sp0pva
07.12.2020
view5313
view15
0
Goto Top

Revers Proxy + Exchange für Mittelständiches Unternehmen

FrageSicherheit
Guten Tag!

(Hoffentlich bin ich im richtigen Unterforum)

ich möchte für unsere Firma einen Reverse Proxy implementieren, da der Exchange ungeschützt erreichbar ist und den Port 443 für weitere Dienste „blockiert“. Später soll noch eine DMZ hinzukommen. (Ja die Reihenfolge ist etwas doof)

Ich habe mich zwar etwas zu dem Thema eingelesen aber so richtig weiß ich immer noch nicht mit welchem Reverse Proxy der Exchange (2016) am besten kann.

Traefik hab ich zu Hause laufen der ist mir bekannt soll aber garnicht gut mit dem Exchange laufen.
Mir wurde schon Caddy wegen den automatischen Zertifikaten vorgeschlagen. Dieser soll aber nicht mit dem Ms NTML zurecht kommen. Dann dachte ich an Ngnix und bin auch noch auf den MS IIS mit dem ARR (Application Request Routing) Modul gestoßen.

Wichtig ist mir in erster Linie nur das der (selbst gehostete) Exchange ohne Probleme läuft und da wir kein tolles Wildcard Zertifikat haben sich die Let’s Encrypt Zertifikate automatisch mit erneuern und dem Exchange mitgeteilt werden?!

Welchen Reverse Proxy könnt Ihr mir nun empfehlen? Gibt es da einen „Standard“?

Danke für Eure Hilfe!
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 629168

Url: https://administrator.de/forum/revers-proxy-exchange-fuer-mittelstaendiches-unternehmen-629168.html

Ausgedruckt am: 11.04.2025 um 09:04 Uhr

15 Kommentare
Neuester Kommentar
Goto Top
Pjordorf
Pjordorf 07.12.2020 um 01:18:00 Uhr
Goto Top
Hallo,

Zitat von @sp0pva:
Ich habe mich zwar etwas zu dem Thema eingelesen aber so richtig weiß ich immer noch nicht mit welchem Reverse Proxy der Exchange (2016) am besten kann.
MS sagt mit ihren...
https://techcommunity.microsoft.com/t5/exchange-team-blog/part-1-reverse ...
Exchange Reverse Proxy
https://campus.barracuda.com/product/cloudgenfirewall/doc/79463100/examp ...
https://community.sophos.com/utm-firewall/f/german-forum/63364/webserver ...
https://www.hoelzle.net/nginx-als-reverse-proxy-fuer-exchange-2010201320 ...
https://www.msxfaq.de/internet/exchange_webseite_absichern.htm

Gruß,
Peter
StefanKittel
StefanKittel 07.12.2020 um 07:05:40 Uhr
Goto Top
Hallo,

da selbst echte WC-Zertifikate nur noch wenige Euro pro Monat kosten würde ich immer diese verwenden.
LE ist prima, aber halt auch mehr oder weniger anfällig für Probleme beim Update.

Stefan
certifiedit.net
certifiedit.net 07.12.2020 aktualisiert um 11:44:27 Uhr
Goto Top
Moin

Kannst bei sophos anfangen und damit aufhören. Für Rückfragen usw stehen wir gerne zur Seite.

VG

Christian
NordicMike
NordicMike 07.12.2020 um 10:30:38 Uhr
Goto Top
Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over), habe ich auch mal pfSense ausprobiert. Läuft auch... Aber, hallo, DAG für privat? :c)

Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
tech-flare
tech-flare 07.12.2020 um 12:10:26 Uhr
Goto Top
Du kannst auch *Sense in Verbindung mit HAproxy dafür verwenden. Alles opensource. Ist halt nicht so schön KlickiBunti ;)
tech-flare
tech-flare 07.12.2020 um 12:12:02 Uhr
Goto Top
Zitat von @NordicMike:

Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over), habe ich auch mal pfSense ausprobiert. Läuft auch... Aber, hallo, DAG für privat? :c)

Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Aber nur auf der SG Serie. Auf der XG leider noch nicht....obwohl ja Sophos damit wirbt, dass alle Funktionen der SG unterstützt werden....und das seit mehr als 3 Jahren
certifiedit.net
certifiedit.net 07.12.2020 um 12:23:23 Uhr
Goto Top
Zitat von @tech-flare:

Zitat von @NordicMike:

Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over), habe ich auch mal pfSense ausprobiert. Läuft auch... Aber, hallo, DAG für privat? :c)

Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Aber nur auf der SG Serie. Auf der XG leider noch nicht....obwohl ja Sophos damit wirbt, dass alle Funktionen der SG unterstützt werden....und das seit mehr als 3 Jahren

Seien wir ehrlich, die XG ist ein politikum, weil Sie vom Karlsruher Kern wegwollen. Aber offensichtlich ist es einfach nur sch...
tech-flare
tech-flare 07.12.2020 aktualisiert um 12:27:26 Uhr
Goto Top
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Aber nur auf der SG Serie. Auf der XG leider noch nicht....obwohl ja Sophos damit wirbt, dass alle Funktionen der SG unterstützt werden....und das seit mehr als 3 Jahren

