Reverse Proxy oder Relay in der DMZ - Mit Windows?

[PatrickKByte 12]

Guten Morgen, Freunde,

 

wir haben in unterschiedlichen VLANs zwei Domänen mit jeweils eigenen DCs, DNS und Exchange Server (2010 und 2013).

Aus technischen Gründen steht nur eine öffentliche IP auf ISP-Seite zur Verfügung, und ich habe das simple Problem, dass ich den Port 25 nur EINMAL weiterleiten kann.

 

Ich bin neu im Thema ARR/TMG und würde mich über ein paar Tips / HowTos freuen.

Meine aktuellen Entwicklungen laufen in Richtung NGINX als Reverse Proxy für SMTP, HTTP und HTTPS - das wäre an und für sich das, was ich mir für einen DMZ-Server auf Windows-Basis wünschen würde (aufgrund der besseren Bearbeitbarkeit).

 

Ich hoffe auf ein paar Ideen und Best Practices.

Danke im Voraus!

 

patrick

[RobertWi 81]

Moin,

 

HTTP/S kannst Du via ARR oder WAP lösen. Beides hat Vor- und Nachteile. Ich selbst benutze bei mir WAP mit Pass-Through. Das funktioniert für Exchange (OWA, OA, EAS), RD-Gateway und ADFS für Office 365 problemlos. Die Einrichtung ist ein wenig "sperrig" und hat ein paar lustige (aus meiner Sicht) Bugs.

 

Was Du darüber aber nicht gelöst bekommst, ist SMTP. Das bekommst Du IMHO nur mit einem vorgelagerte Mail-Server hin, der dann Mails je nach Empfänger in unterschiedliche Domänen relayed. Eventuell bekommt man das mit dem SMTP vom IIS hin, habe ich aber schon lange nicht mehr benutzt.

[Alith Anar 39]

@Patrick

 

Wir haben bei uns die gleiche Problematik

Für die SMTP Weiterleitung verwenden wir uns Mailcleaner für die Verteilung auf die unterschiedlichen Umgebungen.

Raus gehen die Mails direkt, ohne Umweg über den den Mailcleaner. 
Nachteilig ist, das sich die Application gerne mal aufhängt, weshalb ich die VM bei uns alle 4 Stunden zwangsneustarte.

Für die Weiterleitung auf die unterschiedlichen Sub-URLs verwende ich bei uns jetzt einen IIS mit ARR.
Von Microsoft selbst (IMHO) eher schlecht dokumentiert in sofern wird google vermutlich dein wichtigster Verbündeter ;)

[Daniel -MSFT- 129]

Was Du darüber aber nicht gelöst bekommst, ist SMTP. Das bekommst Du IMHO nur mit einem vorgelagerte Mail-Server hin, der dann Mails je nach Empfänger in unterschiedliche Domänen relayed. Eventuell bekommt man das mit dem SMTP vom IIS hin, habe ich aber schon lange nicht mehr benutzt.

 

Das müßte mit einem IIS gehen, der mit Split DNS die internen IP-Adressen als MX für die SMTP-Domänen bekommt.

[MrCocktail 191]

und wieso nicht einfach eine zweite externe IP?

Kostet doch a) nicht die Welt b) erleichtert es vieles...

 

Und wenn man nicht mal gegen Geld beim Provider eine bekommt, kann einfach eine VPN Verbindung für soetwas nutzen...

 

Ich habe lange für zu Hause das hier eingesetzt:

http://tiggerswelt.net/VPN%20Gateway/

 

Gruss

J

[substyle 20]

Sophos UTM kann das alles abbilden. Kann auch nahezu jede bessere UTM Lösung (Watchguard, Juniper etc.)

Noch so als Ideee, der SMTP Dienst mit alle Mails an Smarthost weiterleiten reicht nicht?

 

LG

Lars

[PatrickKByte 12]

Zunächst allen ein herzliches Dankeschön für ihre Beiträge und Hilfen!

Der Einfachheit halber antworte ich in einem Post und nehme gerne Stellung:

 

 

Robert: Was Du darüber aber nicht gelöst bekommst, ist SMTP. Das bekommst Du IMHO nur mit einem vorgelagerte Mail-Server hin

Nun - SMTP ist vorrangig genau das, was ich brauche... HTTP und HTTPS nachfolgend natürlich auch.

 

 

Alith:  Mailcleaner [...] weshalb ich die VM bei uns alle 4 Stunden zwangsneustarte.

