15
Revers Proxy + Exchange für Mittelständiches Unternehmen
Guten Tag!
(Hoffentlich bin ich im richtigen Unterforum)
ich möchte für unsere Firma einen Reverse Proxy implementieren, da der Exchange ungeschützt erreichbar ist und den Port 443 für weitere Dienste „blockiert“. Später soll noch eine DMZ hinzukommen. (Ja die Reihenfolge ist etwas doof)
Ich habe mich zwar etwas zu dem Thema eingelesen aber so richtig weiß ich immer noch nicht mit welchem Reverse Proxy der Exchange (2016) am besten kann.
Traefik hab ich zu Hause laufen der ist mir bekannt soll aber garnicht gut mit dem Exchange laufen.
Mir wurde schon Caddy wegen den automatischen Zertifikaten vorgeschlagen. Dieser soll aber nicht mit dem Ms NTML zurecht kommen. Dann dachte ich an Ngnix und bin auch noch auf den MS IIS mit dem ARR (Application Request Routing) Modul gestoßen.
Wichtig ist mir in erster Linie nur das der (selbst gehostete) Exchange ohne Probleme läuft und da wir kein tolles Wildcard Zertifikat haben sich die Let’s Encrypt Zertifikate automatisch mit erneuern und dem Exchange mitgeteilt werden?!
Welchen Reverse Proxy könnt Ihr mir nun empfehlen? Gibt es da einen „Standard“?
Danke für Eure Hilfe!
(Hoffentlich bin ich im richtigen Unterforum)
ich möchte für unsere Firma einen Reverse Proxy implementieren, da der Exchange ungeschützt erreichbar ist und den Port 443 für weitere Dienste „blockiert“. Später soll noch eine DMZ hinzukommen. (Ja die Reihenfolge ist etwas doof)
Ich habe mich zwar etwas zu dem Thema eingelesen aber so richtig weiß ich immer noch nicht mit welchem Reverse Proxy der Exchange (2016) am besten kann.
Traefik hab ich zu Hause laufen der ist mir bekannt soll aber garnicht gut mit dem Exchange laufen.
Mir wurde schon Caddy wegen den automatischen Zertifikaten vorgeschlagen. Dieser soll aber nicht mit dem Ms NTML zurecht kommen. Dann dachte ich an Ngnix und bin auch noch auf den MS IIS mit dem ARR (Application Request Routing) Modul gestoßen.
Wichtig ist mir in erster Linie nur das der (selbst gehostete) Exchange ohne Probleme läuft und da wir kein tolles Wildcard Zertifikat haben sich die Let’s Encrypt Zertifikate automatisch mit erneuern und dem Exchange mitgeteilt werden?!
Welchen Reverse Proxy könnt Ihr mir nun empfehlen? Gibt es da einen „Standard“?
Danke für Eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 629168
Url: https://administrator.de/contentid/629168
Printed on: April 19, 2024 at 08:04 o'clock
15 Comments
Latest comment
Hallo,
https://techcommunity.microsoft.com/t5/exchange-team-blog/part-1-reverse ...
Exchange Reverse Proxy
https://campus.barracuda.com/product/cloudgenfirewall/doc/79463100/examp ...
https://community.sophos.com/utm-firewall/f/german-forum/63364/webserver ...
https://www.hoelzle.net/nginx-als-reverse-proxy-fuer-exchange-2010201320 ...
https://www.msxfaq.de/internet/exchange_webseite_absichern.htm
Gruß,
Peter
Zitat von @sp0pva:
Ich habe mich zwar etwas zu dem Thema eingelesen aber so richtig weiß ich immer noch nicht mit welchem Reverse Proxy der Exchange (2016) am besten kann.
MS sagt mit ihren...Ich habe mich zwar etwas zu dem Thema eingelesen aber so richtig weiß ich immer noch nicht mit welchem Reverse Proxy der Exchange (2016) am besten kann.
https://techcommunity.microsoft.com/t5/exchange-team-blog/part-1-reverse ...
Exchange Reverse Proxy
https://campus.barracuda.com/product/cloudgenfirewall/doc/79463100/examp ...
https://community.sophos.com/utm-firewall/f/german-forum/63364/webserver ...
https://www.hoelzle.net/nginx-als-reverse-proxy-fuer-exchange-2010201320 ...
https://www.msxfaq.de/internet/exchange_webseite_absichern.htm
Gruß,
Peter
Hallo,
da selbst echte WC-Zertifikate nur noch wenige Euro pro Monat kosten würde ich immer diese verwenden.
LE ist prima, aber halt auch mehr oder weniger anfällig für Probleme beim Update.
Stefan
da selbst echte WC-Zertifikate nur noch wenige Euro pro Monat kosten würde ich immer diese verwenden.
LE ist prima, aber halt auch mehr oder weniger anfällig für Probleme beim Update.
Stefan
Moin
Kannst bei sophos anfangen und damit aufhören. Für Rückfragen usw stehen wir gerne zur Seite.
VG
Christian
Kannst bei sophos anfangen und damit aufhören. Für Rückfragen usw stehen wir gerne zur Seite.
