Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Exchangeserver mit Dualwan

    Scheduled Pinned Locked Moved Deutsch
    12 Posts 4 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      masterofdesaster
      last edited by

      Hallo
      ich betreibe meine pfSense mit Dualwan und habe den Failover eingerichtet, welcher prima funktioniert.
      Nur möchte ich nun, dass die Exchangeserverip nur über WAN1 sendet und nie über WAN2.
      Wenn WAN1 nicht verfügbar ist, soll gewartet werden.
      Für den Rest benötige ich jedoch den Failover, sodass unterbruchsfrei gearbeitet werden kann.

      als Nat Rolle habe ich unter Firewall-NAT-Outbound Roule meine Exchangeserver IP oderesse mit WAN1 eingetragen - funktioniert leider nicht.

      Was sollte ich wo eintragen, dass ich neben dem Failover für den restlichen Betrieb den Port 25 für das Outgoing des Exchangeservers so konfigurieren kann, dass es funktioniert.
      Besten dank schonmals

      1 Reply Last reply Reply Quote 0
      • ?
        Guest
        last edited by

        Hallo,

        ich würde ja einmal austesten ob nicht Dual WAN mittels Load Balancing das richtige für Euch wäre!
        Denn wenn ich nun zwei Internetanschlüsse habe und sie beide benutzen kann, und zwar zur gleichen
        Zeit, dann liegt eben nicht immer eine Internetanbindung brach und ist ungenutzt. Und je nach dem was
        man denn für eine Routing-Methode man benutzt ist es ja auch so, dass man gleich ein "Fail over" mit drinnen
        hart, denn wenn die eine Leitung ausfällt wird der Rest des Internetverkehrs einfach über die noch verbleibende
        Leitung abgewickelt!
        "Load Balancing"

        • Policy based routing
        • Service based routing
        • Session based routing

        Diese drei Methoden stehen Dir dazu zur Verfügung.

        1 Reply Last reply Reply Quote 0
        • M
          masterofdesaster
          last edited by

          Hallo

          habe mich falsch ausgedrückt.
          Haben aktuell Load Balancing im Einsatz, kriegen jedoch nicht hin, dass der Port 25 vom Exchange im Outgoing nur immer über ein und denselben WAN Anschluss geht.
          Kannst du dazu helfen?

          1 Reply Last reply Reply Quote 0
          • ?
            Guest
            last edited by

            Über Service based load balancing sollte das funktionieren, denn dann kann man pfSense "sagen"
            welchen Service (http, FTP, mail,..) über welchen WAN Anschluss raus und rein soll.

            1 Reply Last reply Reply Quote 0
            • M
              masterofdesaster
              last edited by

              Hallo Frank
              konnte deine Hilfestellung leider im pfSense Menü nicht nachvollziehen.

              Gehe ich richtig, dass ich unter Services - Load Balancer - TabPage "Pool" - dort Einträge machen soll?
              Dort sehe ich jedoch keine Möglichkeit. einen WAN Port auszuwählen.

              Besten Dank für die Hilfestellung

              habe im unter Firewall - Roule - LAN folgendes versucht, jedoch ohne Erfolg auch wenn WAN Init7 disconnected ist, gehen Mails über WAN UPC raus

              erlaubt/blockiert - Proto - Source - Port - Destination - Port - Gateway
              blockiert - IPV4 - LAN net - 25 - * - 25 - WAN UPC
              erlaubt - IPV4 - LAN net - 25 - * - 25 - WAN Init7
              erlaubt - IPV4 - LAN net - * - * - * WAN Load Balancing Rolle
              erlaubt - IPV4 - LAN net - * - * - * WANFailOver 1
              erlaubt - IPV4 - LAN net - * - * - * WANFailOver2

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Hallo!

                Über die Regel sollte das normalerweise, wie gewünscht, funktionieren, wenn du das entsprechende Gateway in der allow-Rule auswählst.
                Die Block-Rule kannst du dir sparen. pfSense lässt ohnehin nur durch, was explizit erlaubt ist.

                Allerdings muss du meines Wissens in System > Advanced > Miscellaneous den Haken bei "Skip rules when gateway is down" setzen, um zu verhindern, dass pfSense die Regel nicht übergeht, wenn das gesetzte Gateway down ist und die nächstbeste Regel anwendet, die dann alles an jedem beliebigen Gateway erlaubt.
                Ja, der Wortlaut der Option ist nicht ganz schlüssig.

                1 Reply Last reply Reply Quote 0
                • M
                  masterofdesaster
                  last edited by

                  Besten Dank schonmals für eure getätigte Hilfe.

