pfSense Gold Subscription

Author Topic: Outlook exchange proxy  (Read 103 times)

0 Members and 1 Guest are viewing this topic.

Offline elberton

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Outlook exchange proxy
« on: November 24, 2017, 09:08:27 am »
Bonjour, j'ai mis en place un proxy http et https transparent.
Tout fonctionne.
il y a également un filtre avec blacklist et PFBlockerNg.

J'ai un poste de ce réseau qui à Outlook 2013 de paramétré vers un serveur exchange 2013 extérieur à pfsense (il ne se trouve pas sur cette connexion internet mais bien sur un autre site).

Depuis que j'ai installé pfsense je n'arrive plus à m'y connecter.

J'utilise RPC/HTTP et NTLM en authentification.

Merci de vos avis.

Offline jdh

  • Hero Member
  • *****
  • Posts: 1703
  • Karma: +43/-11
    • View Profile
Re: Outlook exchange proxy
« Reply #1 on: November 24, 2017, 10:17:02 am »
Les débutants gagnent à présenter leur situation selon le formulaire indiqué en A LIRE EN PREMIER.

Quote
j'ai mis en place un proxy http et https transparent.
Normalement, un proxy NE PEUT PAS être transparent en HTTPS (de façon évidente !). Sauf utilisation d'un truc malhonnête ou illégal ....

Or un Outlook 2013 (et >) sait, tout seul, passer en ActiveSync (en HTTPS, avec certificat) quand il n'atteint pas le serveur Exchange en MAPI.

De facto, cela me semble incompatible avec un proxy transparent (et parfaitement compatible avec un proxy explicite ou via WPAD).


Combien de fois faudra-t-il écrire que le proxy transparent est une fausse bonne idée ?
Combien de fois faudra-t-il écrire que SSL_BUMP est sans doute illégal ?

(J'aurais pensé que votre premier fil vous aurait fait réfléchir au mauvais choix que vous aviez fait avec proxy transparent et SSL_BUMP sur pfsense, mais non vous insitez !
Cette fois ci peut-être ...)

Non seulement je donne les éléments d'explication, mais je donne une façon de traiter et résoudre le problème dans le respect de la légalité !
« Last Edit: November 24, 2017, 10:26:10 am by jdh »
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline elberton

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Outlook exchange proxy
« Reply #2 on: November 25, 2017, 01:19:51 am »
j'ai un logiciel d'identification qui ne me permet pas de passer en proxy manuel et dont je n'ai pas le contrôle. c'est la société éditrice qui m'a demandé de faire un proxy transparent ! sinon problème de remonté sur leurs serveurs.
et je me souviens très bien de mon 1er post car ce n'ai pas pour le même site et j'ai bien mis pour mon site administratif un proxy manuel et qui fonctionne !


Offline jdh

  • Hero Member
  • *****
  • Posts: 1703
  • Karma: +43/-11
    • View Profile
Re: Outlook exchange proxy
« Reply #3 on: November 25, 2017, 03:52:59 am »
Sur un site important, il y a une machine à affranchir.
Comme les fax, ce type de machine va devoir muer avant 2020 puisque ce sera la fin des lignes RTC analogiques.
Or, le fabricant de cette machine nous a fourni un kit permettant de la connecter en ethernet.
On pourrait penser que les ingénieurs ont imaginé une connexion super sécurisée via le web pour nous facturer les timbres créés.
Mais, bien que super intelligents, ils n'ont pas pensé à ce qu'il y ait un proxy sur le réseau : aucun réglage pour le définir !
C'est dire ce que je pense d'eux ...

Cela arrive que des ingénieurs, pas ingénieux, conçoivent des systèmes sans jamais penser à l'implantation chez le client ...

J'ai donc les 2 règles suivantes, et dans l'ordre :
- pour un groupe de machines précises, accès direct à Internet pour les protocoles HTTP et HTTPS,
- refus d'accès à Internet pour les protocoles HTTP, HTTPS

Le proxy et cette machine à affranchir font partie du groupe autorisé, forcément.
Les autres machines ont donc accès à Internet à condition de passer par le proxy.


Votre premier fil est dans la même exacte configuration : Squid + SSL_BUMP sur pfSense.
Je préconise TOUJOURS d'arrêter cette config folle et irréflechie :
proxy explicite et dédié hors de pfsense (avec les 2 règles indiquées), et sans SSL_BUMP bien sûr.

J'espère que vous avez bien compris que c'est à cause de SSL_BUMP que la connexion à Exchange ne fonctionne pas ..
Demain, les sites HTTPS sécurisés avec HSTS ne fonctionneront pas avec SSL_BUMP ... (cf https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security )
« Last Edit: November 25, 2017, 03:58:37 am by jdh »
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)