Hello à tous.
 
J'ai un serveur Exchange 2007 sur mon lan, que je n'ai pas installé mais j'ai la main dessus si nécessaire, j'aimerais essayer de l'ouvrir à l'extérieur pour que mes utilisateurs qui ont ont pc portable puissent récupérer leur calendrier et autres fonctionnalités exchange où qu'ils soient.
 
En théorie ai-je lu ici, je dois placer un reverse proxy, par exemple squid, pour faire le lien entre mes clients et mon server Exchange
 
Mon problème : Je ne l'ai jamais fais en pratique.
 
Compilation de squid :    

création du cache    

 
génération de l'autorité de certification, de la clé, etc...    
http://www.linux-france.org/prj/ed [...] 24s03.html
 
Contenu de mon /usr/local/squid/etc/squid.conf  (merci à Clockover pour le lien http://www.clockover.org/index.php [...] 14&page=45 )
 

 
Pas d'erreur dans /var/log/message :    

 
Un petit doute sur ces lignes là peut-etre :    

 
Résultat : Ca ne fonctionne pas
J'ai mis l'adresse ip du proxy squid comme proxy exhange, j'ai toujours "tentative de connexion en cours" puis "deconnecté".
Je ne sais pas où regarder pour trouver une piste, access.log et store.log sont vide.
contenu de cache.log :
 
 

 
Une idée ?

J'ai généré ensuite un certificat avec openssl
openssl genrsa -des3 -out 1024 intranet.key 1024
openssl req -new -key 1024 intranet.key -out intranet.crt
 
 
Mais j'ai une erreur "Failled to acquire SSL certificate : ...PEM_read_bio:no start_line

Si ca peut t'aider voici une procédure qui marche:
http://www.clockover.org/index.php [...] 14&page=45

 
   
Punaise t'es un tueur !!
 
Je teste ca dessuite  

Question probablement idiote :  
# Ouvrir le fichier $$NOM_FQDN$$.csr et transmettre son contenu à votre autorité de certification.
# Placer le certificat retourné avec votre clé.
 
Mon autorité de certification, c'est quoi ? Le serveur Exchange ? openssl ? une société tierce ? Autant que possible j'aimerais etre ma propore autorité de certification.
 
Question super débile : $$NOM_FQDN$$ , c'est le nom de mon serveur squid sur le réseaux ? Ou je peux mettre ce que je veux ?

Soit c'est ton openssl mais ton certificat ne sera pas reconnu publiquement, soit c'est un prestataire.
 
Chez gandi par exemple cela coûte 12€ pour un ans.
 
$$NOM_FQDN$$ => tu peux mettre ce que tu veux ce n'est qu'un nom de fichier. Mais de cette manière tu sais immediatement ce qu'il certifie.

Je vais pour commencer me le générer, j'ai trouvé le tuto qui va bien.
Ok, merci des infos      

Ca a bien avancé, j'ai édité le premier post.
J'en suis à "en théorie ca marche, mais en fait non "

Un
Je sais pas par où avancer là

Précison : La partie -----BEGIN SSL SESSION PARAMETERS----- et ce qui suit n'apparait que si mon outlook est lancé depuis un poste dont la passerelle permet d'accéder directement au serveur exchange, et je suis connecté. Super, mais pour le coup impossible de savoir si je passe bien par le proxy. Si je me coupe de l'exchange, (mais le proxy y a accès bien sur), et que bien sur j'ai accès au proxy, rien ne se passe, je n'ai pas les "-----BEGIN SSL SESSION PARAMETERS-----..." qui apparaissent dans les logs.
 
Non en fait, j'ai rien dis

Ca raconte quoi dans ton event viewer ? (appli, security, system) ?
 
Tu as déjà essayé en auth de base ?

et bête question, Firewall on avec règle(s), ou off ?

Pour le moment, l'exchange il ne gère que des calendriers partagé en local.
 
Pas de parefeu entre moi et l'exchange, entre moi et le proxy squid, entre le squid et l'exchange, donc là on est tranquil de ce point de vue.
 