                  Leider brachte das Flag setzen bei "Skip rules.." nicht den gewünschten Erfolg.
                  Ich habe dieses gesetzt, einen disconnect auf dem WAN Init7 gemacht und ein Mail versendet - ist leider angekommen

                  Nun habe ich noch, über Nat - Firewall - Outbound den Hybridmodus  eingestellt und dort eine zusätzliche Rolle eingefügt mit:
                  Interface - Source - Source Port - Destination - Destination Port - Nat Adress - Nat Port - Static Port
                  Wan Init7 - 192.168.120.0/24 - 25 - * - 25 - Wan Init7 Adress - * - NO

                  bringt nach einem FW Reboot und disconnectem Wan Init7 Interface leider auch nicht den gewünschten Effekt –> Mail ging raus

                  Habe den Hybridmodus wieder deaktiviert und auf Auto gestellt.

                  Was kann ich sonst noch versuchen?

                  ist ev. was an den Load Balancing Eigenschaften falsch?
                  Habe unter System - Routing Gateway Groups folgendes eingestellt:
                  WANLoadbalance - WAN_UPC und WAN_Init7 beide Tier 1 mit Highlatency
                  WanFailover1 - WAN_UPC Tier 1, WAN UPC Tier 2, mit Paketloss
                  WanFailover2 - WAN_UPC Tier 2, WAN UPC Tier 1, mit Paketloss

                  dieses hat natürlich zur Folge, dass ich unter Firewall - Roules - auch dort die drei Einträge im Lan-TapPage in derselben Reihenfolge habe.

                  Die Port 25 Umleitung von intern zu extern auf WAN_Init7 (siehe Versuch in obenstehendem Post) habe ich natürlich vorher eingefügt.

                  1 Reply Last reply Reply Quote 0
                  • M
                    masterofdesaster
                    last edited by

                    Hallo miteinander

                    keiner eine Idee, warum es nicht funktioniert?

                    Merci für die Rückmeldung

                    1 Reply Last reply Reply Quote 0
                    • F
                      flix87
                      last edited by

                      ich denke auch das diese Regel greifen sollte:
                      erlaubt - IPV4 - LAN net - 25 - * - 25 - WAN Init7
                      Außer es gibt noch etwas anderes davor oder die Ports stimmen nicht.
                      Geht es denn per SMTP raus oder vielleicht doch verschlüsselt?
                      Ist der Absender Port auch 25 (normal schon aber nur dann greift ja auch die Regel)
                      Ich würde die Regel vielleicht anders bauen.
                      Also Source IP die vom Exchange. dann der Source Port Egal und als Zielport alle Mailvartianten wie SMPT bzw. Verschlüsselt eben. Da einfach die Ports als Alias zusammenfassen und eine Regel draus machen.

                      Vielleicht ein Screenshot der Firewall dann könnte man auch mehr sehen.

                      1 Reply Last reply Reply Quote 0
                      • M
                        masterofdesaster
                        last edited by

                        Hier die drei Printscreens der Roules pro Interface
                        habe gerade auch noch mit port 110 & 995 probiert und auch mit dieser Einstellung gingen die Mails mit disconnectetem WAN_Init7 raus



                        1 Reply Last reply Reply Quote 0
                        • F
                          flix87
                          last edited by

                          und wenn du wie ich geschrieben habe den Quellport auf Any stelltst und nur den Zielport 25 (Bzw. den für Verschlüsselung) einstellt und als Quell IP die des Exchange?

                          Ich könnten mir vorstellen das eben nicht Port 25 zum absenden verwendet wird.

                          1 Reply Last reply Reply Quote 0
                          • M
                            masterofdesaster
                            last edited by

                            Besten Dank für die Hilfe

                            ich habe deinen Vorschlag versucht und leider gingen wieder alle Mails raus.
                            Daraufhin habe ich als Quelle den Exchangeserver mit Port "any" und Ziel WAN_Init7 mit "any" genommen und es ging immer noch.
                            Das hat mir definitiv zum Nachdenken gegeben.

                            Anschliessend ist mit der obenstehende Post von viragomann nochmals angsehen

                            "Allerdings muss du meines Wissens in System > Advanced > Miscellaneous den Haken bei "Skip rules when gateway is down" setzen, um zu verhindern, dass pfSense die Regel nicht übergeht, wenn das gesetzte Gateway down ist und die nächstbeste Regel anwendet, die dann alles an jedem beliebigen Gateway erlaubt.
                            Ja, der Wortlaut der Option ist nicht ganz schlüssig."

                            –> nun den Haken wieder entfernt - und voila

                            Jetzt gehen keine Mails mehr raus

                            Besten Dank

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.