Exchangeserver mit Dualwan
-
Hallo
ich betreibe meine pfSense mit Dualwan und habe den Failover eingerichtet, welcher prima funktioniert.
Nur möchte ich nun, dass die Exchangeserverip nur über WAN1 sendet und nie über WAN2.
Wenn WAN1 nicht verfügbar ist, soll gewartet werden.
Für den Rest benötige ich jedoch den Failover, sodass unterbruchsfrei gearbeitet werden kann.als Nat Rolle habe ich unter Firewall-NAT-Outbound Roule meine Exchangeserver IP oderesse mit WAN1 eingetragen - funktioniert leider nicht.
Was sollte ich wo eintragen, dass ich neben dem Failover für den restlichen Betrieb den Port 25 für das Outgoing des Exchangeservers so konfigurieren kann, dass es funktioniert.
Besten dank schonmals -
Hallo,
ich würde ja einmal austesten ob nicht Dual WAN mittels Load Balancing das richtige für Euch wäre!
Denn wenn ich nun zwei Internetanschlüsse habe und sie beide benutzen kann, und zwar zur gleichen
Zeit, dann liegt eben nicht immer eine Internetanbindung brach und ist ungenutzt. Und je nach dem was
man denn für eine Routing-Methode man benutzt ist es ja auch so, dass man gleich ein "Fail over" mit drinnen
hart, denn wenn die eine Leitung ausfällt wird der Rest des Internetverkehrs einfach über die noch verbleibende
Leitung abgewickelt!
"Load Balancing"- Policy based routing
- Service based routing
- Session based routing
Diese drei Methoden stehen Dir dazu zur Verfügung.
-
Hallo
habe mich falsch ausgedrückt.
Haben aktuell Load Balancing im Einsatz, kriegen jedoch nicht hin, dass der Port 25 vom Exchange im Outgoing nur immer über ein und denselben WAN Anschluss geht.
Kannst du dazu helfen? -
Über Service based load balancing sollte das funktionieren, denn dann kann man pfSense "sagen"
welchen Service (http, FTP, mail,..) über welchen WAN Anschluss raus und rein soll. -
Hallo Frank
konnte deine Hilfestellung leider im pfSense Menü nicht nachvollziehen.Gehe ich richtig, dass ich unter Services - Load Balancer - TabPage "Pool" - dort Einträge machen soll?
Dort sehe ich jedoch keine Möglichkeit. einen WAN Port auszuwählen.Besten Dank für die Hilfestellung
habe im unter Firewall - Roule - LAN folgendes versucht, jedoch ohne Erfolg auch wenn WAN Init7 disconnected ist, gehen Mails über WAN UPC raus
erlaubt/blockiert - Proto - Source - Port - Destination - Port - Gateway
blockiert - IPV4 - LAN net - 25 - * - 25 - WAN UPC
erlaubt - IPV4 - LAN net - 25 - * - 25 - WAN Init7
erlaubt - IPV4 - LAN net - * - * - * WAN Load Balancing Rolle
erlaubt - IPV4 - LAN net - * - * - * WANFailOver 1
erlaubt - IPV4 - LAN net - * - * - * WANFailOver2 -
Hallo!
Über die Regel sollte das normalerweise, wie gewünscht, funktionieren, wenn du das entsprechende Gateway in der allow-Rule auswählst.
Die Block-Rule kannst du dir sparen. pfSense lässt ohnehin nur durch, was explizit erlaubt ist.Allerdings muss du meines Wissens in System > Advanced > Miscellaneous den Haken bei "Skip rules when gateway is down" setzen, um zu verhindern, dass pfSense die Regel nicht übergeht, wenn das gesetzte Gateway down ist und die nächstbeste Regel anwendet, die dann alles an jedem beliebigen Gateway erlaubt.
Ja, der Wortlaut der Option ist nicht ganz schlüssig. -
Besten Dank schonmals für eure getätigte Hilfe.