Oui, auth de base, j'ai essayé, sans succès, à part que ca me demande en plus de saisir mon mot de passe ad.
J'ai essayé autoriser le déchargement, ne pas l'autoriser, etc...
Je patauge lamentablement sans pistes, car le proxy ne bronche pas, il ouvre des sessions SSL et les referme, tranquil sans messages d'erreurs
 

Tu avais une config fonctionnelle sans le proxy ?
 
Si pas, commence par là. Une fois que ca tourne sans le proxy, tu le rajoutes dans la chaine.
 
Je ne connais pas Exchange 2007, mais est-ce que le rôle CAS (donc accès client) ne travaille pas sur base de groupes ? (donc dans l'AD sur ton serveur exchange tu aurais des groupes dédiés à Exchange où tu devrais ajouter soit les users/groups ou postes pouvant se connecter a Exchange).
 
Et tu as skippé ma question précédente: pas de messages particuliers dans l'event viewer sur ton serveur exchange ?

Je sais que c'est pour le 2003 mais si ça utilise toujours du RPC over HTTP(s), tu auras peut-être des infos ici :
 
http://www.petri.co.il/how-can-i-c [...] enario.htm
 
dans la partie "Configure the RPC proxy server to use specific ports". Donc le RPC proxy a besoin d'utiliser des ports spécifiques pour interroger l'AD.

Ici tu as une intégration ISA 2006 et Exchange 2007 pour outlookw anywhere :
 
http://www.petri.co.il/outlook_any [...] server.htm
 
La seule chose que je vois, c'est que toi tu as utilisé une adresse ip et pas un FQDN pour définir tes params.
 
Et autre bête question : dans ton IIS, tout est ok ?

Tu avais une config fonctionnelle sans le proxy ? : Partage de calendrier ok, owa via https://ipserverexchange/owa fonctionne aussi. Sans proxy j'ai pas de soucis. mais comment tester spécifiquement le rpc over http dans mon LAN ?
 
Je ne connais pas Exchange 2007, mais est-ce que le rôle CAS (donc accès client) ne travaille pas sur base de groupes ? (donc dans l'AD sur ton serveur exchange tu aurais des groupes dédiés à Exchange où tu devrais ajouter soit les users/groups ou postes pouvant se connecter a Exchange).
Tu essaies de me dire qu'une des causes possible serait que ma debian ne serait pas dans le domaine ? Je viens de demander à notre "expert" exchange, il me dit que non, en workgroup c'est pas un soucis.
En fait pour tout te dire, moi exchange ca me passe un peu loin, j'ai pas configuré ce serveur, je l'ai e, parti sur les bras suite à des problèmes internes, mais vraiment je suis loin de maitriser mon sujet.
 
Et tu as skippé ma question précédente: pas de messages particuliers dans l'event viewer sur ton serveur exchange ?
ClicDroit poste de travail, gérer, Observateur d'évenement ? Rien ne me choque    

Si dans le param local (Outlook 2007) tu as coché la case qui active la connection HTTP(s) même sur les réseaux rapides, ton outlook en local va se connecter en HTTP(s) plutôt qu'en TCP. Pour vérifier, tu as ça : http://technet.microsoft.com/en-us [...] 65%29.aspx (CTRL + click droit sur l'icone dans la notification area, connection status).
 
Pour le CAS, je voulais simplement m'assurer que ton user avait accès ^^ (mais en y réfléchissant, chaque user ayant un mailbox doit par défaut avoir les attributs ...)
Et je parlais bien de l'observateur d'évènements
 
Par contre OWA et outlook anywhere sont deux choses différentes Chez nous on avait l'OWA mais pas d'outlook anywhere par exemple. Donc le seul moyen de tester si la config HTTPS est bonne c'est de voir si ton outlook local arrive bien à se connecter en HTTPS plutôt qu'en TCP.

