Dans la partie précédente, nous avons préparé le terrain pour le rôle de Transport Edge. Dans ce chapitre, nous allons passer un peu de temps sur le firewall pfSense. En effet, il faut paramétrer les ports nécessaires sur les trois interfaces : WAN, LAN et DMZ.

Machine virtuelle nécessaire pour ce chapitre :

• AD-SERVER : Ok – voir ici
• EX-SERVER1 : Ok – voir ici
• Firewall pfSense : Ok – voir ici
• Règle pfSense Edge : Ok – ci-dessous
• EX-EDGE : NOk
• EX-DAG : NOk

Mais aussi :

• Nom de domaine : pixelabs.fr
• ISO Exchange Server 2016 : Voir ici

Configuration réseau EX-EDGE

Allez un petit rappel encore une fois :

• Adresse IP : 10.0.0.2
• Masque : 255.0.0.0
• Passerelle : 10.0.0.1
• DNS : 172.16.1.4

Remaque : le serveur ne doit pas être membre du domaine (pixelabs.lan)

Installation du rôle AD LDS

Active Directory Lightweight Directory Services (AD LDS) doit être installé sur le serveur EX-EDGE afin d’y stocker les paramètres de configuration du rôle Transport Edge. Il permet aussi de répliquer en lecture seule les données à partir du serveur Exchange principal EX-SERVER1.

Les ports utilisés pour l’accès à LDAP ne correspondent pas aux ports standards (389/TCP). En effet, les échanges LDAP entre le serveur Exchange principal et le serveur Edge se font via les ports 50389/tcp et 50636/tcp.

Remarque : Le port 50389/TCP est utilisé localement pour établir la liaison avec l’instance AD LDS. Ce port ne doit pas être ouvert sur le pare-feu. Il est utilisé localement sur le serveur de transport Edge. Source : technet.microsoft.com

Connectez-vous à votre Edge : EX-EDGE. Gestionnaire de serveur > Gérer > Ajouter des rôle et fonctionnalités

• Cliquez sur Suivant
• Installation basée sur un rôle ou une fonctionnalité <Suivant>
• Laissez par défaut <Suivant>
• Cochez la case : Services AD LDS (Active Directory Lightweight Directory Services )
  • Cliquez sur : Ajouter les fonctionnalités
• Cliquez sur Suivant x3
• Cliquez sur Installer

A la fin, il vous demandera d’exécuter l’assistant d’installation des services AD LDS. NE RIEN FAIRE. Fermez la fenêtre. Rendez-vous sur le serveur AD : AD-SERVER.

Configuration DNS AD-SERVER

Connectez-vous à votre contrôleur de domaine, AD-SERVER.

• Lancez la console DNS : Gestionnaire de serveur > Outils > DNS
• Effectuez un clic droit sur la Zone de recherche inversée
  • Nouvelle zone… <Suivant>
  • Zone principale <Suivant>
  • Laissez par défaut <Suivant>
  • Zone de recherche inversée IPv4 <Suivant>
  • ID réseau : 10.0.0 <Suivant>
  • Laissez par défaut <Suivant>
  • Terminer

Dans la zone de recherche directes

• Effectuez un clic droit sur votre domaine privé : pixelabs.lan
  • Nouvel hôte (A ou AAAA)…
    • Nom : EX-EDGE
    • Adresse IP : 10.0.0.2 (@IP du serveur EX-EDGE)
    • Cochez la case : Créer un pointeur d’enregistrement PTR associé
• Faire la même chose pour votre domaine public, effectuez un clic droit sur : mailhost.pixelabs.fr
  • Nouvel hôte (A ou AAAA)…
    • Nom : EX-EDGE
    • Adresse IP : 10.0.0.2 (@IP du serveur EX-EDGE)
    • Cochez la case : Créer un pointeur d’enregistrement PTR associé

Suffixe DNS principal

Pour qu’il y ait une résolution de nom, il faut ajouter le suffixe DNS principal sur le serveur Edge.

