Secure Proxy/Load Balancer vor Domino Servern (Cluster)

[(h)uMan]

Hallo,

wer nutzt "nginx" oder "HA Proxy" als Secure Proxy/Load Balancer für Notes, HTTPs, IMAPs und LDAPs Verbindungen zu einem Domino-Cluster (2 Domino 12.0.2 FP1 Server) und könnte seine Eindrücke, Erfahrungen und Tipps mitteilen?

Leitet ihr die Notes Client mit Port 1352 auch über den Proxy?
Leitet ihr Verbindungen aus dem internen Netzwerk zu den Diensten auf den Domino Servern auch grundsätzlich über den Proxy?

SG, Uwe

[shiraz]

Hallo Uwe,

wen der Empfänger ein O365-Konto hat ist es kein Problem, aber wenn der Empfänger mit Outlook und IMAP die Mails von Provider abholt (z.Bs. 1&1) klappt es nicht.

[MaVo]

Hallo Uwe,

ich hatte mal in einem Projekt einen HAProxy vor einem Domino Cluster. Über diesen wurde SMTP und HTTP an die Server durchgereicht.

Für iNotes/Verse musste jedoch folgende notes.ini gesetzt werden, damit die Benutzer richtig mit der Mailbox arbeiten konnten:

Code

iNotes_WA_UseRelativeUrl=1

Wenn ich die TCP Loadbalancing Erklärung richtig verstehe, müsste auch LDAP und IMAP über diesen Weg realisierbar sein. https://www.haproxy.com/documentation/aloha/latest/load-balancing/protocols/tcp/

TCP
HAProxy ALOHA can operate as a TCP proxy, in which TCP streams are relayed through the load balancer to a pool of backend servers. The TCP stream can carry any higher-level protocol such as HTTP, SMTP, Redis, MySQL, NFS, or others.

VG
Martin

[Patrick Schneider]

Hallo,

HAProxy läuft problemlos mit HTTPS/HTTP (HTTPS-Config) und SMTP (TCP Port).
Bei SMTP muss man beachten, dass für Domino dann jeglicher Mailverkehr von der HAProxy-IP-Adresse stammt (DNS-Blacklists oder IP-Adressen-Filter kann man daher nicht mehr auf Domino nutzen).
Bei NRPC (1352) als LoadBalancer per HAProxy würde das wohl nicht funktionieren, Der Notes-Client will ja ServerX/Org über Adresse serverx.domain.de erreichen. Erreicht er stattdessen ServerY/Org über serverx.domain.de, wird er sich beschweren und die Verbindung verweigern.

Viele Grüße,
Patrick

[Pfefferminz-T]

NRPC hat ja beim Domino Cluster schon eine eigene HA dabei und leitet auf den Clusterpartner um, da sehe ich den Mehrwert für einen Proxy nicht. Unabhängig davon ob es funktionieren würde.

[(h)uMan]

Danke für die Infos.

Primär sollen die Webmail (https) und IMAP (imaps) Clients nicht mehr direkt den Zugriff auf die Domino-Server (Mail-DBs und Anwendungen) erhalten, sondern über einen Proxy mit transparenten Failover/Load-Balancing.

Für SMTP nutzen wir separate SMTP Gateways (Linux mit Postfix, hier erfolgt auch die ganze SPAM Prüfung etc.).
Die Domino-Server empfangen und senden Mails über die SMTP Gateways.
De IMAP Clients verwenden die SMTP Gateways für den Versand.