 
Donc en gros, si sur ce screenshot l'ip était celle de ton SQUID, tu mets l'adresse de ton exchange.. maintenant je me demande même si au final ce ne sera pas toujours l'adresse de l'exchange que tu mettras.

 
Oui, j'ai voulu faire ça, sauf que ca ne garantis rien à mon avis, car lis bien le libellé : "Se connecter d'abord avec le HTTP, puis avec le TCP/IP
Donc je confirme qu'en mettant l'ip de l'exchange à la place de l'ip du proxy, ca fonctionne.
Ce qui me fait douter (ENORMEMENT), c'est qu'en mettant l'IP du proxy ca marche aussi en local, et dès que je me coupe de l'exchange (tout en ayant acces au proxy), ca ne fonctionne plus.
D'où mon idée que ca essaye en http puis si ca marche pas va en TCP

Si dans le param local (Outlook 2007) tu as coché la case qui active la connection HTTP(s) même sur les réseaux rapides, ton outlook en local va se connecter en HTTP(s) plutôt qu'en TCP. Pour vérifier, tu as ça : http://technet.microsoft.com/en-us [...] 65%29.aspx (CTRL + click droit sur l'icone dans la notification area, connection status).
 
Suis sur 2003. mais pour tester je peux upgrader    

Sympa ton lien : J'ai du TCP/IP partout    
Comment savoir si il a au moins essayé en https  

Normalement tu as une option en ligne de commande pour le voir à l'ouverture d'outlook, j'essaie de la retrouver (la tu verras qu'il essaye pendant quelques secondes puis il switch).
 
Ton certif SSL a bien comme CN le FQDN de ton serveur exchange ? (sinon au pire tu peux commencer à tester en HTTP simple en décochant la case SSL dans IIS et après adapter dans ton outlook).
 
Concernant le premier lien de Petri que j'avais donné (avec les ports dans la registry), en furetant sur le web, j'ai vu qu'exchange 2007 faisait une config automatique du serveur une fois que tu activais l'outlook anywhere (la config se fait en max 15 min et il y a un event dans l'event viewer).

Lance outlook avec le switch "/rpcdiag" .

Outlook anywhere est actif  

Putain le certificat n'a pas le bon CN, je vais en regénérer un

Tu m'a envoyé un MP. Tu en es où ?
 
Pour clarifier peux-tu nous dire si:
-OWA fonctionne depuis ton LAN via https ou http sur ip-exchange ?
-OWA fonctionne sur fqdn-proxy ?
 
 

"Switch" m'a donné des indications pour essayer de voir si j'arrive à me connecter en http(s) directement au serveur exchange, et pour le moment c'est pas top, je ne me connecte qu'en tcp/ip, et pas en http(s). Alors faut que j'arrive à faire ça d'abord je pense.
 
Pour le OWA, en directe sur l'exchange ça va, monnayant d'accepter un certificat, mais pas via le squid.
Le fait que le certificat de l'exchange n'a pas le bon CN pourrait creer des soucis pour OWA ?
 
D'ailleurs je me gauffre peut-etre sur la méthode, mais comment tester l'owa via squid ?
https://ipsquid/owa ?
Ou mettre l'ip de squid comme proxy https dans mon navigateur ? (ca ca me parait con comme idée...)
J'ai essayé les deux, aucun ne fonctionne, j'ai des messages d'erreur dans cache.log "erreur négociation ssl "
 
Des pistes de progrès ?
 
J'ai pas eu la main sur le serveur exchange aujourd'hui.

mais en fait tu testes comme ça au pif en espérant que ça marche ou tu comprends ce que tu fais et testes ?

