Redundancia de MX
-
Olá pessoal, tudo bem ?
Tenho um cliente que usa pfSense também como DNS Server público, nele estão registrados todos os endereços SOA, NS1 e NS2, além do www e do MX.
O cliente quer redundância de MX e contratou um segundo link e pôs no pfSense, a parte de reverso DNS e NAT de entrada (porta 25 para o IP LAN do MX) estão beleza, mas em ralação ao MX, devo criar outro registro e colocar o mesmo valor de peso do primeiro, tipo 10 e 10 ou 10 e 20 ?
Nas regras de firewall saída a partir da LAN, criei duas regras para o servidor de correio, uma saindo pela WAN1 e usando o gateway desta interface e outra saindo para WAN2 e também setando o gateway desta interface, o pfSense vai entender que as duas devem funcionar quando requisitadas ou terei que cria um loa balance com os dois links ?Sds,
Ivanildo Galvão
-
@ivanildogalvao:
devo criar outro registro e colocar o mesmo valor de peso do primeiro, tipo 10 e 10 ou 10 e 20 ?
Pode colocar o mesmo
@ivanildogalvao:
Nas regras de firewall saída a partir da LAN, criei duas regras para o servidor de correio, uma saindo pela WAN1 e usando o gateway desta interface e outra saindo para WAN2 e também setando o gateway desta interface, o pfSense vai entender que as duas devem funcionar quando requisitadas ou terei que cria um loa balance com os dois links ?
Uma regra de saída com o load balance/fail over.
Inclua também registros SPF e TXT no seu dns.
Não se esqueça que quem escolhe o servidor de envio é o cliente. se o provedor X escolher o MX offline, a mensagem não vai chegar.
-
Quando se cria um redirecionamento (NAT) na segunda Wan(OPT) a regra do firewall já implica um retorno pelo mesmo link para conexões de entrada.
pass in quick on bce0 reply-toNão vejo necessidade de criar regras definindo os gateways na LAN a não ser que realmente você queira que aquele IP saia pelo link secundário nas conexões iniciadas na rede local.
-
Quando se cria um redirecionamento (NAT) na segunda Wan(OPT) a regra do firewall já implica um retorno pelo mesmo link para conexões de entrada.
pass in quick on bce0 reply-toNão vejo necessidade de criar regras definindo os gateways na LAN a não ser que realmente você queira que aquele IP saia pelo link secundário nas conexões iniciadas na rede local.
Que inclusive não é interessante este "forçar" para alguns serviços e nem suportado por outros, devido a quebra de protocolo.
Neste caso do servidor de email é necessário ter somente um fail over mesmo, pois conexões "saintes" sempre sairão pelo link default e este tem que seguir o protocolo de mail server (Reverso, SPF e demais).
Abraço
-
Olá pessoal, obrigado pelo retorno que tem sido bastante útil nos esclarecimentos.
Mas tem outra coisa aí para nos ligarmos. Eu coloquei uma só regra para o servidor MX usando o gateway como loadbalance e não failover, pois notei que colocando somente failover, no momento que você faz uma consulta de MX o MX1 (WAN1) responde e o MX2 (WAN2) não responde, como esta interface WAN2 só fica online em caso de falha da interface WAN1, então é normal que o MX não consiga enviar pacotes de resposta pela interface do MX2, querendo sair pela interface do MX1 que é a titular.
Ao criar um novo grupo de gateways como loadbalance e usando este na regra de saída, o MX passou a responder tanto por um como pelo o outro, na pesquisa do IPOK.com.br ambos aparecem como online. Detalhe, existem NAT de entrada para o MX, tanto na WAN1 como na WAN2.
Aí vem outra pergunta. Não é o ideal em se tratando de redundância de DNS, mas consigo fazer o DNS do pfSense responder pelo NS1 IP da WAN1 e NS2 IP da WAN2 ?
Pergunto porque no momento o cliente só tem este DNS, não contratou um DNS Secundário em um provedor para ser o backup.
Valeu galera !
-
Pode usar os dois ips para dns sem problema.
-
Certo, até coloquei na zona DNS o IP do NS1 para o link Wan1 e o NS2 para o link WAN2, só que quando faço um teste no DNSReport do www.ipok.com.br ele sempre me traz que o NS2 está offline e o mesmo responde a pings.
Seria por causa deste parâmetro da figura em anexo, que diz que o pfSense sempre responderá a requisições por este determinado IP ?
Obrigado !
 -
Galera, encontrei o erro.
No órgão que é equivalente ao registro.br aqui em Angola, o FQDN do NS2 tem um ponto e silaba a mais, tipo server.dominio.ao.ao quando deveria ter apenas server.dominio.ao
Por isso que os testes de consulta de DNS retornam que o NS2 está offline, fiz testes de nslookup aqui direcionando para o NS2 e ele responde normalmente as pesquisas.
Valeu, obrigado !
-
Depois dá uma olhada no pacote bind.
-
Agora estou com outra bronca, ao tentar validar o servidor DNS através do segundo IP, recebo a seguinte mensagem.
Resultado da verificação: DETECTADO PROBLEMA TÉCNICO
Não é possível proceder ao registo técnico do domínio. Por favor corrija os problemas detectados e tente outra vez.Explicação do problema técnico: O servidor de nomes com o endereço IP x.x.x.x (primário) não respondeu autoritariamente para o domínio 'dominiodaempresa.gv.ao.' (flag 'aa'). Provavelmente o domínio não está configurado nesse servidor.
Esta verificação é feita por aqui: http://www.dns.ao
Mas só que na zona DNS eu tenho dois SOA, um para cada IP (WAN1 e WAN2), também coloquei um NS para cada IP.
Se fizer o teste com IP da WAN1 o resultado é satisfatório.
Onde estou vacilando ?
Obrigado !
-
Galera,
Já apanhei um bocado aqui e pelo o que estou entendendo, não tem como o pfSense permitir a comunicação de entrada pelas duas interfaces simultaneamente usando Loa Balance, mesmo que eu crie um Grupo de Roteamento colocando dois links com peso TIER1, ele sempre irá sair pelo link default e isso impacta na entrada.
A tabela de roteamento mostra como única opção o default gateway para redes 0.0.0.0/.0.0.0.0, não deveria ter outra rota destas com mesma métrica saindo pelo outro link Wan simultaneamente ?Conclusão, tenho dois registros DNS na zona e dois MX, nos testes pelo www.ipok.com.br sempre mostra o DNS2 e o MX2 offline.
Status dos servidores (listados nos Root Servers):
ns2.cliente.gv.ao.ao. [A=] => offline (Exemplo)
ns1.cliente.gv.ao. [A=200.200.200.200] => online (Exmeplo)Listando o registro MX
mail.cliente.gv.ao. [A=200.200.200.200] [PRI=10] => online (Exemplo)
mail2.cliente.gv.ao. [PRI=10] => offline (Exemplo)Alguma dica ?
Valeu a todos !
-
@ivanildogalvao:
Alguma dica ?
Tier e load balance em 99,x% dos casos só é necessário para a definição de tráfego de saída.
Não defina gateway nas regras da wan1 ou wan2 para seu mx.
Tenho isso funcionando perfeitamente para vários serviços, incluindo smtp.
