Verständnisproblem Reverse Proxy
Hallo zusammen,
erst mal: sorry für die Überlänge des Beitrags.
ich habe, glaube ich, ein Verständnisproblem des Reverse Proxys. Ich will einen Apache Reverse Proxy (XAMPP 1.5.4) für Outlook Web Access (Exchange 2003) einrichten. Der Exchange server steht im LAN, der Apache in der DMZ. Bis dato habe ich eine Regel gehabt, dass webmail.domain.com direkt auf den Exchange weitergeroutet wurde, sprich Port 443 wurde auf der Firewall aufgemacht. Das will ich aber nicht mehr so haben.
Ich will, dass webmail.domain.com:9443 (9443, weil 443 schon belegt ist) auf den Apache in der DMZ geht und dieser greift dann auf den Exchange im LAN zu, d. h. ich öffne Port 443 vom Apache (DMZ) zum Exchange (LAN). So habe ich mir das vorgestellt, allerdings sagt mein Firewall-Log etwas anderes:
Ich habe den Apache so eingerichtet:
<VirtualHost _default_:9443>
ServerName webmail.domain.com
ServerAdmin support@domain.com
Options -Indexes FollowSymLinks Includes ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
AddDefaultCharset UTF-8
ProxyRequests Off
ServerSignature Off
HostnameLookups Off
UseCanonicalName Off
ProxyPreserveHost On
SSLProxyEngine On
ProxyVia On
SSLProtocol All
SSLEngine On
#RequestHeader set Front-End-Https "On"
RequestHeader unset Accept-Encoding
#207.68.172.246
ProxyPass / 10.x.x.x/exchange/
ProxyPassReverse / 10.x.x.x/exchange/
ProxyPass /exchweb 10.x.x.x/exchweb/
ProxyPassReverse /exchweb https://10.1.1.12/exchweb/
ProxyPass /public 10.x.x.x/public/
ProxyPassReverse /public 10.x.x.x/public/
### WAP & ActiveSync ###
ProxyPass /oma 10.x.x.x/oma/
ProxyPassReverse /oma 10.x.x.x/oma/
ProxyPass /Microsoft-Server-ActiveSync 10.x.x.x/Microsoft-Server-ActiveSync/
ProxyPassReverse /Microsoft-Server-ActiveSync 10.x.x.x/Microsoft-Server-ActiveSync/
###
ErrorLog logs/owa_ssl_error_log
TransferLog logs/owa_ssl_access_log
SSLCertificateFile conf/ssl.crt/owa_server.crt
SSLCertificateKeyFile conf/ssl.key/owa_server.key
#CustomLog logs/owa_ssl_request_log \“%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”
### Extras ###
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
</VirtualHost>
Danach habe ich vom LAN und auch von extern zum Testen zugegriffen und gesehen, dass trotzdem immer noch der jeweilige Client direkt den Zugriff auf Port 443 direkt ins LAN benötigt. Zum Testen habe ich auch versucht, statt auf 10.x.x.x/exchange auf 207.68.172.246 (=msn.com) weiterzuleiten. Das hat auch funktioniert, aber der Client hat auch wieder den Zugriff nach extern (msn.com) über Port 80 haben müssen ansonsten hat es nicht funktioniert. Und im Browser des Clients ist auch plötzlich msn.com drin gestanden, nicht webmail.domain.com:9443.
Ich dachte, dass dann nur der Apache den jeweiligen Zugriff benötigt, oder habe ich etwas falsch konfiguriert?
Wenn ich als Weiterleitung 10.x.x.x/exchange drin lasse, kommt im Clientbrowser folgendes:
webmail.domain.com/exchweb/bin/auth/owalogon.asp?url=https://web ...
Bitte um Aufklärung.
Danke
erst mal: sorry für die Überlänge des Beitrags.
ich habe, glaube ich, ein Verständnisproblem des Reverse Proxys. Ich will einen Apache Reverse Proxy (XAMPP 1.5.4) für Outlook Web Access (Exchange 2003) einrichten. Der Exchange server steht im LAN, der Apache in der DMZ. Bis dato habe ich eine Regel gehabt, dass webmail.domain.com direkt auf den Exchange weitergeroutet wurde, sprich Port 443 wurde auf der Firewall aufgemacht. Das will ich aber nicht mehr so haben.
Ich will, dass webmail.domain.com:9443 (9443, weil 443 schon belegt ist) auf den Apache in der DMZ geht und dieser greift dann auf den Exchange im LAN zu, d. h. ich öffne Port 443 vom Apache (DMZ) zum Exchange (LAN). So habe ich mir das vorgestellt, allerdings sagt mein Firewall-Log etwas anderes:
Ich habe den Apache so eingerichtet:
<VirtualHost _default_:9443>
- General setup for the virtual host
ServerName webmail.domain.com
ServerAdmin support@domain.com
- OWA
Options -Indexes FollowSymLinks Includes ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
AddDefaultCharset UTF-8
ProxyRequests Off
ServerSignature Off
HostnameLookups Off
UseCanonicalName Off
ProxyPreserveHost On
SSLProxyEngine On
ProxyVia On
SSLProtocol All
SSLEngine On
#RequestHeader set Front-End-Https "On"
RequestHeader unset Accept-Encoding
#207.68.172.246
ProxyPass / 10.x.x.x/exchange/
ProxyPassReverse / 10.x.x.x/exchange/
ProxyPass /exchweb 10.x.x.x/exchweb/
ProxyPassReverse /exchweb https://10.1.1.12/exchweb/
ProxyPass /public 10.x.x.x/public/
ProxyPassReverse /public 10.x.x.x/public/
### WAP & ActiveSync ###
ProxyPass /oma 10.x.x.x/oma/
ProxyPassReverse /oma 10.x.x.x/oma/
ProxyPass /Microsoft-Server-ActiveSync 10.x.x.x/Microsoft-Server-ActiveSync/
ProxyPassReverse /Microsoft-Server-ActiveSync 10.x.x.x/Microsoft-Server-ActiveSync/
###
ErrorLog logs/owa_ssl_error_log
TransferLog logs/owa_ssl_access_log
SSLCertificateFile conf/ssl.crt/owa_server.crt
SSLCertificateKeyFile conf/ssl.key/owa_server.key
#CustomLog logs/owa_ssl_request_log \“%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”
### Extras ###
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
</VirtualHost>
Danach habe ich vom LAN und auch von extern zum Testen zugegriffen und gesehen, dass trotzdem immer noch der jeweilige Client direkt den Zugriff auf Port 443 direkt ins LAN benötigt. Zum Testen habe ich auch versucht, statt auf 10.x.x.x/exchange auf 207.68.172.246 (=msn.com) weiterzuleiten. Das hat auch funktioniert, aber der Client hat auch wieder den Zugriff nach extern (msn.com) über Port 80 haben müssen ansonsten hat es nicht funktioniert. Und im Browser des Clients ist auch plötzlich msn.com drin gestanden, nicht webmail.domain.com:9443.
Ich dachte, dass dann nur der Apache den jeweiligen Zugriff benötigt, oder habe ich etwas falsch konfiguriert?
Wenn ich als Weiterleitung 10.x.x.x/exchange drin lasse, kommt im Clientbrowser folgendes:
webmail.domain.com/exchweb/bin/auth/owalogon.asp?url=https://web ...
Bitte um Aufklärung.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81555
Url: https://administrator.de/forum/verstaendnisproblem-reverse-proxy-81555.html
Ausgedruckt am: 06.07.2025 um 15:07 Uhr