Configurer squid en reverse proxy pour ouvrir MsExchange2007

Configurer squid en reverse proxy pour ouvrir MsExchange2007 - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 27-05-2010 à 15:12:48    

Hello à tous.
 
J'ai un serveur Exchange 2007 sur mon lan, que je n'ai pas installé mais j'ai la main dessus si nécessaire, j'aimerais essayer de l'ouvrir à l'extérieur pour que mes utilisateurs qui ont ont pc portable puissent récupérer leur calendrier et autres fonctionnalités exchange où qu'ils soient.
 
En théorie ai-je lu ici, je dois placer un reverse proxy, par exemple squid, pour faire le lien entre mes clients et mon server Exchange
 
Mon problème : Je ne l'ai jamais fais en pratique.
 
Compilation de squid :  :)  

./configure --enable-ssl --with-openssl=/usr/include/openssl/ && make && make install


création du cache  :)  

/usr/local/squid/sbin/squid –z


 
génération de l'autorité de certification, de la clé, etc...  :)  
http://www.linux-france.org/prj/ed [...] 24s03.html
 
Contenu de mon /usr/local/squid/etc/squid.conf  (merci à Clockover pour le lien http://www.clockover.org/index.php [...] 14&page=45 )
 

visible_hostname squid_exchange
extension_methods RPC_IN_DATA RPC_OUT_DATA
 
https_port 443 cert=/usr/local/squid/certifs/squid_exchange.crt key=/usr/local/squid/certifs/squid_exchange.key defaultsite=squid_exchange
 
cache_peer 10.170.12.241 parent 443 0 no-query originserver login=PASS ssl sslflags=DONT_VERIFY_PEER name=owaServer
 
acl OWA dstdomain squid_exchange
cache_peer_access owaServer allow OWA
never_direct allow OWA
http_access allow OWA
http_access deny all
miss_access allow OWA
miss_access deny all
 
(suivi de tout ce qu'il y avait au départ dans squid.conf)


 
Pas d'erreur dans /var/log/message :  :)  

JUN 1 10:49:13 debianTest squid[2049]: Squid Parent: child process 2051 started


 
Un petit doute sur ces lignes là peut-etre :  :??:  

JUN 1 10:49:13 debianTest kernel: aktbd.c: Spurious NAK on isa0060/serio0. Some program might be trying access hardware directy.


 
Résultat : Ca ne fonctionne pas :/
J'ai mis l'adresse ip du proxy squid comme proxy exhange, j'ai toujours "tentative de connexion en cours" puis "deconnecté".
Je ne sais pas où regarder pour trouver une piste, access.log et store.log sont vide.
contenu de cache.log :
 
 

