Nginx + Exchange Server

[Brick_In_The_Wall]

Die ganzen DNS Sachen für Autodiscover hast du extern erreichbar?

[Oachkatze]

Yes, mit Caddy funktioniert das wirklich gut (Handy etc.) - Caddy macht da eine gute Arbeit - auch verschiedene Tests durchgeführt, aktuelle TLS Version sind vorhanden.

[zorpat84]

Guten Tag!
Kannst du deine Konfiguration teilen?
Wir haben mit Outlook als Client immer noch das Problem der Authentifizierung, welche immer und immer wieder aufploppt.
Wir müssen dauernd die Zugangsdaten eingeben und wenige Sekunden später, erscheint erneut die Benutzer/Kennwortabfrage im Outlook.
Im LAN oder mit VPN funktioniert der Zugriff einwandfrei.

Wäre nett von dir/euch, wenn ihr uns ein paar Inputs geben könntet..

Danke!

[zorpat84]

Das funktioniert entweder mit Caddy in OPNsense Community oder der OPNWAF (basierend auf Apache) in OPNsense Business.

In Caddy wäre es der Haken "NTLM" im Handler, welcher Outlook von extern ermöglicht. Das Modul ist im os-caddy plugin kompiliert. https://github.com/caddyserver/ntlm-transport

In Apache (OPNWAF) ist es ein eigenes Modul was kompiliert ist, nennt sich "mod_proxy_msrpc". Dieses ist in der OPNsense Business Version dabei.
https://docs.opnsense.org/vendor/deciso/opnwaf.html#exchange-server

Bei NGINX gibt es das Modul nur in nginx plus https://nginx.org/en/docs/http/ngx_http_upstream_module.html#ntlm

Das bedeutet, um Exchange mit Outlook zum laufen zu bekommen, verwende entweder Caddy oder OPNWAF, oder benutze keinen TLS Termination Proxy, sondern einen Layer 4 Proxy (HAproxy, nginx und Caddy können Layer 4 Proxy)

Kannst du uns eine Beispielkonfig geben?
Irgendwie klappt das bei uns nicht. Ständiger Authentifizierungsloop, wenn außerhalb des LAN bzw ohne VPN..

Wäre super! Danke!

[Monviech (Cedrik)]

Welches plugin wird denn verwendet?

Mit Caddy und OPNWAF habe ich es erst heute getestet weil ich auf Fehlersuche bin.

Popups passieren sporadisch, manchmal keine, manchmal unendlicher loop, manchmal nur eins.

Wenn man Outlook ein paar mal schließt und startet geht es manchmal plötzlich.

Ich kann gerade keine Tips geben.

[zorpat84]

Welches plugin wird denn verwendet?

Mit Caddy und OPNWAF habe ich es erst heute getestet weil ich auf Fehlersuche bin.

Popups passieren sporadisch, manchmal keine, manchmal unendlicher loop, manchmal nur eins.

Wenn man Outlook ein paar mal schließt und startet geht es manchmal plötzlich.

Ich kann gerade keine Tips geben.

@oachkatze meint es würde mit caddy funktionieren?

[Monviech (Cedrik)]

Ja, aber Dinge ändern sich mit der Zeit. Z.B "Exchange Extended Protection" im Exchange Server je nach Service Pack, NTLM deprecation von Microsoft, Outlook dass zu Outlook Classic wurde, ob mapi over http oder rpc over http verwended wird...

Ganz viele Themen die es gerade langsam immer schwerer machen den Exchange korrekt zu reverse proxien.

[zorpat84]

Also gibt es aktuell keine funktionierende Lösung mit Caddy, auch wenn man die Ext. Protection deaktiviert?

Bindet ihr den Zugang zu euren Exchangeserver direkt via NAT ans Internet? Also mit eigener IP und fertig?

[Monviech (Cedrik)]

Wenn der Exchange ein öffentliches Zertifikat hat kannst du es noch so testen (in Caddy):

General Settings:
- Enable Layer4 Proxy

Layer 4 Proxy: Add Layer 4 Route
- Routing Type: listener_wrappers
- Matchers: TLS (SNI Client Hello)
- Domain: autodiscover.example.com mail.example.com    (also alle Domains vom Exchange Zertifikat hier rein)
- Upstream Domain: 192.168.1.1                         (IP vom Exchange)
- Upstream Port: 443

Die Exchange Domains in "Reverse Proxy" deaktivieren, da sie jetzt von "Layer 4" benutzt werden.

Dann Apply.


Jetzt wird ohne TLS termination gearbeitet.

[zorpat84]

Danke für deien Infos, aber ich möchte bewusst den L7-modus nutzen..
So wie es beim KEMP ja auch klappt. Dort sind die Lizenzkosten einfach enorm und wir setzen bei vielen unserer Kunden erfolgreich OPN als firewall ein, deshalb die geplante Erweiterung mit CADDY und LE-Zertifikaten.

Nur das NTLM problem scheint man nicht in griff zu kriegen, also auch nicht mit caddy wies scheint.

[Patrick M. Hausen]

So wie es beim KEMP ja auch klappt. Dort sind die Lizenzkosten einfach enorm

Mit Kemp haben wir lange sehr erfolgreich und zufrieden gearbeitet. Ich würde die Lizenzkosten eher im unteren Bereich ansiedeln, verglichen mit F5, Cisco & Co. ;-)

Außerdem sind die generell sehr kompetent - sowohl Implementierung als auch Support.

Also wenn's der Business-Case her gibt, bleibt doch bei denen.

[zorpat84]

Also wenn's der Business-Case her gibt, bleibt doch bei denen.

..als Plan B sicher.. aber es ist doch nicht möglich, dass es all diese tollen layer7 proxies nicht schaffen einen Exchangeserver sauber anzubinden, oder? ☺️

[Monviech (Cedrik)]

Naja geh halt zu den Projekten und wirf ihnen Geld hin damit sie es Maintainen. Bei Caddy ist es dieses Plugin hier was auch in der OPNsense Caddy Plugin version kompiliert ist. Und das hat auch 2-3 Jahre funktioniert:

https://github.com/caddyserver/ntlm-transport

Aber die meisten nutzen jetzt halt Exchange Online, da passiert nicht mehr viel gerade auser es ist ein Business Case und jemand ist Sponsor.