3
Outlook Web Access mit Apache Reverse Proxy
Hallo zusammen,
ich hänge jetzt schon seit längerer Zeit am Problem, dass ich ein Apache FrontEnd zu OWA bauen will. Es gibt einige Dokumentation im Netz, auch auf dieser Seite, leider hilft mir keine wirklich weiter.
Folgende Umgebung:
1.) Exchange Server im LAN mit OWA auf IIS per SSL (Eingabe von https://10.x.x.x/exchange ergibt im Browser https://10.x.x.x/exchweb/bin/auth/owalogon.asp?url=https://10.x.x.x/exch ..)
2.) Xampp auf Windows in der DMZ
Ich will von extern auf den Apache zugreifen und dieser soll mir dann ins LAN zugreifen aufs OWA. Da ich auf dem Apachen schon einen Host mit 443 habe, komme ich schon von extern über Port 9443 herein. Ich habe von extern den Port 9443 in die DMZ freigeschalten, selbstsignierte Zertifikate erstellt und den Zugriff vom Apache-Server in der DMZ auf den Server im LAN über 443 auf gemacht.
Wenn ich nun im Client eingebe: https:\\webmail.meineDomain.com:9443 dann kommt die "Unsicheres Zertifikat Meldung", die ich bestätige und dann kommt "Seite nicht gefunden", d.h. dass die Seite am Apache gefunden wird, aber die Weiterleitung nicht.
Hier ist meine Konfiguration (ich habe alles in der httpd-ssl.conf):
Listen 443
Listen 9443
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule headers_module modules/mod_headers.so
LoadModule rewrite_module modules/mod_rewrite.so
<VirtualHost _default_:9443>
ServerName webmail.meineDomain.com
ServerAdmin support@meineDomain.com
Options -Indexes FollowSymLinks Includes ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
AddDefaultCharset UTF-8
ProxyRequests Off
ServerSignature Off
HostnameLookups Off
UseCanonicalName Off
ProxyPreserveHost On
SSLProxyEngine On
ProxyVia On
SSLProtocol All
SSLEngine On
RequestHeader set Front-End-Https "On"
RequestHeader unset Accept-Encoding
ProxyPass / https://10.x.x.x/exchange
ProxyPassReverse / https://10.x.x.x/exchange
ProxyPass /exchweb https://10.x.x.x/exchweb/
ProxyPassReverse /exchweb https://10.x.x.x/exchweb/
ProxyPass /public https://10.x.x.x/public/
ProxyPassReverse /public https://10.x.x.x/public/
### WAP & ActiveSync ###
ProxyPass /oma https://10.x.x.x/oma/
ProxyPassReverse /oma https://10.x.x.x/oma/
ProxyPass /Microsoft-Server-ActiveSync https://10.x.x.x/Microsoft-Server-ActiveSync/
ProxyPassReverse /Microsoft-Server-ActiveSync https://10.x.x.x/Microsoft-Server-ActiveSync/
###
ErrorLog logs/owa_ssl_error_log
TransferLog logs/owa_ssl_access_log
SSLCertificateFile conf/ssl.crt/owa_server.crt
SSLCertificateKeyFile conf/ssl.key/owa_server.key
#CustomLog logs/owa_ssl_request_log \“%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”
### Extras ###
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
</VirtualHost>
Der Apache Server in der DMZ hat keinen DNS Server eingetragen und ich habe in der lokalen HOSTS-Datei den Eintrag:
10.x.x.x webmail.meineDomain.com
folgendes wandelt der Apache um:
tippe ich https://webmail.meineDomain.com.9443 ein, wandelt er es in https://webmail.meinDomain.com/exchweb/bin/auth/owalogon.asp?url=https:/ ..., es kommt aber, wie gesagt: Seite nicht gefunden
dann sehe ich im Logfile auf der Firewall, dass der Client von außen direkt auf den Exchange Server über 443 zugreifen will und das ist natürlich gesperrt. Sollte eigentlich nicht im Logfile der FW drin stehen, dass der Apache auf den Exchange zugegriffen hat?
Ich habe zum Testen auch ein Proxy Pass auf http://216.239.59.104 (google.at) eingerichtet und die DMZ so eingerichtet, dass sie http Zugriff aufs Internet bekommt. Laut meiner Theorie sollte dann am Client http://google.at erscheinen.
Ergebnis des Versuches: Dem Client wurde in der Adresse ein / mail angefügt (https://webmail.meineDomain.com:9443/mail) und der Browser brachte den Fehler: Seite nicht gefunden (eh klar, weil http://216.239.59.104/mail gibts ja nicht)
Woher kommt dieses /mail, oder wo kann ich ev. nachsehen, woher das /mail kommt?
