Exchangeserver mit Dualwan



  • Hallo
    ich betreibe meine pfSense mit Dualwan und habe den Failover eingerichtet, welcher prima funktioniert.
    Nur möchte ich nun, dass die Exchangeserverip nur über WAN1 sendet und nie über WAN2.
    Wenn WAN1 nicht verfügbar ist, soll gewartet werden.
    Für den Rest benötige ich jedoch den Failover, sodass unterbruchsfrei gearbeitet werden kann.

    als Nat Rolle habe ich unter Firewall-NAT-Outbound Roule meine Exchangeserver IP oderesse mit WAN1 eingetragen - funktioniert leider nicht.

    Was sollte ich wo eintragen, dass ich neben dem Failover für den restlichen Betrieb den Port 25 für das Outgoing des Exchangeservers so konfigurieren kann, dass es funktioniert.
    Besten dank schonmals



  • Hallo,

    ich würde ja einmal austesten ob nicht Dual WAN mittels Load Balancing das richtige für Euch wäre!
    Denn wenn ich nun zwei Internetanschlüsse habe und sie beide benutzen kann, und zwar zur gleichen
    Zeit, dann liegt eben nicht immer eine Internetanbindung brach und ist ungenutzt. Und je nach dem was
    man denn für eine Routing-Methode man benutzt ist es ja auch so, dass man gleich ein "Fail over" mit drinnen
    hart, denn wenn die eine Leitung ausfällt wird der Rest des Internetverkehrs einfach über die noch verbleibende
    Leitung abgewickelt!
    "Load Balancing"

    • Policy based routing
    • Service based routing
    • Session based routing

    Diese drei Methoden stehen Dir dazu zur Verfügung.



  • Hallo

    habe mich falsch ausgedrückt.
    Haben aktuell Load Balancing im Einsatz, kriegen jedoch nicht hin, dass der Port 25 vom Exchange im Outgoing nur immer über ein und denselben WAN Anschluss geht.
    Kannst du dazu helfen?



  • Über Service based load balancing sollte das funktionieren, denn dann kann man pfSense "sagen"
    welchen Service (http, FTP, mail,..) über welchen WAN Anschluss raus und rein soll.



  • Hallo Frank
    konnte deine Hilfestellung leider im pfSense Menü nicht nachvollziehen.

    Gehe ich richtig, dass ich unter Services - Load Balancer - TabPage "Pool" - dort Einträge machen soll?
    Dort sehe ich jedoch keine Möglichkeit. einen WAN Port auszuwählen.

    Besten Dank für die Hilfestellung

    habe im unter Firewall - Roule - LAN folgendes versucht, jedoch ohne Erfolg auch wenn WAN Init7 disconnected ist, gehen Mails über WAN UPC raus

    erlaubt/blockiert - Proto - Source - Port - Destination - Port - Gateway
    blockiert - IPV4 - LAN net - 25 - * - 25 - WAN UPC
    erlaubt - IPV4 - LAN net - 25 - * - 25 - WAN Init7
    erlaubt - IPV4 - LAN net - * - * - * WAN Load Balancing Rolle
    erlaubt - IPV4 - LAN net - * - * - * WANFailOver 1
    erlaubt - IPV4 - LAN net - * - * - * WANFailOver2



  • Hallo!

    Über die Regel sollte das normalerweise, wie gewünscht, funktionieren, wenn du das entsprechende Gateway in der allow-Rule auswählst.
    Die Block-Rule kannst du dir sparen. pfSense lässt ohnehin nur durch, was explizit erlaubt ist.

    Allerdings muss du meines Wissens in System > Advanced > Miscellaneous den Haken bei "Skip rules when gateway is down" setzen, um zu verhindern, dass pfSense die Regel nicht übergeht, wenn das gesetzte Gateway down ist und die nächstbeste Regel anwendet, die dann alles an jedem beliebigen Gateway erlaubt.
    Ja, der Wortlaut der Option ist nicht ganz schlüssig.



  • Besten Dank schonmals für eure getätigte Hilfe.

