PfSense respondendo por dois links WAN
-
Olá pessoal, estou com um problema em cliente e gostaria de ajuda. Tenho um cliente com pfSense e ele tem dois links WAN, como faço para que os dois links respondam de fora para dentro ? Por exemplo responder a pings e a acessos remotos ?
Este mesmo pfSense é o servidor DNS público do cliente, preciso então publicar dois MX nele, para quando um dos MX ficar offline o outro responda, pois na zona DNS publico um MX com peso 10 e outro com peso 20.
Obrigado !
Ivanildo Galvão
-
Todos os mx publicados no dns respondem as requisições. A escolha do mx é feita via dns pelo cliente. Você não pode definir um backup ou master. A única configuração para "direcionar" a escolha do ip é o peso do mx.
Se as duas wans estão configuradas, o serviço tem que responder nos dois ips.
-
Então Marcello, mas a ideia é justamente manter dois MX ativos, mas ambos caem no mesmo servidor, de fato não é ter um master e um backup.
Só preciso que quando os MTA externos precisarem conversar com o MX do cliente, eles tanto consigam por um link como por outro, quando tenho MX com pesos diferentes é normal que os servidores procurem o de menor peso e se este não responder, tenta o contato com o de maior peso, correto ?
A principal duvida é como fazer o pfSense responder a isso, pois percebo que pela WAN1 ele responde a pings por exemplo, na WAN2 não responde.
Veja, só a título de exemplo, quando eu faço isso no Fortigate, na WAN1 e WAN2, coloco rotas estáticas para rede 0.0.0.0/0.0.0.0 com peso 10, pronto, desta forma o apliance passa a respondr de fora para dentro pelos dois links, posso aí publicar então dois endereços RDP, DNS ou MX, etc, quero fazer o mesmo esquema no pfSense.
Obrigado !
-
Isso funciona perfeitamenteno pfsense sem precisar fazer qualquer tipo de alteração.
Monitore com o tcpdump para ver o que está acontecendo com os pacotes e veja também se não tem gateways configurados forçando uma configuração que impede o roteamento natural dos pacotes.
-
Marcelo,
Fiz os ajustes aqui, consigo chegar no meu servidor de correio pela porta 80 tanto por um link com pelo outro passando pelo pfSense, o que acho estranho é que não responde a pings.
No DNS do pfSense, publiquei ns1 e ns2, cada um com o seu IP e consequentemente cada um entrando por um link, NS1 fica sempre online e NS2 Offline, liberei a porta 53 na entrada para ambos os links.
Mesma coisa para o MX, mx1 beleza e mx2 offline, mas repito que tenho tráfego entrando pelas duas WAN, pelo menos cheguei no console web do meu servidor de correios sem problemas.
Alguma dica ?
Obrigado !
-
Ôpa, consegui deixar os dois MX online, assim são exibidos no ipok.com.br em uma consulta completa de zona, massa, fiz também teste de telnet na porta 25 e o servidor respondeu tanto por um link como pelo o outro.
Agora o DNS não está rolando, sempre aparece NS1 online e NS2 offline, o serviço DNS Server assim como a zona do domínio estão no próprio pfSense, ao invés de subir um servidor DNS separado.
Alguma dica ?
-
Ivanildo, dependendo do tamanho da resposta dns, o protocolo passa de udp para tcp(principalmente com dnssec). Confere se deixou os dois passando nas regras de firewall
