Ennesimo nuovo nubbio

maestrale

Prima di tutto un saluto a tutti.
Sto cercando di metter su Pfsense come firewall in ditta , ma essenndo l'ennesimo nubbio sto riscontrondo un po' di problemi.
L'architettura è cosi fatta da una parte la lan con il server di posta (niente dmz) dall'altra dispongo di 2
wan.
Volevo quindi utilizzare le 2 wan in failover ed eventualmente load balancer…..
Ho seguito la guida e son riuscito a far funzionare il failover e load balancer ma non riesco assolutamente a far funzionare la posta.... sic
Come soprascritto il server di posta è nella lan ed è un server Zimbra. ho letto e riletto post e guide ma assolutamente quando attacco pfsense non invio ne ricevo piu la posta.
Non capisco dove sbaglio di seguito vi elenco le regole che ho inserito sulla lan e sulla wan (tralasciamo per adesso opti1, la 2° wan, Sulla quale per non far confusione ho abilitato tutto il traffico senza restrizioni)
interfaccia WAN:
Proto      Source  Port    Destination  Port    Gateway
TCP/UDP  *  *  192.168.1.200  posta  *  (posta è un alias per le porte 25,110,143)
TCP/UDP  *  *  192.168.1.200  22 (SSH)  *
TCP/UDP  *  *  192.168.1.200  80            *
interfaccia LAN:
Proto        Source      Port    Destination    Port                Gateway
*        LAN net    *  192.168.1.0/24    *          192.168.254.254
*        LAN net    *  OPT1 net            *            192.168.0.254
TCP        LAN net    *            *        25 (SMTP)  192.168.254.254
TCP/UDP 192.168.1.200  *            *            posta        192.168.254.254 
*        LAN net    *            *            *              load balance

Il gateway predefinito per la posta è il 192.168.254.254 l'indirizzo ip del server zimbra è 192.168.1.200
Un grazie anticipato per chiunque potrà darmi una mano....

maestrale

Rileggendo ho fatto un numero spropositato di errori ortografici , mi scuso, non ho riletto e ho postato cmq perchè dovevo scappare via.
Vi posto qui le immagini della configurazione delle regole
per la wan…

…e per la lan

Così è più leggibile sicuramente, scusate di nuovo….
Mi basterebbe sapere se le regole per il server di posta (192.168.1.200), che è interno alla lan,  così impostate sono giuste o no.
Grazie di nuovo.

Zanotti

A vederle così sembrano a posto le regole ma sarebbe più utile che postassi anche uno screenshot di quello che hai in NAT.
Vedo che usi il load balancer, quindi suppongo che hai 2 wan, quindi se hai problemi di posta posso pensare che il tuo server di posta abbia problemi per via dell'ultima regola che è appunto quella del load balance.
Sarebbe anche d'aiuto capire cosa hai messo in outbound NAT.

maestrale

Prima di tutto grazie per la risposta, cominciavo a disperare io nel frattempo ho fatto un po' di prove e sostituendo
"default" con l'ip (192.168.254.254) ,sul gateway , la posta in uscita funziona ma non ricevo.
Seguendo le guide non ho configurato il NAT quindi non ho nattato il server di posta, potrebbe essere quello il problema ?
Per quanto riguarda il load balance una volta impostata la regola che assegna le porte di posta sul gateway del provider che me la gestisce dovrei essere a posto (sempre seguendo le guide) ,cmq provero a togliere il load balance lasciando solo il fail over.
E provo anche a fare il NAT del server di posta (spero di riuscire mi leggo un po' di post al riguardo).
ti ringrazio per qualsiasi aiuto potrai darmi (gia' chiedendomi del nat mi hai messo una pulce nell' orecchio, grazie)

Zanotti

Per servizi in entrata è indispensabile usare il NAT per far sapere a Pfsense verso quale IP stai aprendo una porta dall'esterno verso l'interno.
Con configurazioni in load balance oltretutto serve anche l'outbound NAT perchè in questo modo istruisci PFsense in modo che faccia passare il traffico del tuo mail server su WAN o WAN2 ecc.. ecc..
Per cose ancora più complesse come il failover, con i server di posta elettronica poi è necessario TinyDNS perchè gestisce le priorità del campo MX ed tanto altro. Più o meno il lavoro che dovrò fare io tra meno di un mese e che vorrei postare quì in forum.

maestrale

Grazie Zanotti . Ho fatto parecchie prove ancora ma non ci ho levato le gambe :( .
Il mio problema è che per ogni prova devo staccare l'attuale firewall (un vecchio ip cop) avvertire tutti
fare la prova ricollegare tutto e far ripartire tutti ….
Nel frattempo ho provato anche un altro firewall (smoothwall) e la posta mi funziona (rinunciando al fail over) ma poi dopo un oretta di buon funzionamento improvvisamente ho degrado di prestazioni su internet e sulla rete in generale.
Adesso riprovero' pfsense magari partendo da una configurazione base (red + green) e poi provando ad aggiungere il fail over e load balance dopo.
Non vedo l'ora di leggere il report del lavoro che ti accingi a fare mi par di capire che è quello che servirebbe anche a me.
quindi in bocca al lupo !