Site icon Franky's Web

The search for a Forefront TMG replacement (Part 5: Debian 7 + HAProxy)

Forefront TMG has now been discontinued and a replacement will have to be found sooner or later. There are now several manufacturers who are filling the gap left by Forefront TMG. I will test some promising solutions and publish a howto for each of them. Finally, there will be an article comparing the solutions and listing the pros and cons from my point of view. So much for the plan.

I have therefore created a standard test environment that I will use for all solutions. The test environment has a relatively simple structure:

There is a Windows Server 2012 R2 with the name DC1 on which the Domain Controller role and Outlook 2013 are installed. Exchange 2013 is also installed on Server 2012 R2. The Exchange servers have the names EX1 and EX2. This is always the starting point for all solutions.

I defined a few evaluation criteria in advance in order to be able to draw a conclusion later. Mind you, these are my own criteria, which probably say little about the quality of the individual products. But more on that later.

In Teil 5 kommt nun die mit Abstand günstigste Lösung in der Anschaffung: Debian und HAProxy, beides Open Source. Linux als Reverse Proxy einzusetzen ist nichts neues, Sophos, Kemp, F5 etc. basieren alle auf einem Linux Unterbau. Daher jetzt die Open Source Variante für den preisbewussten Admin

Mal sehen wie es sich schlägt. Wie üblich wieder die angepasste Testumgebung:

Ich habe also eine neue VM mit Debian 7 (Netinst, nur das OS) installiert, lediglich die VMware Tools habe ich nachinstalliert, und eine feste IP vergeben. Das ist schon alles. Die Installation inkl. der VMware Tools hat etwa 30 Minuten gedauert.

Sobald das Debian installiert ist und eine IP bekommen hat, können die Voraussetzungen installiert werden:

apt-get install build-essential make libpcre3 libpcre3-dev libssl-dev joe ssh

“Joe” ist mein favorisierter Editor, es eignet sich natürlich auch jeder andere, wie zum Beispiel Vi oder Nano, das Paket SSH installiere ich nur damit ich die VM via SSH verwalten kann, notwendig ist es nicht.

Sobald die Pakete installiert wurden, erzeuge ich ein neues Verzeichnis und lade HAProxy runter:

cd /usr/src/
mkdir haproxy
cd haproxy/

Als nächstes wird das Archiv ausgepackt

tar -xvzf haproxy-1.5-dev19.tar.gz

Und dann kompiliert


Sobald das Paket kompiliert wurde kann es mit folgenden Befehlen installiert werden

make install

/usr/local/sbin/haproxy –vv

Damit HAProxy beim Starten des Betriebssystems geladen wird, wird ein Start Script benötigt. Jetzt kommt der Editor “Joe” (oder der Editor eurer Wahl zum Einsatz“):

joe /etc/init.d/haproxy

Der Befehl erzeugt eine neue Datei im Verzeichnis /etc/init.d. Folgender Inhalt kann per Copy und Paste eingefügt werden. Anpassungen sind nicht notwendig:

# /etc/init.d/haproxy


options=“-f /etc/haproxy/haproxy.cfg“

test -x $binpath || exit 0

case „$1“ in
echo -n „Starting HAproxy“
$binpath $options
#start-stop-daemon –start –quiet –exec $binpath — $options
echo „.“
echo -n „Stopping HAproxy“
kill `cat $pidfile`
#start-stop-daemon –stop –quiet –exec $binpath –pidfile $pidfile
echo „.“
echo -n „Restarting HAproxy“
#start-stop-daemon –stop –quiet –exec $binpath –pidfile $pidfile
kill `cat $pidfile`
sleep 1
$binpath $options
echo „.“
echo „Usage: /etc/init.d/haproxy {start|stop|restart}“
exit 1

exit 0

Jetzt müssen noch die Berechtigungen für das Script angepasst werden, dann kann die Startkonfiguration aktualisiert werden:

cd /etc/init.d
chmod +x haproxy
update-rc.d haproxy defaults

Jetzt kann der Pfad für die Konfigurationsdatei angelegt werden

mkdir /etc/haproxy
cd /etc/haproxy/

Im Verzeichnis “/etc/haproxy” wird jetzt das Zertifikat für den Virtual Service abgelegt. Das Zertifikat muss im PEM Format vorliegen. Ich verwende mein Wildcard Zertifikat aus Teil 4. Windows kann Zertifikate nicht direkt in das PEM Format exportieren, aber es gibt Online Dienste die das erledigen können, oder man konvertiert das PFX Format mit OpenSSL in das PEM Format. Einen Online Dienst gibt es hier:

Ich erzeuge die Datei “proxy.pem”

joe proxy.pem

Und kopiere mein Zertifikat im PEM-Format in die Datei. HAProxy erwartet zuerst den privaten Schlüssel, daher muss ggf. nach der Konvertierung in der PEM-Format die Reihenfolge der Blöcke “Private Key” und “Certificate” geändert werden. In meinem Fall schaut der Inhalt der Datei “proxy.pem” so aus:


Jetzt kann die Konfigurationsdatei ebenfalls im Verzeichnis “/etc/haproxy” erzeugt werden:

joe haproxy.cfg

Meine “haproxy.cfg” hat folgenden Inhalt, die blau markierten Stellen muss der entsprechenden Umgebung angepasst werden:

stats socket /var/run/haproxy.stat mode 600 level admin
pidfile /var/run/
maxconn 40000
ulimit-n 81000
mode http
balance roundrobin
timeout connect 4000
timeout client 86400000
timeout server 86400000

frontend Exchange_Server
mode http
bind :443 ssl crt /etc/haproxy/proxy.pem
default_backend Exchange-WebServices-Server

backend Exchange-WebServices-Server
mode http
stick-table type ip size 10240k expire 60m
stick on src
option redispatch
option abortonclose
balance leastconn
server EX1 weight 1 check ssl inter 2000 rise 2 fall 3 on-marked-down shutdown-sessions
server EX2 weight 1 check ssl inter 2000 rise 2 fall 3 on-marked-down shutdown-sessions
listen stats :8081
stats enable
stats uri /
option httpclose
stats admin if TRUE
stats auth admin:password

Die Einträge hinter “Server” stellen die Exchange Server dar, EX1 und EX2 sind dabei nur “Anzeige Namen”, die Server werden über die IP angesprochen.

Hinter “listen stats” wird ein Port für ein simples Status und Wartungsinterface benötigt. Ich habe das grafische Interface auf Port 8081 gelegt, der Port ist frei wählbar, solange es nicht 443 ist

“Stats auth” erwartet Benutzername und Passwort für den Benutzer der grafischen Oberfläche.

Jetzt ist die Konfiguration fertig. Der Dienst kann mit folgendem Befehl gestartet werden:

service haproxy start

Hier mal ein Screenshot der grafischen Oberfläche:

und OWA funktioniert auch:

Die Basis läuft also, ich spiele jetzt ein bisschen rum und pflege meine Tabelle, ich denke die Lösung hat Potenzial. Mal sehen was sich damit alles anstellen lässt…

Exit mobile version