2010/06/01 11:34:30| Starting Squid Cache version 3.0.STABLE25 for i686-pc-linux-gnu...
2010/06/01 11:34:30| Process ID 2115
2010/06/01 11:34:30| With 1024 file descriptors available
2010/06/01 11:34:30| Performing DNS Tests...
2010/06/01 11:34:50| Successful DNS name lookup tests...
2010/06/01 11:34:50| DNS Socket created at 0.0.0.0, port 55525, FD 7
2010/06/01 11:34:50| Adding domain cf.priv from /etc/resolv.conf
2010/06/01 11:34:50| Adding domain cf.priv from /etc/resolv.conf
2010/06/01 11:34:50| Adding nameserver 10.170.0.241 from /etc/resolv.conf
2010/06/01 11:34:50| Adding nameserver 10.170.0.244 from /etc/resolv.conf
2010/06/01 11:34:50| Unlinkd pipe opened on FD 12
2010/06/01 11:34:50| Swap maxSize 102400 + 8192 KB, estimated 8507 objects
2010/06/01 11:34:50| Target number of buckets: 425
2010/06/01 11:34:50| Using 8192 Store buckets
2010/06/01 11:34:50| Max Mem  size: 8192 KB
2010/06/01 11:34:50| Max Swap size: 102400 KB
2010/06/01 11:34:50| Version 1 of swap file with LFS support detected...  
2010/06/01 11:34:50| Rebuilding storage in /usr/local/squid/var/cache (DIRTY)
2010/06/01 11:34:50| Using Least Load store dir selection
2010/06/01 11:34:50| Set Current Directory to /usr/local/squid/var/cache
2010/06/01 11:34:50| Loaded Icons.
2010/06/01 11:34:50| Accepting  HTTP connections at 0.0.0.0, port 3128, FD 14.
2010/06/01 11:34:50| Accepting HTTPS connections at 0.0.0.0, port 443, FD 15.
2010/06/01 11:34:50| Accepting ICP messages at 0.0.0.0, port 3130, FD 16.
2010/06/01 11:34:50| HTCP Disabled.
2010/06/01 11:34:50| Configuring Parent 10.170.12.241/443/0
2010/06/01 11:34:50| Ready to serve requests.
2010/06/01 11:34:50| Done reading /usr/local/squid/var/cache swaplog (0 entries)
2010/06/01 11:34:50| Finished rebuilding storage from disk.
2010/06/01 11:34:50|         0 Entries scanned
2010/06/01 11:34:50|         0 Invalid entries.
2010/06/01 11:34:50|         0 With invalid flags.
2010/06/01 11:34:50|         0 Objects loaded.
2010/06/01 11:34:50|         0 Objects expired.
2010/06/01 11:34:50|         0 Objects cancelled.
2010/06/01 11:34:50|         0 Duplicate URLs purged.
2010/06/01 11:34:50|         0 Swapfile clashes avoided.
2010/06/01 11:34:50|   Took 0.02 seconds (  0.00 objects/sec).
2010/06/01 11:34:50| Beginning Validation Procedure
2010/06/01 11:34:50|   Completed Validation Procedure
2010/06/01 11:34:50|   Validated 25 Entries
2010/06/01 11:34:50|   store_swap_size = 0
2010/06/01 11:34:51| storeLateRelease: released 0 objects
-----BEGIN SSL SESSION PARAMETERS-----
MHECAQECAgMBBAIABAQglnXv8pJNFssX5e4/mTI/DwMFZ9PzNIbHjKUCs4qrdQUE
MDxn9wpScVrfF0ay/h5HNzM6NudA5p9mmOa7WyJyYvN49z1oGSS9jC7TiRtEn3im
AKEGAgRMBNRfogQCAgEspAIEAA==
-----END SSL SESSION PARAMETERS-----
-----BEGIN SSL SESSION PARAMETERS-----
MHECAQECAgMBBAIABAQg1M7x87Nzv67vNP+Ag8cPRANz3JNuFzuofMo72hKy0E8E
MAL1TXykchGfXMWw1aFscML0xeLdofrshrfquMqQ1nLdmxvZZU+xX3hXROAiFAIN
G6EGAgRMBNRfogQCAgEspAIEAA==
-----END SSL SESSION PARAMETERS-----
-----BEGIN SSL SESSION PARAMETERS-----
MHECAQECAgMBBAIABAQgvYgoD9FNrRBQrXV3YFVyKmz5QU8R3AfbnuuZT4NwMpsE
MIlPJP09g9eKt/2xyBRkDlx17EfVDOsKSJ1tv+NUh1EiAdFPFxey3uq6XUXE9zgU
caEGAgRMBNSNogQCAgEspAIEAA==
-----END SSL SESSION PARAMETERS-----
...
...
...


 
Une idée ?


Message édité par tuxbleu le 03-06-2010 à 12:22:07

---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 27-05-2010 à 15:12:48   

Reply

Marsh Posté le 28-05-2010 à 09:10:59    

J'ai généré ensuite un certificat avec openssl
openssl genrsa -des3 -out 1024 intranet.key 1024
openssl req -new -key 1024 intranet.key -out intranet.crt
 
 
Mais j'ai une erreur "Failled to acquire SSL certificate : ...PEM_read_bio:no start_line


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 28-05-2010 à 09:18:04    

Si ca peut t'aider voici une procédure qui marche:
http://www.clockover.org/index.php [...] 14&page=45

Reply

Marsh Posté le 28-05-2010 à 09:48:04    

clockover a écrit :

Si ca peut t'aider voici une procédure qui marche:
http://www.clockover.org/index.php [...] 14&page=45


 
 [:chronoklazm]  
Punaise t'es un tueur !!
 