La théorie, le serveur exchange était sensé être bien configuré pour owa et outlook anywhere, mais personne n'a eu l'idée de vérifier.
Mon truc à moi c'était d'essayer de monter un reverse proxy pour ouvrir l'exchange à l'exterieur. Sauf que à l'évidence ya comme un soucis, alors faut bien que j'essaie de tester et de comprendre.
Et oui, je comprends une parti de ce que je fais, générer un certificat, l'envoyer à une autorité de certification, importer ce certificat via la console exchange...
Après ce qui fait qu'un outlook anywhere installé et theoriquement bien configuré ne rempli pas son office (oh le jeu de mot...), là par contre j'ai aucune idée du pourquoi du comment.
Donc en premier lieu, j'aimerai essayer de lui faire remplir son office plutôt que de dire "j'ai jamais fais, je sais pas faire, alors on fait pas".
Si j'avais jamais du essayer de faire des choses qu'on m'a pas apprise, j'aurais jamais fais grand chose.
Alors oui, j'y connais rien en exchange2007, mais si je pouvais faire avancer la problématique outlookanywhere plutot que de la laisser en carafe comme l'ont laissé ceux qui étaient sensés s'en occuper avant, ca serait pas un mal.
D'où mes questions à priori débiles pour toi, mais qui pour moi importent...

Et oui, on est toujours ipv4 nous

Déjà t'occupes pas de Outlook Anywhere. Fait tes tests avec OWA si il éarche en direct exchange.
 
Pour le test OWA via squid, il faut que tu ailles à l'adresse:
http(s)://nom-fqdn-public-de-ton-squid/owa

Bonjour à vous et merci pour ce post !
Je suis moi aussi en train d'essayer de mettre un squid en reverse proxy pour un exchange 2010 et j'avoue que les informations de clockover sont précieuses. Il manque juste des informations sur le lancement en automatique de squid.

Cependant, je rencontre un problème :
lorsque je lance squid (via /usr/local/squid/bin/Runcache), ca ne fonctionne pas et je retrouve des erreurs dans le log de squid (/usr/local/squid/var/log). Le problème semble concerner les certificats :

Startup: vendredi 11 juin 2010, 14:09:56 (UTC+0200)
2010/06/11 14:09:56| Failed to acquire SSL private key '/usr/local/squid/certifs/webmail.crt': error:0906D06C:PEM routines:PEM_read_bio:no start line
2010/06/11 14:09:56| parseConfigFile: squid.conf:5 unrecognized: 'key=/usr/local/squid/certifs/webmail.key'
2010/06/11 14:09:56| parseConfigFile: squid.conf:6 unrecognized: 'defaultsite=mail.gys.fr'
2010/06/11 14:09:56| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 14: http_access deny all

Pour information, mon certificat est autosigné en utilisant les méthodes listées ici.
Mon serveur est une ubuntu 9.10 avec squid 2.7 (idem avec squid 3)

Merci à vous

la syntaxe de ton fichier est pas bonne et ta pas d'ACL all, c'est bien expliqué

Oui j'ai trouvé : il faut tout mettre sur une ligne pour :
 
https_port 443 cert=$$CHEMIN_VERS_CERTIFICAT_PUBLIC$$  
key=$$CHEMIN_VERS_CLE_CERTIFICAT$$
defaultsite=$$NOM_FQDN$$
 
et rajouter la ligne  
acl all src 0.0.0.0/0.0.0.0 avec l'autre acl
par contre ca ne fonctionne pas. (((
 
Mon firefox me dit :
 
Le certificat du pair a une signature invalide.
 
(Code d'erreur : sec_error_bad_signature)
 
j'essaie pourtant depuis le serveur squid en ayant ajouter les certificats...

comment il squate mon topic lui

tuxbleu, as-tu avancé ?

J'ai eu un taf monstre, je me repenche dessus cette semaine.
Je crois que pour commencer, mon problème vient de l'exchange lui meme qui a l'air d'être mal configuré pour outlook anywhere car j'arrive pas à communiquer avec lui en http(s).
Je vais commencer par regénérer un certificat autosigné avec le bon CN (ce qui n'est pas le cas aujourd'hui).
A la suite de quoi je verrais comment recommencer depuis le début le paramétrage de Outllok anywhere.
Quand j'aurais réussi à communiquer (et vérifier) en https directement, je me repencherais sur le proxy squid.
 
Faut que ca avance cette histoire