Redundancia de MX

kelsen

Quando se cria um redirecionamento (NAT) na segunda Wan(OPT) a regra do firewall já implica um retorno pelo mesmo link para conexões de entrada.

pass in quick on bce0 reply-to

Não vejo necessidade de criar regras definindo os gateways na LAN a não ser que realmente você queira que aquele IP saia pelo link secundário nas conexões iniciadas na rede local.

Nio

@kelsen:

Quando se cria um redirecionamento (NAT) na segunda Wan(OPT) a regra do firewall já implica um retorno pelo mesmo link para conexões de entrada.
pass in quick on bce0 reply-to
Não vejo necessidade de criar regras definindo os gateways na LAN a não ser que realmente você queira que aquele IP saia pelo link secundário nas conexões iniciadas na rede local.

Que inclusive não é interessante este "forçar" para alguns serviços e nem suportado por outros, devido a quebra de protocolo.

Neste caso do servidor de email é necessário ter somente um fail over mesmo, pois conexões "saintes" sempre sairão pelo link default e este tem que seguir o protocolo de mail server (Reverso, SPF e demais).

Abraço

Itg

Olá pessoal, obrigado pelo retorno que tem sido bastante útil nos esclarecimentos.

Mas tem outra coisa aí para nos ligarmos. Eu coloquei uma só regra para o servidor MX usando o gateway como loadbalance e não failover, pois notei que colocando somente failover, no momento que você faz uma consulta de MX o MX1 (WAN1) responde e o MX2 (WAN2) não responde, como esta interface WAN2 só fica online em caso de falha da interface WAN1, então é normal que o MX não consiga enviar pacotes de resposta pela interface do MX2, querendo sair pela interface do MX1 que é a titular.

Ao criar um novo grupo de gateways como loadbalance e usando este na regra de saída, o MX passou a responder tanto por um como pelo o outro, na pesquisa do IPOK.com.br ambos aparecem como online. Detalhe, existem NAT de entrada para o MX, tanto na WAN1 como na WAN2.

Aí vem outra pergunta. Não é o ideal em se tratando de redundância de DNS, mas consigo fazer o DNS do pfSense responder pelo NS1 IP da WAN1 e NS2 IP da WAN2 ?

Pergunto porque no momento o cliente só tem este DNS, não contratou um DNS Secundário em um provedor para ser o backup.

Valeu galera !

marcelloc

Pode usar os dois ips para dns sem problema.

Itg

Certo, até coloquei na zona DNS o IP do NS1 para o link Wan1 e o NS2 para o link WAN2, só que quando faço um teste no DNSReport do www.ipok.com.br ele sempre me traz que o NS2 está offline e o mesmo responde a pings.

Seria por causa deste parâmetro da figura em anexo, que diz que o pfSense sempre responderá a requisições por este determinado IP ?

Obrigado !

![DNS pfSense.jpg_thumb](/public/imported_attachments/1/DNS pfSense.jpg_thumb)
![DNS pfSense.jpg](/public/imported_attachments/1/DNS pfSense.jpg)

Itg

Galera, encontrei o erro.

No órgão que é equivalente ao registro.br aqui em Angola, o FQDN do NS2 tem um ponto e silaba a mais, tipo server.dominio.ao.ao quando deveria ter apenas server.dominio.ao

Por isso que os testes de consulta de DNS retornam que o NS2 está offline, fiz testes de nslookup aqui direcionando para o NS2 e ele responde normalmente as pesquisas.

Valeu, obrigado !

marcelloc

Depois dá uma olhada no pacote bind.

Itg

Agora estou com outra bronca, ao tentar validar o servidor DNS através do segundo IP, recebo a seguinte mensagem.

Resultado da verificação: DETECTADO PROBLEMA TÉCNICO
Não é possível proceder ao registo técnico do domínio. Por favor corrija os problemas detectados e tente outra vez.

Explicação do problema técnico: O servidor de nomes com o endereço IP x.x.x.x (primário) não respondeu autoritariamente para o domínio 'dominiodaempresa.gv.ao.' (flag 'aa'). Provavelmente o domínio não está configurado nesse servidor.

Esta verificação é feita por aqui: http://www.dns.ao

Mas só que na zona DNS eu tenho dois SOA, um para cada IP (WAN1 e WAN2), também coloquei um NS para cada IP.

Se fizer o teste com IP da WAN1 o resultado é satisfatório.

Onde estou vacilando ?

Obrigado !

Itg

Galera,

Já apanhei um bocado aqui e pelo o que estou entendendo, não tem como o pfSense permitir a comunicação de entrada pelas duas interfaces simultaneamente usando Loa Balance, mesmo que eu crie um Grupo de Roteamento colocando dois links com peso TIER1, ele sempre irá sair pelo link default e isso impacta na entrada.
A tabela de roteamento mostra como única opção o default gateway para redes 0.0.0.0/.0.0.0.0, não deveria ter outra rota destas com mesma métrica saindo pelo outro link Wan simultaneamente ?

Conclusão, tenho dois registros DNS na zona e dois MX, nos testes pelo www.ipok.com.br sempre mostra o DNS2 e o MX2 offline.

Status dos servidores (listados nos Root Servers):

ns2.cliente.gv.ao.ao. [A=] => offline (Exemplo)
ns1.cliente.gv.ao. [A=200.200.200.200] => online (Exmeplo)

Listando o registro MX

mail.cliente.gv.ao. [A=200.200.200.200] [PRI=10] => online (Exemplo)
mail2.cliente.gv.ao. [PRI=10] => offline (Exemplo)

Alguma dica ?

Valeu a todos !

marcelloc

@ivanildogalvao:

Alguma dica ?

Tier e load balance em 99,x% dos casos só é necessário para a definição de tráfego de saída.

Não defina gateway nas regras da wan1 ou wan2 para seu mx.

Tenho isso funcionando perfeitamente para vários serviços, incluindo smtp.