Je teste ca dessuite  [:chronoklazm]


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 28-05-2010 à 13:00:00    

Question probablement idiote :  
# Ouvrir le fichier $$NOM_FQDN$$.csr et transmettre son contenu à votre autorité de certification.
# Placer le certificat retourné avec votre clé.
 
Mon autorité de certification, c'est quoi ? Le serveur Exchange ? openssl ? une société tierce ? Autant que possible j'aimerais etre ma propore autorité de certification.
 
Question super débile : $$NOM_FQDN$$ , c'est le nom de mon serveur squid sur le réseaux ? Ou je peux mettre ce que je veux ?


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 31-05-2010 à 11:19:42    

Soit c'est ton openssl mais ton certificat ne sera pas reconnu publiquement, soit c'est un prestataire.
 
Chez gandi par exemple cela coûte 12€ pour un ans.
 
$$NOM_FQDN$$ => tu peux mettre ce que tu veux ce n'est qu'un nom de fichier. Mais de cette manière tu sais immediatement ce qu'il certifie.

Reply

Marsh Posté le 31-05-2010 à 15:50:05    

clockover a écrit :

Soit c'est ton openssl mais ton certificat ne sera pas reconnu publiquement, soit c'est un prestataire.
 
Chez gandi par exemple cela coûte 12€ pour un ans.
 
$$NOM_FQDN$$ => tu peux mettre ce que tu veux ce n'est qu'un nom de fichier. Mais de cette manière tu sais immediatement ce qu'il certifie.


:jap:
Je vais pour commencer me le générer, j'ai trouvé le tuto qui va bien.
Ok, merci des infos  :jap:  :jap:  


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 01-06-2010 à 10:03:08    

Ca a bien avancé, j'ai édité le premier post.
J'en suis à "en théorie ca marche, mais en fait non :/ "


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 02-06-2010 à 14:42:51    

Un :bounce:
Je sais pas par où avancer là :/


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 03-06-2010 à 10:10:58    

Précison : La partie -----BEGIN SSL SESSION PARAMETERS----- et ce qui suit n'apparait que si mon outlook est lancé depuis un poste dont la passerelle permet d'accéder directement au serveur exchange, et je suis connecté. Super, mais pour le coup impossible de savoir si je passe bien par le proxy. Si je me coupe de l'exchange, (mais le proxy y a accès bien sur), et que bien sur j'ai accès au proxy, rien ne se passe, je n'ai pas les "-----BEGIN SSL SESSION PARAMETERS-----..." qui apparaissent dans les logs.
 
Non en fait, j'ai rien dis


Message édité par tuxbleu le 03-06-2010 à 12:23:36

---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 03-06-2010 à 10:10:58   

Reply

Marsh Posté le 03-06-2010 à 12:39:27    

Reply

Marsh Posté le 03-06-2010 à 14:37:08    

Ca raconte quoi dans ton event viewer ? (appli, security, system) ?
 
Tu as déjà essayé en auth de base ?

Reply

Marsh Posté le 03-06-2010 à 14:37:51    

et bête question, Firewall on avec règle(s), ou off ?

Reply

Marsh Posté le 03-06-2010 à 16:03:26    

Pour le moment, l'exchange il ne gère que des calendriers partagé en local.
 
Pas de parefeu entre moi et l'exchange, entre moi et le proxy squid, entre le squid et l'exchange, donc là on est tranquil de ce point de vue.
 
Oui, auth de base, j'ai essayé, sans succès, à part que ca me demande en plus de saisir mon mot de passe ad.
J'ai essayé autoriser le déchargement, ne pas l'autoriser, etc...
Je patauge lamentablement sans pistes, car le proxy ne bronche pas, il ouvre des sessions SSL et les referme, tranquil sans messages d'erreurs :/
 


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 03-06-2010 à 16:28:01    

Tu avais une config fonctionnelle sans le proxy ?
 