    Leider brachte das Flag setzen bei "Skip rules.." nicht den gewünschten Erfolg.
    Ich habe dieses gesetzt, einen disconnect auf dem WAN Init7 gemacht und ein Mail versendet - ist leider angekommen

    Nun habe ich noch, über Nat - Firewall - Outbound den Hybridmodus  eingestellt und dort eine zusätzliche Rolle eingefügt mit:
    Interface - Source - Source Port - Destination - Destination Port - Nat Adress - Nat Port - Static Port
    Wan Init7 - 192.168.120.0/24 - 25 - * - 25 - Wan Init7 Adress - * - NO

    bringt nach einem FW Reboot und disconnectem Wan Init7 Interface leider auch nicht den gewünschten Effekt –> Mail ging raus

    Habe den Hybridmodus wieder deaktiviert und auf Auto gestellt.

    Was kann ich sonst noch versuchen?

    ist ev. was an den Load Balancing Eigenschaften falsch?
    Habe unter System - Routing Gateway Groups folgendes eingestellt:
    WANLoadbalance - WAN_UPC und WAN_Init7 beide Tier 1 mit Highlatency
    WanFailover1 - WAN_UPC Tier 1, WAN UPC Tier 2, mit Paketloss
    WanFailover2 - WAN_UPC Tier 2, WAN UPC Tier 1, mit Paketloss

    dieses hat natürlich zur Folge, dass ich unter Firewall - Roules - auch dort die drei Einträge im Lan-TapPage in derselben Reihenfolge habe.

    Die Port 25 Umleitung von intern zu extern auf WAN_Init7 (siehe Versuch in obenstehendem Post) habe ich natürlich vorher eingefügt.



  • Hallo miteinander

    keiner eine Idee, warum es nicht funktioniert?

    Merci für die Rückmeldung



  • ich denke auch das diese Regel greifen sollte:
    erlaubt - IPV4 - LAN net - 25 - * - 25 - WAN Init7
    Außer es gibt noch etwas anderes davor oder die Ports stimmen nicht.
    Geht es denn per SMTP raus oder vielleicht doch verschlüsselt?
    Ist der Absender Port auch 25 (normal schon aber nur dann greift ja auch die Regel)
    Ich würde die Regel vielleicht anders bauen.
    Also Source IP die vom Exchange. dann der Source Port Egal und als Zielport alle Mailvartianten wie SMPT bzw. Verschlüsselt eben. Da einfach die Ports als Alias zusammenfassen und eine Regel draus machen.

    Vielleicht ein Screenshot der Firewall dann könnte man auch mehr sehen.



  • Hier die drei Printscreens der Roules pro Interface
    habe gerade auch noch mit port 110 & 995 probiert und auch mit dieser Einstellung gingen die Mails mit disconnectetem WAN_Init7 raus





  • und wenn du wie ich geschrieben habe den Quellport auf Any stelltst und nur den Zielport 25 (Bzw. den für Verschlüsselung) einstellt und als Quell IP die des Exchange?

    Ich könnten mir vorstellen das eben nicht Port 25 zum absenden verwendet wird.



  • Besten Dank für die Hilfe

    ich habe deinen Vorschlag versucht und leider gingen wieder alle Mails raus.
    Daraufhin habe ich als Quelle den Exchangeserver mit Port "any" und Ziel WAN_Init7 mit "any" genommen und es ging immer noch.
    Das hat mir definitiv zum Nachdenken gegeben.

    Anschliessend ist mit der obenstehende Post von viragomann nochmals angsehen

    "Allerdings muss du meines Wissens in System > Advanced > Miscellaneous den Haken bei "Skip rules when gateway is down" setzen, um zu verhindern, dass pfSense die Regel nicht übergeht, wenn das gesetzte Gateway down ist und die nächstbeste Regel anwendet, die dann alles an jedem beliebigen Gateway erlaubt.
    Ja, der Wortlaut der Option ist nicht ganz schlüssig."

    –> nun den Haken wieder entfernt - und voila

    Jetzt gehen keine Mails mehr raus

    Besten Dank


Log in to reply