• Effectuez un clic droit sur Ce PC (ou Ordinateur)
  • Propriétés
  • Paramètres système avancés
  • Onglet Nom de l’ordinateur
  • Modifier
  • Autres…
  • Ajoutez le suffixe principal : pixelabs.lan

• Validez et redémarrez la machine.

Règles Firewall pfSense

Nous allons maintenant mettre en places des règles pare-feu afin d’autoriser uniquement les ports nécessaires pour le bon fonctionnement de notre infrastructure Exchange.

Ce qu’on cherche :

• WAN <—> DMZ : nous allons autoriser uniquement les ports nécessaires (il est possible d’autoriser tout le trafic)
• LAN —> DMZ : Tout est déjà autorisé par défaut par pfSense.
• DMZ —> LAN : contrairement ici, on doit autoriser uniquement les ports nécessaires et bloquer le reste.
• LAN —> WAN : on laisse une connexion internet quand même pour le LAN ? c’est déjà le cas par défaut.

WAN to DMZ Rules

Depuis le contrôleur de domaine ou votre machine de test, lancez l’interface web pfSense :

https://172.16.1.1

Remarque : dans la première partie, j’ai mis en place une règle NAT Port Forwarding. J’ai redirigé le port SMTP depuis le réseau WAN vers LAN afin de tester l’envoi et la réception des messages depuis le serveur Exchange.

Il faut modifier cette règle pour pointer le port vers le serveur Edge (DMZ).

• Allez dans le menu : Pare-feu > NAT > Transfert de port
• Cliquez sur l’icône : Modifier la règle (en forme de crayon)
  • Interface : WAN
  • Protocole : TCP
  • Destination : WAN address
  • Plage de port de destination :
    • Du port : SMTP
    • Au port : SMTP
  • IP de redirection cible : 10.0.0.2 (EX-EDGE)
  • Port de redirection cible : SMTP
  • Description : NAT SMTP WAN TO DMZ
• Enregistrer / Appliquer les modifications

Visualiser la règle depuis le menu : Pare-feu (Firewall) > Règle (Rules) > WAN

Nous allons effectuer un test de port SMTP plus loin.

LAN to DMZ/WAN Rules

Pour l’interface LAN, j’ai laissé par défaut les deux règles existantes + la règle anti-blocage (pour pouvoir se connecter sur l’interface web pfSense). Ce qu’il faut surtout contrôler, c’est le trafic entrant depuis le réseau DMZ/WAN.

DMZ to LAN/Any Rules

Allez dans l’onglet DMZ (ou OPT1, l’interface peut être renommée depuis le menu Interfaces) : Pare-feu > Règles > DMZ

Nous allons mettre en place 6 règles pare-feu :

• Cliquez sur le bouton vert (flèche vers le haut)
  • Action : Autoriser
  • Interface : DMZ
  • Famille d’adresse : IPv4
  • Protocole : TCP
  • Source : DMZ net
  • Destination : LAN net
    • Plage de port de destination : de SMTP (25) A SMTP (25)
  • Description : Allow SMTP DMZ to LAN
  • Enregistrer / Appliquer les modifications

---

• Cliquez sur le bouton vert (flèche vers le bas)
  • Action : Autoriser
  • Interface : DMZ
  • Famille d’adresse : IPv4
  • Protocole : TCP/UDP
  • Source : DMZ net
  • Destination : LAN net
    • Plage de port de destination : de DNS (53) A DNS (53)
  • Description : Allow DNS DMZ to LAN
  • Enregistrer / Appliquer les modifications

---

• Cliquez sur le bouton vert (flèche vers le bas)
  • Action : Autoriser
  • Interface : DMZ
  • Famille d’adresse : IPv4
  • Protocole : TCP
  • Source : DMZ net
  • Destination : LAN net
    • Plage de port de destination : de (autre)  A (autre)
    • De : personnalisé : 50636
    • A : personnalisé : 50636
  • Description : Allow LDAP DMZ to LAN
  • Enregistrer / Appliquer les modifications