VG
Christian
Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over), habe ich auch mal pfSense ausprobiert. Läuft auch... Aber, hallo, DAG für privat? :c)
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Du kannst auch *Sense in Verbindung mit HAproxy dafür verwenden. Alles opensource. Ist halt nicht so schön KlickiBunti ;)
Zitat von @NordicMike:
Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over), habe ich auch mal pfSense ausprobiert. Läuft auch... Aber, hallo, DAG für privat? :c)
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Aber nur auf der SG Serie. Auf der XG leider noch nicht....obwohl ja Sophos damit wirbt, dass alle Funktionen der SG unterstützt werden....und das seit mehr als 3 JahrenIch selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over), habe ich auch mal pfSense ausprobiert. Läuft auch... Aber, hallo, DAG für privat? :c)
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Zitat von @tech-flare:
Zitat von @NordicMike:
Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over), habe ich auch mal pfSense ausprobiert. Läuft auch... Aber, hallo, DAG für privat? :c)
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Aber nur auf der SG Serie. Auf der XG leider noch nicht....obwohl ja Sophos damit wirbt, dass alle Funktionen der SG unterstützt werden....und das seit mehr als 3 JahrenIch selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over), habe ich auch mal pfSense ausprobiert. Läuft auch... Aber, hallo, DAG für privat? :c)
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Seien wir ehrlich, die XG ist ein politikum, weil Sie vom Karlsruher Kern wegwollen. Aber offensichtlich ist es einfach nur sch...
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Aber nur auf der SG Serie. Auf der XG leider noch nicht....obwohl ja Sophos damit wirbt, dass alle Funktionen der SG unterstützt werden....und das seit mehr als 3 JahrenSeien wir ehrlich, die XG ist ein politikum, weil Sie vom Karlsruher Kern wegwollen. Aber offensichtlich ist es einfach nur sch...
schade, dass man so ein gutes Produkt vernichtetZitat von @tech-flare:
Seien wir ehrlich, die XG ist ein politikum, weil Sie vom Karlsruher Kern wegwollen. Aber offensichtlich ist es einfach nur sch...
Da gebe ich dir vollkommen Recht. Dennoch denke ich, dass die SG irgendwann stirbt...leider schade, dass man so ein gutes Produkt vernichtet
Auf dem Sophos läuft LetsEncrypt. Es hat den den 4 Jahren kein einziges Zertifikat Update ausgelassen.
Aber nur auf der SG Serie. Auf der XG leider noch nicht....obwohl ja Sophos damit wirbt, dass alle Funktionen der SG unterstützt werden....und das seit mehr als 3 JahrenSeien wir ehrlich, die XG ist ein politikum, weil Sie vom Karlsruher Kern wegwollen. Aber offensichtlich ist es einfach nur sch...
schade, dass man so ein gutes Produkt vernichtetSchauen wir mal, ich hab noch keine xg platziert und jede xg auf sg umgestellt, mit jew. zufriedeneren Kunden. Gut, IKEv2 ist nervig, div. andere Fehler auch, aber die bekommst du schneller in der SG hin als in der XG die Vorteile der SG...
Ich habe ein HaProxy für Exchange und weitere Dienste seit Jahren im Einsatz
Moin,
aus Erfahrung kann ich Dir sagen, dass ich sowohl im Unternehmen, als auch zu Hause eine Sophos Firewall einsetze.
Läuft einwandfrei und stellt den Schutz aus meiner Sicht sicher.
Grüße
bdmvg
aus Erfahrung kann ich Dir sagen, dass ich sowohl im Unternehmen, als auch zu Hause eine Sophos Firewall einsetze.
Läuft einwandfrei und stellt den Schutz aus meiner Sicht sicher.
Grüße
bdmvg
Zitat von @NordicMike:
Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over),
Ich selbst verwende den Sophos (SG). Da dieser für die DAG kein Load Balancing unterstützt (nur Fail Over),
Das stimmt doch gar nicht. Wenn Du in der WAF mehrere Server unter "Real Servers" einträgst, macht die SG sehr wohl Load Balancing. Steht auch so im Manual / in der Hilfe.
EDIT: Das Sophos kein "echtes" Load Balancing macht, sondern die Zugriffe nur abwechselnd zwischen den Servern verteilt, sollte klar sein.
cu,
ipzipzap
Dieses abwechselndes Verteilen sorgt dafür, dass Outlook dann öfters nach dem Passwort fragt. Der Fehler ist im Netz bekannt und es gab zumindest zu dem Zeitpunkt, als ich es gesucht habe, keine Lösung, ausser, es auf Fail Over zu stellen.
Zitat von @NordicMike:
Dieses abwechselndes Verteilen sorgt dafür, dass Outlook dann öfters nach dem Passwort fragt. Der Fehler ist im Netz bekannt und es gab zumindest zu dem Zeitpunkt, als ich es gesucht habe, keine Lösung, ausser, es auf Fail Over zu stellen.
Dieses abwechselndes Verteilen sorgt dafür, dass Outlook dann öfters nach dem Passwort fragt. Der Fehler ist im Netz bekannt und es gab zumindest zu dem Zeitpunkt, als ich es gesucht habe, keine Lösung, ausser, es auf Fail Over zu stellen.
Stimmt, ist bekannt, aber kein Fehler, sondern logisch:
"If you have multiple real webservers, the load is distributed between all webservers. This means, you authenticate at webserverA and the next request goes to webserverB and webserverB asks for your credentials again."
Lösung:
"To prevent this, there is the option 'Enable sticky session cookie' on the advanced tab in the site path route edit form.
If you enable this option "each (client) session will be bound to one real webserver. If enabled, a cookie is passed to the user's browser, which provokes the UTM to route all requests from this browser to the same real webserver. If the server is not available, the cookie will be updated, and the session will switch to another webserver." (cited from the Sophos UTM Online Help). When sticky session cookie is enabled the load is still balanced between the webservers. But each client sticks to one webserver."
Quelle: https://community.sophos.com/utm-firewall/f/web-server-security/86547/wa ...
Steht auch wie dort erwähnt in der Online-Hilfe der UTM.
cu,
ipzipzap
1
Sehr geil, danke dafür....