Si pas, commence par là. Une fois que ca tourne sans le proxy, tu le rajoutes dans la chaine.
 
Je ne connais pas Exchange 2007, mais est-ce que le rôle CAS (donc accès client) ne travaille pas sur base de groupes ? (donc dans l'AD sur ton serveur exchange tu aurais des groupes dédiés à Exchange où tu devrais ajouter soit les users/groups ou postes pouvant se connecter a Exchange).
 
Et tu as skippé ma question précédente: pas de messages particuliers dans l'event viewer sur ton serveur exchange ?

Reply

Marsh Posté le 03-06-2010 à 16:33:28    

Je sais que c'est pour le 2003 mais si ça utilise toujours du RPC over HTTP(s), tu auras peut-être des infos ici :
 
http://www.petri.co.il/how-can-i-c [...] enario.htm
 
dans la partie "Configure the RPC proxy server to use specific ports". Donc le RPC proxy a besoin d'utiliser des ports spécifiques pour interroger l'AD.

Reply

Marsh Posté le 03-06-2010 à 16:42:50    

Ici tu as une intégration ISA 2006 et Exchange 2007 pour outlookw anywhere :
 
http://www.petri.co.il/outlook_any [...] server.htm
 
La seule chose que je vois, c'est que toi tu as utilisé une adresse ip et pas un FQDN pour définir tes params.
 
Et autre bête question : dans ton IIS, tout est ok ?


Message édité par switch le 03-06-2010 à 16:44:20
Reply

Marsh Posté le 03-06-2010 à 16:59:45    

switch a écrit :

Tu avais une config fonctionnelle sans le proxy ?
 
Si pas, commence par là. Une fois que ca tourne sans le proxy, tu le rajoutes dans la chaine.
 
Je ne connais pas Exchange 2007, mais est-ce que le rôle CAS (donc accès client) ne travaille pas sur base de groupes ? (donc dans l'AD sur ton serveur exchange tu aurais des groupes dédiés à Exchange où tu devrais ajouter soit les users/groups ou postes pouvant se connecter a Exchange).
 
Et tu as skippé ma question précédente: pas de messages particuliers dans l'event viewer sur ton serveur exchange ?



Tu avais une config fonctionnelle sans le proxy ?
: Partage de calendrier ok, owa via https://ipserverexchange/owa fonctionne aussi. Sans proxy j'ai pas de soucis. mais comment tester spécifiquement le rpc over http dans mon LAN ?
 
Je ne connais pas Exchange 2007, mais est-ce que le rôle CAS (donc accès client) ne travaille pas sur base de groupes ? (donc dans l'AD sur ton serveur exchange tu aurais des groupes dédiés à Exchange où tu devrais ajouter soit les users/groups ou postes pouvant se connecter a Exchange).
Tu essaies de me dire qu'une des causes possible serait que ma debian ne serait pas dans le domaine ? Je viens de demander à notre "expert" exchange, il me dit que non, en workgroup c'est pas un soucis.
En fait pour tout te dire, moi exchange ca me passe un peu loin, j'ai pas configuré ce serveur, je l'ai e, parti sur les bras suite à des problèmes internes, mais vraiment je suis loin de maitriser mon sujet.
 
Et tu as skippé ma question précédente: pas de messages particuliers dans l'event viewer sur ton serveur exchange ?
ClicDroit poste de travail, gérer, Observateur d'évenement ? Rien ne me choque  :jap:  


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 03-06-2010 à 17:12:43    

Si dans le param local (Outlook 2007) tu as coché la case qui active la connection HTTP(s) même sur les réseaux rapides, ton outlook en local va se connecter en HTTP(s) plutôt qu'en TCP. Pour vérifier, tu as ça : http://technet.microsoft.com/en-us [...] 65%29.aspx (CTRL + click droit sur l'icone dans la notification area, connection status).
 