Danke für die Idee - und die gleich mitgelieferten Kopfschmerzen :)

 

 

Mr. Cocktail: und wieso nicht einfach eine zweite externe IP?

Ja, das wäre Ihr Preis gewesen :) Fällt leider raus, weil wir mit SDSL von NFON angebunden sind, und man dort auch mit freundlichem Nachfragen keine weiteren IPs bekommt. Damit hätte sich ja meine Frage auch erübrigt...

 

 

Substyle: ...UTM kann das alles abbilden. Kann auch nahezu jede bessere UTM Lösung

Ich bin infrastrukturell an CISCO MERAKI gebunden. Versteh mich nicht falsch, aber das beantwortet ja auch nicht meine Frage.

 

 

Daniel: Das müßte mit einem IIS gehen, der mit Split DNS die internen IP-Adressen als MX für die SMTP-Domänen bekommt.

 

Das klingt doch exakt nach dem, was ich benötigt. Mit nem IIS sollte ich doch dann alles abdecken können:

Verstehe ich dich richtig:

• Server mit IIS und DNS in die DMZ
• Lokale Zonen mit den FQDNs der beiden Exchange-Server und ihre internen IPs
• MX records dort drauf
• mit ARR die HTTP und HTTPS forwarden
• ende gut

 

Kennst du ggf. ein Tutorial dazu?

 

 

 

Allen möchte ich ein herzliches Dankeschön aussprechen!

Einen schönen Tag!

bearbeitet 11. Mai 2014 von PatrickKByte

[h-d.neuenfeldt 21]

Aus technischen Gründen steht nur eine öffentliche IP auf ISP-Seite zur Verfügung

und was spricht dagegen für ~100€ / Monat einen zweiten Anbieter mit ins Boot zu holen ?

 

 

weil wir mit SDSL von NFON angebunden sind, und man dort auch mit freundlichem Nachfragen keine weiteren IPs bekommt.

dann habt ihr für eure Situation den falschen Partner gewählt.

[NorbertFe 1.834]

Vielleicht wurde die Situation ja in der Etage über ihm getroffen, und er muss jetzt damit leben?

bearbeitet 12. Mai 2014 von NorbertFe

[PatrickKByte 12]

Hi,

 

se sind eher pragmatische Gründe:

1) wenn ich jetzt eine Standleitung / SDSL eines anderen Anbieters buche, braucht es ja i.d.R. 4-6 Wochen bis zur Schaltung.

2) ich habe mich dazu entschieden, mit MERAKI zu arbeiten - und wenig Interesse an Neuinvestitionen (nicht nur auf meiner, sondern auch auf Kundenseite).

3) Das Thema "Reverse Proxy" ist ein interessantes - und ich bin an diesem Lösungsweg interessiert.

 

Von daher schaue ich mal nach dem IIS und ARR.

Danke nochmals!

[Alith Anar 39]

@h-d.neuenfeldt

Bei einer DSL Leitung kenne ich keinen Anbieter der dir mehr als eine IP zur Verfügung stellt. Wenn du da welche kennst, bin ich ganz Ohr :)

[MrCocktail 191]

@Altilh Anar:

T-Com auf den Business Verträgen (ich kenne einen, der 12)

EWE TEL gegen entsprechendes Kleingeld

Vodafone meine ich mehr wie eine zu haben

 

EWE Tel schaltet dir sogar dein eigenes /24 auf, wenn du eines besitzt :-)

 

@Patrick:

Naja, daher ja der Hinweis auf die entsprechenden VPN Anbieter...

Gibt auch mehr wie tiggerswelt....

bearbeitet 12. Mai 2014 von MrCocktail

[Alith Anar 39]

Bei der T-Com gibt es zusätzliche IPs aber nur über eine kostenpflichtige Mitbenutzerkennung für die du dann zusätzliche Einwahlgeräte benötigst.
Zumindest so die Aussage der T-Com uns gegenüber die vor dem gleichen Problem stehen.

[MrCocktail 191]

Wie sie es gelöst haben, kann ich dir nicht sagen.

Ich weiss nur, dass sie momentan 12 feste IPs haben und nutzen können ... und ich kann mir kaum vorstellen, dass NFON sich so unflexible zeigt, mehr wie eine IP aufzuschalten, wenn der Preis stimmt....

[Alith Anar 39]

Ich vermute mal du sprichst von einer Company Connect. Die haben mehr IP Adressen - vollkommen korrekt. die normalen Business DSL Verträge gehen aber nicht.