Danke vielmals,
Tom
ich hänge jetzt schon seit längerer Zeit am Problem, dass ich ein Apache FrontEnd zu OWA bauen will. Es gibt einige Dokumentation im Netz, auch auf dieser Seite, leider hilft mir keine wirklich weiter.
Folgende Umgebung:
1.) Exchange Server im LAN mit OWA auf IIS per SSL (Eingabe von https://10.x.x.x/exchange ergibt im Browser https://10.x.x.x/exchweb/bin/auth/owalogon.asp?url=https://10.x.x.x/exch ..)
2.) Xampp auf Windows in der DMZ
Ich will von extern auf den Apache zugreifen und dieser soll mir dann ins LAN zugreifen aufs OWA. Da ich auf dem Apachen schon einen Host mit 443 habe, komme ich schon von extern über Port 9443 herein. Ich habe von extern den Port 9443 in die DMZ freigeschalten, selbstsignierte Zertifikate erstellt und den Zugriff vom Apache-Server in der DMZ auf den Server im LAN über 443 auf gemacht.
Wenn ich nun im Client eingebe: https:\\webmail.meineDomain.com:9443 dann kommt die "Unsicheres Zertifikat Meldung", die ich bestätige und dann kommt "Seite nicht gefunden", d.h. dass die Seite am Apache gefunden wird, aber die Weiterleitung nicht.
Hier ist meine Konfiguration (ich habe alles in der httpd-ssl.conf):
Listen 443
Listen 9443
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule headers_module modules/mod_headers.so
LoadModule rewrite_module modules/mod_rewrite.so
<VirtualHost _default_:9443>
- General setup for the virtual host
ServerName webmail.meineDomain.com
ServerAdmin support@meineDomain.com
- OWA
Options -Indexes FollowSymLinks Includes ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
AddDefaultCharset UTF-8
ProxyRequests Off
ServerSignature Off
HostnameLookups Off
UseCanonicalName Off
ProxyPreserveHost On
SSLProxyEngine On
ProxyVia On
SSLProtocol All
SSLEngine On
RequestHeader set Front-End-Https "On"
RequestHeader unset Accept-Encoding
ProxyPass / https://10.x.x.x/exchange
ProxyPassReverse / https://10.x.x.x/exchange
ProxyPass /exchweb https://10.x.x.x/exchweb/
ProxyPassReverse /exchweb https://10.x.x.x/exchweb/
ProxyPass /public https://10.x.x.x/public/
ProxyPassReverse /public https://10.x.x.x/public/
### WAP & ActiveSync ###
ProxyPass /oma https://10.x.x.x/oma/
ProxyPassReverse /oma https://10.x.x.x/oma/
ProxyPass /Microsoft-Server-ActiveSync https://10.x.x.x/Microsoft-Server-ActiveSync/
ProxyPassReverse /Microsoft-Server-ActiveSync https://10.x.x.x/Microsoft-Server-ActiveSync/
###
ErrorLog logs/owa_ssl_error_log
TransferLog logs/owa_ssl_access_log
SSLCertificateFile conf/ssl.crt/owa_server.crt
SSLCertificateKeyFile conf/ssl.key/owa_server.key
#CustomLog logs/owa_ssl_request_log \“%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”
### Extras ###
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
</VirtualHost>
Der Apache Server in der DMZ hat keinen DNS Server eingetragen und ich habe in der lokalen HOSTS-Datei den Eintrag:
10.x.x.x webmail.meineDomain.com
folgendes wandelt der Apache um:
tippe ich https://webmail.meineDomain.com.9443 ein, wandelt er es in https://webmail.meinDomain.com/exchweb/bin/auth/owalogon.asp?url=https:/ ..., es kommt aber, wie gesagt: Seite nicht gefunden
dann sehe ich im Logfile auf der Firewall, dass der Client von außen direkt auf den Exchange Server über 443 zugreifen will und das ist natürlich gesperrt. Sollte eigentlich nicht im Logfile der FW drin stehen, dass der Apache auf den Exchange zugegriffen hat?
Ich habe zum Testen auch ein Proxy Pass auf http://216.239.59.104 (google.at) eingerichtet und die DMZ so eingerichtet, dass sie http Zugriff aufs Internet bekommt. Laut meiner Theorie sollte dann am Client http://google.at erscheinen.
Ergebnis des Versuches: Dem Client wurde in der Adresse ein / mail angefügt (https://webmail.meineDomain.com:9443/mail) und der Browser brachte den Fehler: Seite nicht gefunden (eh klar, weil http://216.239.59.104/mail gibts ja nicht)
Woher kommt dieses /mail, oder wo kann ich ev. nachsehen, woher das /mail kommt?