Pour le CAS, je voulais simplement m'assurer que ton user avait accès ^^ (mais en y réfléchissant, chaque user ayant un mailbox doit par défaut avoir les attributs ...)
Et je parlais bien de l'observateur d'évènements ;)
 
Par contre OWA et outlook anywhere sont deux choses différentes ;) Chez nous on avait l'OWA mais pas d'outlook anywhere par exemple. Donc le seul moyen de tester si la config HTTPS est bonne c'est de voir si ton outlook local arrive bien à se connecter en HTTPS plutôt qu'en TCP.

Message cité 2 fois
Message édité par switch le 03-06-2010 à 17:14:57
Reply

Marsh Posté le 03-06-2010 à 17:19:11    


 
Donc en gros, si sur ce screenshot l'ip était celle de ton SQUID, tu mets l'adresse de ton exchange.. maintenant je me demande même si au final ce ne sera pas toujours l'adresse de l'exchange que tu mettras.

Reply

Marsh Posté le 03-06-2010 à 17:54:13    

switch a écrit :


Par contre OWA et outlook anywhere sont deux choses différentes ;) Chez nous on avait l'OWA mais pas d'outlook anywhere par exemple. Donc le seul moyen de tester si la config HTTPS est bonne c'est de voir si ton outlook local arrive bien à se connecter en HTTPS plutôt qu'en TCP.


 

switch a écrit :


 
Donc en gros, si sur ce screenshot l'ip était celle de ton SQUID, tu mets l'adresse de ton exchange.. maintenant je me demande même si au final ce ne sera pas toujours l'adresse de l'exchange que tu mettras.


 
Oui, j'ai voulu faire ça, sauf que ca ne garantis rien à mon avis, car lis bien le libellé : "Se connecter d'abord avec le HTTP, puis avec le TCP/IP
Donc je confirme qu'en mettant l'ip de l'exchange à la place de l'ip du proxy, ca fonctionne.
Ce qui me fait douter (ENORMEMENT), c'est qu'en mettant l'IP du proxy ca marche aussi en local, et dès que je me coupe de l'exchange (tout en ayant acces au proxy), ca ne fonctionne plus.
D'où mon idée que ca essaye en http puis si ca marche pas va en TCP


Message édité par tuxbleu le 03-06-2010 à 17:54:42

---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 03-06-2010 à 17:55:27    

Si dans le param local (Outlook 2007) tu as coché la case qui active la connection HTTP(s) même sur les réseaux rapides, ton outlook en local va se connecter en HTTP(s) plutôt qu'en TCP. Pour vérifier, tu as ça : http://technet.microsoft.com/en-us [...] 65%29.aspx (CTRL + click droit sur l'icone dans la notification area, connection status).
 
Suis sur 2003. mais pour tester je peux upgrader  :jap:  


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 03-06-2010 à 18:01:14    

switch a écrit :

Si dans le param local (Outlook 2007) tu as coché la case qui active la connection HTTP(s) même sur les réseaux rapides, ton outlook en local va se connecter en HTTP(s) plutôt qu'en TCP. Pour vérifier, tu as ça : http://technet.microsoft.com/en-us [...] 65%29.aspx (CTRL + click droit sur l'icone dans la notification area, connection status).


Sympa ton lien : J'ai du TCP/IP partout  :(  
Comment savoir si il a au moins essayé en https :/  :??:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 03-06-2010 à 18:17:15    

Normalement tu as une option en ligne de commande pour le voir à l'ouverture d'outlook, j'essaie de la retrouver (la tu verras qu'il essaye pendant quelques secondes puis il switch).
 
Ton certif SSL a bien comme CN le FQDN de ton serveur exchange ? (sinon au pire tu peux commencer à tester en HTTP simple en décochant la case SSL dans IIS et après adapter dans ton outlook).
 
Concernant le premier lien de Petri que j'avais donné (avec les ports dans la registry), en furetant sur le web, j'ai vu qu'exchange 2007 faisait une config automatique du serveur une fois que tu activais l'outlook anywhere (la config se fait en max 15 min et il y a un event dans l'event viewer).

Reply

Marsh Posté le 03-06-2010 à 18:20:25    

Lance outlook avec le switch "/rpcdiag" .