---

• Cliquez sur le bouton vert (flèche vers le bas)
  • Action : Bloquer
  • Interface : DMZ
  • Famille d’adresse : IPv4
  • Protocole : Tous
  • Source : tout
  • Destination : LAN net
  • Description : Block All DMZ to LAN
  • Enregistrer / Appliquer les modifications

---

• Cliquez sur le bouton vert (flèche vers le bas)
  • Action : Autoriser
  • Interface : DMZ
  • Famille d’adresse : IPv4
  • Protocole : TCP
  • Source : DMZ net
  • Destination : tout
    • Plage de port de destination : de SMTP (25) A SMTP (25)
  • Description : Allow SMTP DMZ to Any
  • Enregistrer / Appliquer les modifications

---

• Cliquez sur le bouton vert (flèche vers le bas)
  • Action : Bloquer
  • Interface : DMZ
  • Famille d’adresse : IPv4
  • Protocole : Tous
  • Source : DMZ net
  • Destination : tout
  • Description : Block All DMZ to Any
  • Enregistrer / Appliquer les modifications

C’est terminé.

Résolution de nom DNS

Vérifiez si la résolution de nom se fait bien depuis le serveur EX-EDGE. Lancez une invite de commandes :

C:\Users\Administrateur#> nslookup

C:\Users\Administrateur#> nslookup ex-edge

Remarque : Si la valeur Serveur par défaut affiche Unknown, vous avez oublié l’enregistrement du pointeur PTR (zone de recherche inversée) sur le contrôleur de domaine. Assurez-vous également que l’adresse IPv6 est en automatique.

Test SMTP(25) Connectivity

Si le port ne fonctionne pas, ce n’est pas la peine d’aller plus loin, Nous allons donc nous en assurer depuis le serveur Edge à l’aide de l’outil Microsoft Remote Connectivity Analyzer.

Lancez IE ou Firefox si vous l’avez installé comme moi et allez à cette adresse : https://testconnectivity.microsoft.com/

Euh…bon, ça ne fonctionne pas… super

Retournez dans pfSense : Pare-feu > Règles > DMZ

• Cliquez sur le bouton vert (flèche vers le bas)
  • Action : Autoriser
  • Interface : DMZ
  • Famille d’adresse : IPv4
  • Protocole : TCP
  • Source : DMZ net
  • Destination : tout
    • Plage de port de destination : de HTTPS (443) A HTTPS (443)
  • Description : Allow HTTPS to DMZ
  • Enregistrer / Appliquer les modifications
• Déplacer la règle au dessus de la dernière règle (Block All DMZ to Any)

Retournez sur le site : https://testconnectivity.microsoft.com/ 

Dans la zone : Internet Email Tests :

• Cochez Inbound SMTP Email
• Cliquez sur Next
• Email address : mettez une adresse mail Exchange (EX-SERVER1) : adam.arouine@pixelabs.fr
• Entrez les caractères de vérification et cliquez sur Verify.
• Cliquez sur Perform Test

Remarque : en cas de problème, vérifiez bien vos enregistrements MX et la redirection de port 25 depuis votre box. Il est possible également de tester les ports depuis pfSense > Diagnostics > Port test

Connecteurs de réception

Sur le serveur Exchange : EX-SERVER1, il y a une petite modification à faire sur les connecteurs de réception. Il faut simplement rétablir les paramètres par défaut.

Lancez l‘ECP  (Exchange Control Panel) > flux de courrier > connecteur de réception.

• Effectuer un double clic sur : Client Frontend EX-SERVER1
  • Onglet : sécurité
    • Cochez la case : Authentification du serveur Exchange
  • Onglet : étendue
    • Tout en bas, FQDN : EX-SERVER1.pixelabs.lan 
• Valider
• Refaire exactement la même chose sur les deux connecteurs suivant :
  • Default EX-SERVER1
  • Default Frontend EX-SERVER1
• Pour le reste, ne rien modifier.

Je m’arrête ici. Nous verrons dans le prochain chapitre l’installation et la configuration du rôle de Transport Edge.

Bonne journée et à très bientôt.