PfSense respondendo por dois links WAN



  • Olá pessoal, estou com um problema em cliente e gostaria de ajuda. Tenho um cliente com pfSense e ele tem dois links WAN, como faço para que os dois links respondam de fora para dentro ? Por exemplo responder a pings e a acessos remotos ?

    Este mesmo pfSense é o servidor DNS público do cliente, preciso então publicar dois MX nele, para quando um dos MX ficar offline o outro responda, pois na zona DNS publico um MX com peso 10 e outro com peso 20.

    Obrigado !

    Ivanildo Galvão



  • Todos os mx publicados no dns respondem as requisições.  A escolha do mx é feita via dns pelo cliente. Você não pode definir um backup ou master.  A única configuração para "direcionar" a escolha do ip é o peso do mx.

    Se as duas wans estão configuradas, o serviço tem que responder nos dois ips.



  • Então Marcello, mas a ideia é justamente manter dois MX ativos, mas ambos caem no mesmo servidor, de fato não é ter um master e um backup.

    Só preciso que quando os MTA externos precisarem conversar com o MX do cliente, eles tanto consigam por um link como por outro, quando tenho MX com pesos diferentes é normal que os servidores procurem o de menor peso e se este não responder, tenta o contato com o de maior peso, correto ?

    A principal duvida é como fazer o pfSense responder a isso, pois percebo que pela WAN1 ele responde a pings por exemplo, na WAN2 não responde.

    Veja, só a título de exemplo, quando eu faço isso no Fortigate, na WAN1 e WAN2, coloco rotas estáticas para rede 0.0.0.0/0.0.0.0 com peso 10, pronto, desta forma o apliance passa a respondr de fora para dentro pelos dois links, posso aí publicar então dois endereços RDP, DNS ou MX, etc, quero fazer o mesmo esquema no pfSense.

    Obrigado !



  • Isso funciona perfeitamenteno pfsense sem precisar fazer qualquer tipo de alteração.

    Monitore com o tcpdump para ver o que está acontecendo com os pacotes e veja também se não tem gateways configurados forçando uma configuração que impede o roteamento natural dos pacotes.



  • Marcelo,

    Fiz os ajustes aqui, consigo chegar no meu servidor de correio pela porta 80 tanto por um link com pelo outro passando pelo pfSense, o que acho estranho é que não responde a pings.

    No DNS do pfSense, publiquei ns1 e ns2, cada um com o seu IP e consequentemente cada um entrando por um link, NS1 fica sempre online e NS2 Offline, liberei a porta 53 na entrada para ambos os links.

    Mesma coisa para o MX, mx1 beleza e mx2 offline, mas repito que tenho tráfego entrando pelas duas WAN, pelo menos cheguei no console web do meu servidor de correios sem problemas.

    Alguma dica ?

    Obrigado !



  • Ôpa, consegui deixar os dois MX online, assim são exibidos no ipok.com.br em uma consulta completa de zona, massa, fiz também teste de telnet na porta 25 e o servidor respondeu tanto por um link como pelo o outro.

    Agora o DNS não está rolando, sempre aparece NS1 online e NS2 offline, o serviço DNS Server assim como a zona do domínio estão no próprio pfSense, ao invés de subir um servidor DNS separado.

    Alguma dica ?



  • Ivanildo, dependendo do tamanho da resposta dns, o protocolo passa de udp para tcp(principalmente com dnssec). Confere se deixou os dois passando nas regras de firewall