Reply

Marsh Posté le 03-06-2010 à 18:44:05    

switch a écrit :

Normalement tu as une option en ligne de commande pour le voir à l'ouverture d'outlook, j'essaie de la retrouver (la tu verras qu'il essaye pendant quelques secondes puis il switch).
 
Ton certif SSL a bien comme CN le FQDN de ton serveur exchange ? (sinon au pire tu peux commencer à tester en HTTP simple en décochant la case SSL dans IIS et après adapter dans ton outlook).
 
Ca je vais aller le vérifier, dès fois que... J'en suis sur pour le certificat du proxy, bcp moins pour celui de l'exchange
 
Concernant le premier lien de Petri que j'avais donné (avec les ports dans la registry), en furetant sur le web, j'ai vu qu'exchange 2007 faisait une config automatique du serveur une fois que tu activais l'outlook anywhere (la config se fait en max 15 min et il y a un event dans l'event viewer).


Outlook anywhere est actif  :jap:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 03-06-2010 à 18:45:19    

Putain le certificat n'a pas le bon CN, je vais en regénérer un :jap:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 04-06-2010 à 13:48:00    

Tu m'a envoyé un MP. Tu en es où ?
 
Pour clarifier peux-tu nous dire si:
-OWA fonctionne depuis ton LAN via https ou http sur ip-exchange ?
-OWA fonctionne sur fqdn-proxy ?
 
 

Reply

Marsh Posté le 04-06-2010 à 20:48:51    

"Switch" m'a donné des indications pour essayer de voir si j'arrive à me connecter en http(s) directement au serveur exchange, et pour le moment c'est pas top, je ne me connecte qu'en tcp/ip, et pas en http(s). Alors faut que j'arrive à faire ça d'abord je pense.
 
Pour le OWA, en directe sur l'exchange ça va, monnayant d'accepter un certificat, mais pas via le squid.
Le fait que le certificat de l'exchange n'a pas le bon CN pourrait creer des soucis pour OWA ?
 
D'ailleurs je me gauffre peut-etre sur la méthode, mais comment tester l'owa via squid ?
https://ipsquid/owa ?
Ou mettre l'ip de squid comme proxy https dans mon navigateur ? (ca ca me parait con comme idée...)
J'ai essayé les deux, aucun ne fonctionne, j'ai des messages d'erreur dans cache.log "erreur négociation ssl "
 
Des pistes de progrès ?
 
J'ai pas eu la main sur le serveur exchange aujourd'hui.


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 04-06-2010 à 22:08:48    

mais en fait tu testes comme ça au pif en espérant que ça marche ou tu comprends ce que tu fais et testes ?

Reply

Marsh Posté le 04-06-2010 à 23:30:26    

La théorie, le serveur exchange était sensé être bien configuré pour owa et outlook anywhere, mais personne n'a eu l'idée de vérifier.
Mon truc à moi c'était d'essayer de monter un reverse proxy pour ouvrir l'exchange à l'exterieur. Sauf que à l'évidence ya comme un soucis, alors faut bien que j'essaie de tester et de comprendre.
Et oui, je comprends une parti de ce que je fais, générer un certificat, l'envoyer à une autorité de certification, importer ce certificat via la console exchange...
Après ce qui fait qu'un outlook anywhere installé et theoriquement bien configuré ne rempli pas son office (oh le jeu de mot...), là par contre j'ai aucune idée du pourquoi du comment.
Donc en premier lieu, j'aimerai essayer de lui faire remplir son office plutôt que de dire "j'ai jamais fais, je sais pas faire, alors on fait pas".
Si j'avais jamais du essayer de faire des choses qu'on m'a pas apprise, j'aurais jamais fais grand chose.
Alors oui, j'y connais rien en exchange2007, mais si je pouvais faire avancer la problématique outlookanywhere plutot que de la laisser en carafe comme l'ont laissé ceux qui étaient sensés s'en occuper avant, ca serait pas un mal.
D'où mes questions à priori débiles pour toi, mais qui pour moi importent...