Seien wir ehrlich, die XG ist ein politikum, weil Sie vom Karlsruher Kern wegwollen. Aber offensichtlich ist es einfach nur sch...
Da gebe ich dir vollkommen Recht. Dennoch denke ich, dass die SG irgendwann stirbt...leider face-sad schade, dass man so ein gutes Produkt vernichtet
certifiedit.net
certifiedit.net 07.12.2020 um 12:30:31 Uhr
Goto Top
Zitat von @tech-flare:

Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Aber nur auf der SG Serie. Auf der XG leider noch nicht....obwohl ja Sophos damit wirbt, dass alle Funktionen der SG unterstützt werden....und das seit mehr als 3 Jahren

Seien wir ehrlich, die XG ist ein politikum, weil Sie vom Karlsruher Kern wegwollen. Aber offensichtlich ist es einfach nur sch...
Da gebe ich dir vollkommen Recht. Dennoch denke ich, dass die SG irgendwann stirbt...leider face-sad schade, dass man so ein gutes Produkt vernichtet

Schauen wir mal, ich hab noch keine xg platziert und jede xg auf sg umgestellt, mit jew. zufriedeneren Kunden. Gut, IKEv2 ist nervig, div. andere Fehler auch, aber die bekommst du schneller in der SG hin als in der XG die Vorteile der SG...
Razer1
Razer1 07.12.2020 um 12:34:52 Uhr
Goto Top
Ich habe ein HaProxy für Exchange und weitere Dienste seit Jahren im Einsatz
beidermachtvongreyscull
beidermachtvongreyscull 07.12.2020 um 12:37:12 Uhr
Goto Top
Moin,

aus Erfahrung kann ich Dir sagen, dass ich sowohl im Unternehmen, als auch zu Hause eine Sophos Firewall einsetze.
Läuft einwandfrei und stellt den Schutz aus meiner Sicht sicher.

Grüße
bdmvg
ipzipzap
ipzipzap 07.12.2020 aktualisiert um 13:02:31 Uhr
Goto Top
Zitat von @NordicMike:

Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over),

Das stimmt doch gar nicht. Wenn Du in der WAF mehrere Server unter "Real Servers" einträgst, macht die SG sehr wohl Load Balancing. Steht auch so im Manual / in der Hilfe.

EDIT: Das Sophos kein "echtes" Load Balancing macht, sondern die Zugriffe nur abwechselnd zwischen den Servern verteilt, sollte klar sein.

cu,
ipzipzap
NordicMike
NordicMike 07.12.2020 um 13:49:20 Uhr
Goto Top
Dieses abwechselndes Verteilen sorgt dafür, dass Outlook dann öfters nach dem Passwort fragt. Der Fehler ist im Netz bekannt und es gab zumindest zu dem Zeitpunkt, als ich es gesucht habe, keine Lösung, ausser, es auf Fail Over zu stellen.
ipzipzap
ipzipzap 07.12.2020 aktualisiert um 14:16:55 Uhr
Goto Top
Zitat von @NordicMike:

Dieses abwechselndes Verteilen sorgt dafür, dass Outlook dann öfters nach dem Passwort fragt. Der Fehler ist im Netz bekannt und es gab zumindest zu dem Zeitpunkt, als ich es gesucht habe, keine Lösung, ausser, es auf Fail Over zu stellen.

Stimmt, ist bekannt, aber kein Fehler, sondern logisch:

"If you have multiple real webservers, the load is distributed between all webservers. This means, you authenticate at webserverA and the next request goes to webserverB and webserverB asks for your credentials again."

Lösung:

"To prevent this, there is the option 'Enable sticky session cookie' on the advanced tab in the site path route edit form.
If you enable this option "each (client) session will be bound to one real webserver. If enabled, a cookie is passed to the user's browser, which provokes the UTM to route all requests from this browser to the same real webserver. If the server is not available, the cookie will be updated, and the session will switch to another webserver." (cited from the Sophos UTM Online Help). When sticky session cookie is enabled the load is still balanced between the webservers. But each client sticks to one webserver."

Quelle: https://community.sophos.com/utm-firewall/f/web-server-security/86547/wa ...

Steht auch wie dort erwähnt in der Online-Hilfe der UTM.

cu,
ipzipzap
heart1
NordicMike
NordicMike 07.12.2020 um 14:19:50 Uhr
Goto Top
Sehr geil, danke dafür....
FrageSicherheit
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 60 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 40 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LichtgeschwindigkeitMysticFoxDE - 26 KommentareFlashLightzKann PC nicht der Domäne hinzufügenFlashLightz - 18 KommentareDerWoWussteThunderbird per IMAP an Exchange - Lesebestätigung verhindernDerWoWusste - 17 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 16 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 16 KommentareMysticFoxDEWINDOWS 11 24H2 - CU25-04 - TAGEBUCH - TAG 1MysticFoxDE - 15 KommentareitstrueSync Windows Folder zu Webdavitstrue - 15 KommentareBitsortiererInformatik Studium Ja oder Nein?Bitsortierer - 15 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 14 KommentareAbstrackterSystemimperatorFragen zum bevorstehenden FachgesprächAbstrackterSystemimperator - 13 Kommentare