch wunderbar mit OWA, aber nicht mit Outlook (Mapi). Nun habe ich in den letzten 2 Tagen viel gesucht und einiges an Infos gefunden. Scheinbar ist es dank Enhanced Protection nicht mehr möglich, einen Reverse Proxy (zumindest den NPM) zu nutzen - wenn ich das richtig verstehe?

Hier kommen also meine Fragen:
1. Hat jemand NPM oder Nginx mit Exchange 2019 am Laufen mit EP oder auch ohne EP?
2. Wenn die Antwort auf Frage 1 "Nein" lautet, welchen Reverse Proxy setzt ihr ein und was ist da jeweils zu beachten.

3. Würdet/Könntet ihr eure Config teilen (natürlich anonymisiert), um mir den richtigen Weg zu weisen?

Ich bedanke mich schonmal und freue mich auf Tipps.

Eine schöne Woche

pasu

Content-Key: 9874327978

Url: https://administrator.de/contentid/9874327978

Printed on: May 30, 2024 at 14:05 o'clock

Member: Dani
Dani Apr 15, 2024 updated at 15:16:13 (UTC)
Goto Top
Moin,
Ich würde nun gerne einen Reverse Proxy vor den Exchange setzen und hatte dabei an NPM gedacht.
ich bin mal so frei und stelle eine kritische Gegenfrage: Welche Angriffsvektoren möchtest du mit einem Reverse Proxy, in deinem Fall NPM abfedern bzw. vermeiden?


Gruß,
Dani
Member: pasu69
pasu69 Apr 15, 2024 at 10:58:34 (UTC)
Goto Top
Moin,

es ist, wie gesagt, eine Testumgebung und ich nutze diese gerade, um dazu zu lernen.
Ich nutze den NPM, um verschiedene Dienste wie Nextcloud und andere über eine IPv4 Adresse
erreichbar machen. Dazu nutze ich aktuell einen VPS mit einer Public IPv4.

Mich interessiert einfach, ob und wie ich den Exchange (und nicht nur OWA) über den NPM erreichbar
machen kann und habe dazu einige Hinweise gefunden (SSL Bridging, kein Offloading), finde aber zu dem
Thema kein Tutorial. Deswegen die Frage hier im Forum.

Danke und Gruß
pasu
Member: radiogugu
radiogugu Apr 15, 2024 at 11:59:52 (UTC)
Goto Top
Mahlzeit.

Ist denn gesichert, dass der Exchange und der NPM das selbe Zertifikat für die Verbindung untereinander nutzen?

Das wird nämlich durch die Enhanced Protection Aktivierung zwingend gefordert.

Gruß
Marc
Member: support-m
support-m Apr 15, 2024 at 12:03:13 (UTC)
Goto Top
Hi,
solange du auf deinem NGINX und dem Exchange IIS das gleiche Zertifikat nutzt, sollte das auch mit Outlook funktionieren. Frage ist nur, wie man das sinnvoll realisiert. Hier findest du ggfs. Ansatzpunkte:
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...

Wir haben uns bei unseren Kunden komplett von NGINX+Exchange verabschiedet und erlauben den Zugriff auf den Exchange nur noch per VPN. Und auf dem Exchange läuft dann https://certifytheweb.com/, das dem IIS regelmäßig ein LE Zertifikat besorgt.

Viel Erfolg
Member: Dani
Dani Apr 15, 2024 at 15:21:15 (UTC)
Goto Top
Moin,
es ist, wie gesagt, eine Testumgebung und ich nutze diese gerade, um dazu zu lernen. Ich nutze den NPM, um verschiedene Dienste wie Nextcloud und andere über eine IPv4 Adresse erreichbar machen. Dazu nutze ich aktuell einen VPS mit einer Public IPv4.
prima, wieder eine Testumgebung die am Internet ohne Schutz hängt. face-sad Und da wundern sich die Webhoster, weshalb wir inzwischen IP Subnetze oder gar ganze ASN blank sperren.

@support-m
Wir haben uns bei unseren Kunden komplett von NGINX+Exchange verabschiedet und erlauben den Zugriff auf den Exchange nur noch per VPN.
Bezieht sich vermutlich nur auf OA, AS, ECP und OWA. Exchange als MTA wird nach wie vor über ein SMTP Proxy E-Mails empfangen und senden können. face-wink
Member: pasu69
pasu69 Apr 15, 2024 at 16:20:46 (UTC)
Goto Top
Zitat von @Dani:
prima, wieder eine Testumgebung die am Internet ohne Schutz hängt. face-sad Und da wundern sich die Webhoster, weshalb wir inzwischen IP Subnetze oder gar ganze ASN blank sperren.

Wie kommst Du auf die Idee, dass der VPS schutzlos im Netz hängt? Das würde mich wirklich interessieren.
Der VPS läuft unter Ubuntu und natürlich ist er, soweit es für mich möglich ist, abgesichert - die einzig offenen Ports nach außen sind 80 und 443, die auf den NPM Container laufen, der Rest wird geblockt. SSH Zugriff geht nur über VPN mit 2FA, die Verbindung ins isolierte Testnetz im Lab wird per WG Tunnel hergestellt. NPM läuft in einem Docker Container und der ist zusätzlich mit der UFW Docker Erweiterung geschützt. Die ganze Instanz wird dann noch mit CrowdSec überwacht.

Aber das ist alles Off-Topic, ich werde mal testen, ob ich mit den Scripten, die Frank mal für eine HAproxy/Exchange Lösung veröffentlicht hat, ein Nginx Geschichte ans Laufen bekomme - aus reinem Interesse.

Schönen Abend noch
pasu