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 04-06-2010 à 23:31:34    

Et oui, on est toujours ipv4 nous :o


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 07-06-2010 à 08:59:58    

Déjà t'occupes pas de Outlook Anywhere. Fait tes tests avec OWA si il éarche en direct exchange.
 
Pour le test OWA via squid, il faut que tu ailles à l'adresse:
http(s)://nom-fqdn-public-de-ton-squid/owa

Reply

Marsh Posté le 07-06-2010 à 19:49:23    

clockover a écrit :

Déjà t'occupes pas de Outlook Anywhere. Fait tes tests avec OWA si il éarche en direct exchange.
 
Pour le test OWA via squid, il faut que tu ailles à l'adresse:
http(s)://nom-fqdn-public-de-ton-squid/owa


 :jap:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 11-06-2010 à 12:24:00    

Bonjour à vous et merci pour ce post !
Je suis moi aussi en train d'essayer de mettre un squid en reverse proxy pour un exchange 2010 et j'avoue que les informations de clockover sont précieuses. Il manque juste des informations sur le lancement en automatique de squid.

 

Cependant, je rencontre un problème :
lorsque je lance squid (via /usr/local/squid/bin/Runcache), ca ne fonctionne pas et je retrouve des erreurs dans le log de squid (/usr/local/squid/var/log). Le problème semble concerner les certificats :

 

Startup: vendredi 11 juin 2010, 14:09:56 (UTC+0200)
2010/06/11 14:09:56| Failed to acquire SSL private key '/usr/local/squid/certifs/webmail.crt': error:0906D06C:PEM routines:PEM_read_bio:no start line
2010/06/11 14:09:56| parseConfigFile: squid.conf:5 unrecognized: 'key=/usr/local/squid/certifs/webmail.key'
2010/06/11 14:09:56| parseConfigFile: squid.conf:6 unrecognized: 'defaultsite=mail.gys.fr'
2010/06/11 14:09:56| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 14: http_access deny all

 

Pour information, mon certificat est autosigné en utilisant les méthodes listées ici.
Mon serveur est une ubuntu 9.10 avec squid 2.7 (idem avec squid 3)

 

Merci à vous


Message édité par spudman le 11-06-2010 à 12:27:31
Reply

Marsh Posté le 11-06-2010 à 13:19:51    

la syntaxe de ton fichier est pas bonne et ta pas d'ACL all, c'est bien expliqué

Reply

Marsh Posté le 11-06-2010 à 13:34:32    

Oui j'ai trouvé : il faut tout mettre sur une ligne pour :
 
https_port 443 cert=$$CHEMIN_VERS_CERTIFICAT_PUBLIC$$  
key=$$CHEMIN_VERS_CLE_CERTIFICAT$$
defaultsite=$$NOM_FQDN$$
 
et rajouter la ligne  
acl all src 0.0.0.0/0.0.0.0 avec l'autre acl
par contre ca ne fonctionne pas. :o(((
 
Mon firefox me dit :
 
Le certificat du pair a une signature invalide.
 
(Code d'erreur : sec_error_bad_signature)
 
j'essaie pourtant depuis le serveur squid en ayant ajouter les certificats...


Message édité par spudman le 11-06-2010 à 13:47:23
Reply

Marsh Posté le 12-06-2010 à 09:39:04    

comment il squate mon topic lui :o
:)


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 12-06-2010 à 14:27:30    

tuxbleu, as-tu avancé ? :D

Reply

Marsh Posté le 12-06-2010 à 20:40:15    

J'ai eu un taf monstre, je me repenche dessus cette semaine.
Je crois que pour commencer, mon problème vient de l'exchange lui meme qui a l'air d'être mal configuré pour outlook anywhere car j'arrive pas à communiquer avec lui en http(s).
Je vais commencer par regénérer un certificat autosigné avec le bon CN (ce qui n'est pas le cas aujourd'hui).
A la suite de quoi je verrais comment recommencer depuis le début le paramétrage de Outllok anywhere.
Quand j'aurais réussi à communiquer (et vérifier) en https directement, je me repencherais sur le proxy squid.
 
Faut que ca avance cette histoire  :fou:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed