Hallo liebes Forum,
wir haben die Anforderung von der GF bekommen iphones u. ipads mit unserem lokalen Exchange extern synchen zu lassen. Owa u. Co von extern wird nicht benötigt. Aufgrund der aktuellen Angriffslage haben wir eigentlich ein Problem damit den Port 443 an der Firewall zu öffnen - wir nutzen Opnsense.
Nun gibt es verschiedene Lösungsansätze hier auf den Seiten. VPN wäre eine Lösung, würde von der GF jedoch nicht akzeptiert werden, da man nicht immer überprüfen möchte ob der VPN-Schalter auf aktiv steht wenn mal die Mails nicht synchen. Am besten wäre doch die Lösung (schon etwas älter) von Franky "Exhange mit Opnsense Haproxy" als reverseproxy oder in Kombination mit den anderen Ansätzen hier auf Frankysweb.
Allerdings tue ich mich mit dem Howto schwer, da es älter ist und in den aktuellen Version von Opnsense im HA-Plugin fast alles anders aussieht.
Zielführend möchte ich erreichen, dass Haproxy nur den Zugriff auf ActiveSync am Port 443 zulässt. Wie realisiere ich das, hat dies jemand bereits so umgesetzt?
Im Howto von Franky wird bei den ACLs der Wert angegeben:
https://www.frankysweb.de/exchange-2016-opnsense-haproxy-und-lets-encrypt/
/*
Bedeutet dieser Wert, dass HA bei einer Anfrage am Port 443 den Zugriff auf alles unterhalb von / des Exchange-Web zulässt?
Wie bekomme ich das hin, dass von extern Anfragen maximal auf active sync festgenagelt werden.
Ich bedanke mich vorab für Eure Hilfestellung
MfG
Wenn’s nicht unbedingt ha-Proxy sein muss, geht das mit kemp (afaik sogar in der Free Version) recht einfach. Vielleicht mal ein Blick wert.
Hallo Andreas48,
mit OpenSense habe ich früher mal gearbeitet und die Lösung später wegen verschiedener Einschränkungen ersetzt. Mit HA Proxy habe ich leider keine Erfahrungen. Ich habe auf eine Software Firewall von Sophos gewechselt. Diese gibt es für kleine Unternehmen bis 50 IP Adressen kostenfrei. Die Sophos bietet einen virtuellen Webserver, der dem Exchange vorgeschaltet wird und die freigegebenen Dienste (z.B. nur ActiveSync und OAB) und den VirenScan regelt. Die Daten werden dann nach intern weitergereicht, so dass dein Exchange nicht direkt aus dem Web erreichbar ist. Das erforderliche Zertifikat für die Verschlüsselung bekommst Du bei Lets Encrypt oder du erstellst auf der FW ein selbst signiertes. Ein VPN Einwahl kannst du über diese Lösung auch sehr einfach realisieren. Du benötigtst nur einen "alten" Rechner mit 2 Netzwerkkarten oder eine entsprechende Appliance. Ich habe dies Lösung bei mehreren Kunden seit Jahren erfolgreich im Einsatz.
Turorials für die Konfiguration der Sophos gibt es hier bei Franky.
Viel Erfolg. Gruß. Kendo.
bist Du sicher, dass Sophos für kleine Unternehmen erlaubt ist? Meines Wissens nach ist die Home Version nur für private Zwecke erlaubt.
Aber, ja, sie bietet eine echte Web Application Firewall, während OPNsense als Proxy die letzte Sicherheitslücke im Exchange nicht geschützt hätte, zumindest laut deren FAQ.
Hallo Vendetta,
die Sophos Home Software ist für den Endpoint, also den Client (PC, Smartphone, Notebook, ....) und tatsächlich nur für private Zwecke. Ich habe im Post oben aber von der Sophos UTM bzw. Sophos XG als Software Variante geschrieben. Diese wird als zentrale Firewall/VirenScanner/Web Proxy/virtueller Webserver ... (im beschriebenen Fall als Alternative zur OPN) dem Netzwerk gegenüber dem Internet vorgelagert. Als limitierte Version gibt es diese für kleine Unternehmen mit fast komplettem Funktionsumfang tatsächlich kostenlos zum Download mit jeweils aktuellen Updates. Einfach mal nach "Sophos UTM Essential Firewall" suchen, registrieren, herunterladen und ausprobieren. Anleitungen zur Konfiguration und Anpassung in Verbindung mit MS Exchange gibt es hier auf Frankys Webseite ausreichend.
Viel Spaß beim Testen.
Hi,
du kannst auch über den MS WebApplicationProxy veröffentlichen, wenn ihr zb schon einen Tenant angebunden habt.
https://docs.microsoft.com/en-us/azure/active-directory/app-proxy/what-is-application-proxy
Option wäre aber dann auch, gleich mal auf dem Verschieben der Postfächer in die Cloud rumzudenken. Auch da kann man dann einen Cloud Proxy Server davorschalten.
Gruß,
Ralf
bist Du sicher, dass Sophos für kleine Unternehmen erlaub
https://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-firewall.aspx
Interessant, oben heisst es noch Sophos UTM Essential für Unternehmen und je weiter man liest, wird es zur Sophos UTM Home für Heimnutzer.
Ja was nun?
Einen Downloadlink gibt es nur für Sophos UTM Home - die explizit für den Privatgebrauch angepriesen wird....