Danke vielmals,
Tom
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 80827
Url: https://administrator.de/contentid/80827
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
3 Kommentare
Neuester Kommentar
OK, das mit dem /mail hat sich erledigt. Das hat google.at (216.239.59.104) angehängt.
Wenn ich als IP 207.68.172.246 (MSN.com) eingebe funktioniert das ganze wunderbar:
ich gebe am Client ein: https://webmail.meineDomain.com:9443 und plötzlich steht im Browser http://msn.com
Allerdings sehe ich dann auf der Firewall, dass der Client direkt auf msn.com zugreift. Ich glaube, dass ich da etwas vom Verständnis nicht ganz gerafft habe:
Ich habe einen Exchange Server im LAN, dort ist das Outlook Web Access drauf. Bis dato habe ich es so realisiert, dass ich auf meiner Firewall (Watchguard) alle Zugriffe, die auf Port 443 über meine Public IP gekommen sind auf den Exchange Server weitergeleitet habe. Das will ich aber so nicht mehr haben, da ja so jeder direkt in mein LAN kommt. Deshalb habe ich dies jetzt gesperrt.
Ich habe dann eine DMZ eingerichtet, in der der Apache steht. Ich will nun, dass alle Zugriffe auf 9443 meiner Public IP auf diesen Apache gehen und mir dieser dann über 443 ins LAN geht. Ich habe vom Apache in der DMZ zum Exchange im LAN Port 443 geöffnet.
Auf meiner Firewall habe ich ja gesehn, dass der Client direkt auf msn.com zugegriffen hat, d.h. der Client braucht auch auf der Firewall die Rechte dazu. Ich dachte, dass da nur der Reverse Proxy (Apache) die Rechte dazu braucht und der Client theoretisch auf der Firewall nicht auf msn.com Zugriff haben muss.
Was bringt mir der Reverse Proxy, wenn er mir nur die Adresszeile umschreibt am Client und dann der Client erst Recht wieder den Zugriff haben muss?
Oder habe ich da etwas falsch verstanden bzw. falsch konfiguriert? Und was muss in meiner lokalen Windows hosts Datei stehen? Muss man im Apache was konfigurieren, damit er die hosts Datei verwendet, oder macht das Windows automatisch?
Danke,
Thomas
Wenn ich als IP 207.68.172.246 (MSN.com) eingebe funktioniert das ganze wunderbar:
ich gebe am Client ein: https://webmail.meineDomain.com:9443 und plötzlich steht im Browser http://msn.com
Allerdings sehe ich dann auf der Firewall, dass der Client direkt auf msn.com zugreift. Ich glaube, dass ich da etwas vom Verständnis nicht ganz gerafft habe:
Ich habe einen Exchange Server im LAN, dort ist das Outlook Web Access drauf. Bis dato habe ich es so realisiert, dass ich auf meiner Firewall (Watchguard) alle Zugriffe, die auf Port 443 über meine Public IP gekommen sind auf den Exchange Server weitergeleitet habe. Das will ich aber so nicht mehr haben, da ja so jeder direkt in mein LAN kommt. Deshalb habe ich dies jetzt gesperrt.
Ich habe dann eine DMZ eingerichtet, in der der Apache steht. Ich will nun, dass alle Zugriffe auf 9443 meiner Public IP auf diesen Apache gehen und mir dieser dann über 443 ins LAN geht. Ich habe vom Apache in der DMZ zum Exchange im LAN Port 443 geöffnet.
Auf meiner Firewall habe ich ja gesehn, dass der Client direkt auf msn.com zugegriffen hat, d.h. der Client braucht auch auf der Firewall die Rechte dazu. Ich dachte, dass da nur der Reverse Proxy (Apache) die Rechte dazu braucht und der Client theoretisch auf der Firewall nicht auf msn.com Zugriff haben muss.
Was bringt mir der Reverse Proxy, wenn er mir nur die Adresszeile umschreibt am Client und dann der Client erst Recht wieder den Zugriff haben muss?
Oder habe ich da etwas falsch verstanden bzw. falsch konfiguriert? Und was muss in meiner lokalen Windows hosts Datei stehen? Muss man im Apache was konfigurieren, damit er die hosts Datei verwendet, oder macht das Windows automatisch?
Danke,
Thomas
Problem gelöst ? Wollte es nächste Woche auch einrichten (auch Apache auf windows).....
Gruß KrisK
Gruß KrisK
Nein, leider nicht, habe es vorerst auf die lange Bank geschoben!
Gruß.
Falls du Erfolg hast, bitte mir mitteilen - danke.
Gruß.
Falls du Erfolg hast, bitte mir mitteilen - danke.
