Hallo Forum!
Als OPNsense Frischling habe ich mir gleich ein für mich schwieriges Thema ausgesucht.
Nämlich Nginx Plugin als Reverse Proxy ua. für MS Exchange 2016 cu23 und Outlook 2016 sowie Outlook 365.
Eigentlich funktioniert das ganze schon recht ordentllich Webaccess funktioniert also kann mein Setup nicht komplett falsch sein.
Aber Outlook hat Probleme beim anmelden und fragt immer wieder nach Bemutzername und Kennwort.
Das Problem tritt wohl öfters auf und es gibt verschiedentlich Postings im Netz die das Problem behandeln. Allerdings mit einem Standalon nginx und nicht mit einem Plugin für opnsense.
Als Ursache wird öfter genannt, dass NGINX (die freie Variante) keine NTLM Auth kann. Die entsprechenden Einstellungen (Basicauth) zum umgehen des Probllems habe ich umgesetzt leider aber ohne Erfolg.
Hat jemand einen Tipp für mich?
An welcher Schraube müßte ich drehen?
Muss ich wie in verschiedenen Postings gesagt nginx anpassen - geht das mit dem Plugin auf der opnsense überhaubt?
Wenn ja, was wäre anzupassen und wie macht man das auf der opnsense?
Wie gesagt ich habe auf dem Exchange ews, owa etc auf Basic Auth gestellt.
Exchange funktioniert ohne den Reverseproxy mit Forwardings einwandfrei.
Danke für eure Hilfe!
Hi,
bis zu Version OPNsense 23.10_2-amd64 hat es bei uns einwandfrei funktioniert. Es gibt ein Posting über die Webhooks die man im Template anpassen muss. Und eine Textdatei in der man den REALM zur Anmeldung hinterlegt.
Leider hat sich das wohl mit neueren Builds/Nginx-Versionen in opnsense irgentwie geändert. Wir haben aktuell die Versionen nicht mehr aktualisiert auf denen Exchange-Publishing läuft bis wir Zeit für ein Repro haben....
Ich habe hier caddy als reverse Proxy am laufen, mit dem ntlm auth modul funktioniert alles Exchange mäßige super, auch die Outlook Anmeldung. Ist alles eingebaut und getestet.
Bei interesse einfach mal das Plugin in meiner Signatur ausprobieren.
Quote from: Monviech on January 09, 2024, 04:55:20 PM
Ich habe hier caddy als reverse Proxy am laufen, mit dem ntlm auth modul funktioniert alles Exchange mäßige super, auch die Outlook Anmeldung. Ist alles eingebaut und getestet.
Bei interesse einfach mal das Plugin in meiner Signatur ausprobieren.
Da steckt ja im NGINX ein wenig mehr drin, als nur der "plain" Reverse-Proxy.... (WAF, ACL etc....)
Ich sehe Caddy auch nicht als Plugin im opnsense Repository? Ist das in Planung?
Bisher ist nichts geplant. Vielleicht irgendwann mal wenn es dazupasst, im Gespräch darüber ist man. Bis jetzt gibt es das nur in meinem Repository, ich entwickel auch noch aktiv daran (Am Plugin für die OPNsense, nicht am Caddy Web Server.).
WAF gibt es bisher nicht (nicht wirklich geplant). Access Listen gibt es aber.
Kommt halt drauf an was man will, für vieles ist Caddy sehr viel schneller und einfacher einzurichten. Wenn man aber sehr spezielle Anforderungen hat, ist das Plugin nicht das richtige, es ist eher für alle gedacht die einen sicheren schnellen modernen Reverse proxy mit wenigen Klicks installieren wollen. (Obwohl Caddy ziemlich fast alles kann https://caddyserver.com/docs/)
Ich reverse Proxy mehrere Exchange Server darüber, wie lange das gut funktionieren wird kann man auch nicht sagen weil Microsoft macht was sie wollen. Jeder Patch kann es ändern.