Leider brachte das Flag setzen bei "Skip rules.." nicht den gewünschten Erfolg.
Ich habe dieses gesetzt, einen disconnect auf dem WAN Init7 gemacht und ein Mail versendet - ist leider angekommenNun habe ich noch, über Nat - Firewall - Outbound den Hybridmodus eingestellt und dort eine zusätzliche Rolle eingefügt mit:
Interface - Source - Source Port - Destination - Destination Port - Nat Adress - Nat Port - Static Port
Wan Init7 - 192.168.120.0/24 - 25 - * - 25 - Wan Init7 Adress - * - NObringt nach einem FW Reboot und disconnectem Wan Init7 Interface leider auch nicht den gewünschten Effekt –> Mail ging raus
Habe den Hybridmodus wieder deaktiviert und auf Auto gestellt.
Was kann ich sonst noch versuchen?
ist ev. was an den Load Balancing Eigenschaften falsch?
Habe unter System - Routing Gateway Groups folgendes eingestellt:
WANLoadbalance - WAN_UPC und WAN_Init7 beide Tier 1 mit Highlatency
WanFailover1 - WAN_UPC Tier 1, WAN UPC Tier 2, mit Paketloss
WanFailover2 - WAN_UPC Tier 2, WAN UPC Tier 1, mit Paketlossdieses hat natürlich zur Folge, dass ich unter Firewall - Roules - auch dort die drei Einträge im Lan-TapPage in derselben Reihenfolge habe.
Die Port 25 Umleitung von intern zu extern auf WAN_Init7 (siehe Versuch in obenstehendem Post) habe ich natürlich vorher eingefügt.
-
Hallo miteinander
keiner eine Idee, warum es nicht funktioniert?
Merci für die Rückmeldung
-
ich denke auch das diese Regel greifen sollte:
erlaubt - IPV4 - LAN net - 25 - * - 25 - WAN Init7
Außer es gibt noch etwas anderes davor oder die Ports stimmen nicht.
Geht es denn per SMTP raus oder vielleicht doch verschlüsselt?
Ist der Absender Port auch 25 (normal schon aber nur dann greift ja auch die Regel)
Ich würde die Regel vielleicht anders bauen.
Also Source IP die vom Exchange. dann der Source Port Egal und als Zielport alle Mailvartianten wie SMPT bzw. Verschlüsselt eben. Da einfach die Ports als Alias zusammenfassen und eine Regel draus machen.Vielleicht ein Screenshot der Firewall dann könnte man auch mehr sehen.
-
Hier die drei Printscreens der Roules pro Interface
habe gerade auch noch mit port 110 & 995 probiert und auch mit dieser Einstellung gingen die Mails mit disconnectetem WAN_Init7 raus
-
und wenn du wie ich geschrieben habe den Quellport auf Any stelltst und nur den Zielport 25 (Bzw. den für Verschlüsselung) einstellt und als Quell IP die des Exchange?
Ich könnten mir vorstellen das eben nicht Port 25 zum absenden verwendet wird.
-
Besten Dank für die Hilfe
ich habe deinen Vorschlag versucht und leider gingen wieder alle Mails raus.
Daraufhin habe ich als Quelle den Exchangeserver mit Port "any" und Ziel WAN_Init7 mit "any" genommen und es ging immer noch.
Das hat mir definitiv zum Nachdenken gegeben.Anschliessend ist mit der obenstehende Post von viragomann nochmals angsehen
"Allerdings muss du meines Wissens in System > Advanced > Miscellaneous den Haken bei "Skip rules when gateway is down" setzen, um zu verhindern, dass pfSense die Regel nicht übergeht, wenn das gesetzte Gateway down ist und die nächstbeste Regel anwendet, die dann alles an jedem beliebigen Gateway erlaubt.
Ja, der Wortlaut der Option ist nicht ganz schlüssig."–> nun den Haken wieder entfernt - und voila
Jetzt gehen keine Mails mehr raus
Besten Dank