Redundancia de MX
-
Quando se cria um redirecionamento (NAT) na segunda Wan(OPT) a regra do firewall já implica um retorno pelo mesmo link para conexões de entrada.
pass in quick on bce0 reply-to
Não vejo necessidade de criar regras definindo os gateways na LAN a não ser que realmente você queira que aquele IP saia pelo link secundário nas conexões iniciadas na rede local.
-
Quando se cria um redirecionamento (NAT) na segunda Wan(OPT) a regra do firewall já implica um retorno pelo mesmo link para conexões de entrada.
pass in quick on bce0 reply-to
Não vejo necessidade de criar regras definindo os gateways na LAN a não ser que realmente você queira que aquele IP saia pelo link secundário nas conexões iniciadas na rede local.
Que inclusive não é interessante este "forçar" para alguns serviços e nem suportado por outros, devido a quebra de protocolo.
Neste caso do servidor de email é necessário ter somente um fail over mesmo, pois conexões "saintes" sempre sairão pelo link default e este tem que seguir o protocolo de mail server (Reverso, SPF e demais).
Abraço
-
Olá pessoal, obrigado pelo retorno que tem sido bastante útil nos esclarecimentos.
Mas tem outra coisa aí para nos ligarmos. Eu coloquei uma só regra para o servidor MX usando o gateway como loadbalance e não failover, pois notei que colocando somente failover, no momento que você faz uma consulta de MX o MX1 (WAN1) responde e o MX2 (WAN2) não responde, como esta interface WAN2 só fica online em caso de falha da interface WAN1, então é normal que o MX não consiga enviar pacotes de resposta pela interface do MX2, querendo sair pela interface do MX1 que é a titular.
Ao criar um novo grupo de gateways como loadbalance e usando este na regra de saída, o MX passou a responder tanto por um como pelo o outro, na pesquisa do IPOK.com.br ambos aparecem como online. Detalhe, existem NAT de entrada para o MX, tanto na WAN1 como na WAN2.
Aí vem outra pergunta. Não é o ideal em se tratando de redundância de DNS, mas consigo fazer o DNS do pfSense responder pelo NS1 IP da WAN1 e NS2 IP da WAN2 ?
Pergunto porque no momento o cliente só tem este DNS, não contratou um DNS Secundário em um provedor para ser o backup.
Valeu galera !
-
Pode usar os dois ips para dns sem problema.
-
Certo, até coloquei na zona DNS o IP do NS1 para o link Wan1 e o NS2 para o link WAN2, só que quando faço um teste no DNSReport do www.ipok.com.br ele sempre me traz que o NS2 está offline e o mesmo responde a pings.
Seria por causa deste parâmetro da figura em anexo, que diz que o pfSense sempre responderá a requisições por este determinado IP ?
Obrigado !
![DNS pfSense.jpg_thumb](/public/imported_attachments/1/DNS pfSense.jpg_thumb)
![DNS pfSense.jpg](/public/imported_attachments/1/DNS pfSense.jpg) -
Galera, encontrei o erro.
No órgão que é equivalente ao registro.br aqui em Angola, o FQDN do NS2 tem um ponto e silaba a mais, tipo server.dominio.ao.ao quando deveria ter apenas server.dominio.ao
Por isso que os testes de consulta de DNS retornam que o NS2 está offline, fiz testes de nslookup aqui direcionando para o NS2 e ele responde normalmente as pesquisas.
Valeu, obrigado !
-
Depois dá uma olhada no pacote bind.
-
Agora estou com outra bronca, ao tentar validar o servidor DNS através do segundo IP, recebo a seguinte mensagem.
Resultado da verificação: DETECTADO PROBLEMA TÉCNICO
Não é possível proceder ao registo técnico do domínio. Por favor corrija os problemas detectados e tente outra vez.Explicação do problema técnico: O servidor de nomes com o endereço IP x.x.x.x (primário) não respondeu autoritariamente para o domínio 'dominiodaempresa.gv.ao.' (flag 'aa'). Provavelmente o domínio não está configurado nesse servidor.
Esta verificação é feita por aqui: http://www.dns.ao
Mas só que na zona DNS eu tenho dois SOA, um para cada IP (WAN1 e WAN2), também coloquei um NS para cada IP.
Se fizer o teste com IP da WAN1 o resultado é satisfatório.
Onde estou vacilando ?
Obrigado !
-
Galera,
Já apanhei um bocado aqui e pelo o que estou entendendo, não tem como o pfSense permitir a comunicação de entrada pelas duas interfaces simultaneamente usando Loa Balance, mesmo que eu crie um Grupo de Roteamento colocando dois links com peso TIER1, ele sempre irá sair pelo link default e isso impacta na entrada.
A tabela de roteamento mostra como única opção o default gateway para redes 0.0.0.0/.0.0.0.0, não deveria ter outra rota destas com mesma métrica saindo pelo outro link Wan simultaneamente ?Conclusão, tenho dois registros DNS na zona e dois MX, nos testes pelo www.ipok.com.br sempre mostra o DNS2 e o MX2 offline.
Status dos servidores (listados nos Root Servers):
ns2.cliente.gv.ao.ao. [A=] => offline (Exemplo)
ns1.cliente.gv.ao. [A=200.200.200.200] => online (Exmeplo)Listando o registro MX
mail.cliente.gv.ao. [A=200.200.200.200] [PRI=10] => online (Exemplo)
mail2.cliente.gv.ao. [PRI=10] => offline (Exemplo)Alguma dica ?
Valeu a todos !
-
@ivanildogalvao:
Alguma dica ?
Tier e load balance em 99,x% dos casos só é necessário para a definição de tráfego de saída.
Não defina gateway nas regras da wan1 ou wan2 para seu mx.
Tenho isso funcionando perfeitamente para vários serviços, incluindo smtp.