Konfigurationsfrage Firewall (pfsense)
Guten Morgen zusammen,
Kurz zum Aufbau:
Netz1 LAN:
192.168.x.x/24 (VLAN default)
Netz2 WLAN intern:
10.1.x.x/24 (VLAN 200)
Netz3 WLAN nur Internet:
10.2.x.x/24 (VLAN210)
In dem Netz 1 arbeiten PCs und Notebooks. Netz2 dient für Notebooks. Netz3 dient für Mobile Endgeräte (Handys, Tablets).
Die Netze laufen an einer pfsense zusammen und sind via VLANs getrennt. Dazwischen hängen Juniper Switche. Soweit läuft alles wie es soll. Zugriff aus dem Netz3 in Netz2 und Netz1 ist mit einer Firewallregel gesperrt. Nun zum eigentlichen Problem:
Wir setzen Exchange2016 ein. Alles läuft ohne Probleme. Auch der Zugriff von Netz1 und Netz2 und extern (Internet) funktioniert via autodiscover. Das Problem ist nun, dass es hin und wieder vorkommt, dass die Mitarbeiter über Ihr Handy (Firmenadresse eingerichtet) E-Mail senden wollen bzw. Ihren Posteingang innerhalb des Netzes3 sychronisieren. Hier kommt es zu einem Fehler. An meinem Handy (iphone) bekomme ich ein Zertifikatsfehler. An den anderen Geräten funktioniert es nicht (ohne Fehlermeldung).
Mein Verdacht:
Trace Route von Extern:
Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 3.4.5.6
2 16 ms 68 ms 78 ms 7.8.9.1
3 16 ms 16 ms 16 ms 3.4.6.2
4 23 ms 23 ms 23 ms 22.11.33.44
5 23 ms 23 ms 23 ms 1.2.3.4
6 24 ms 22 ms 23 ms Ziel-IP
Trace Route von Netz3:
Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:
1 <1 ms <1ms <1ms Ziel-IP
Es sieht für mich so aus, als würde er vom Netz3 die Anfrage direkt versuchen intern zu schicken und nicht nach aussen. Bei meiner Zertifikatsmeldung bekomme ich ein Zertifikat von der pfsense ausgestellt. Das ist natürlich nicht korrekt.
Hat einer eine Idee, wie ich die Anfragen an mail.x-y-z.de nach aussen schicken kann und unterbinden, dass die pfsense das "intern" versucht? Oder bin ich da auf dem Holzweg?
Vielen Dank fürs mitdenken!
Kurz zum Aufbau:
Netz1 LAN:
192.168.x.x/24 (VLAN default)
Netz2 WLAN intern:
10.1.x.x/24 (VLAN 200)
Netz3 WLAN nur Internet:
10.2.x.x/24 (VLAN210)
In dem Netz 1 arbeiten PCs und Notebooks. Netz2 dient für Notebooks. Netz3 dient für Mobile Endgeräte (Handys, Tablets).
Die Netze laufen an einer pfsense zusammen und sind via VLANs getrennt. Dazwischen hängen Juniper Switche. Soweit läuft alles wie es soll. Zugriff aus dem Netz3 in Netz2 und Netz1 ist mit einer Firewallregel gesperrt. Nun zum eigentlichen Problem:
Wir setzen Exchange2016 ein. Alles läuft ohne Probleme. Auch der Zugriff von Netz1 und Netz2 und extern (Internet) funktioniert via autodiscover. Das Problem ist nun, dass es hin und wieder vorkommt, dass die Mitarbeiter über Ihr Handy (Firmenadresse eingerichtet) E-Mail senden wollen bzw. Ihren Posteingang innerhalb des Netzes3 sychronisieren. Hier kommt es zu einem Fehler. An meinem Handy (iphone) bekomme ich ein Zertifikatsfehler. An den anderen Geräten funktioniert es nicht (ohne Fehlermeldung).
Mein Verdacht:
Trace Route von Extern:
Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 3.4.5.6
2 16 ms 68 ms 78 ms 7.8.9.1
3 16 ms 16 ms 16 ms 3.4.6.2
4 23 ms 23 ms 23 ms 22.11.33.44
5 23 ms 23 ms 23 ms 1.2.3.4
6 24 ms 22 ms 23 ms Ziel-IP
Trace Route von Netz3:
Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:
1 <1 ms <1ms <1ms Ziel-IP
Es sieht für mich so aus, als würde er vom Netz3 die Anfrage direkt versuchen intern zu schicken und nicht nach aussen. Bei meiner Zertifikatsmeldung bekomme ich ein Zertifikat von der pfsense ausgestellt. Das ist natürlich nicht korrekt.
Hat einer eine Idee, wie ich die Anfragen an mail.x-y-z.de nach aussen schicken kann und unterbinden, dass die pfsense das "intern" versucht? Oder bin ich da auf dem Holzweg?
Vielen Dank fürs mitdenken!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 553728
Url: https://administrator.de/forum/konfigurationsfrage-firewall-pfsense-553728.html
Ausgedruckt am: 24.12.2024 um 00:12 Uhr
5 Kommentare
Neuester Kommentar
Greifen die Clients von intern auf den externen Hostnamen des Exchange, der auf der FW per Port Forwarding definiert ist, zu ?
Wenn ja, ist das vermutlich ein klassisches Hairpin NAT Problem:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
https://www.computerweekly.com/de/definition/Hairpinning-NAT-Loopback
Wird in den Advanced Settings der pfSense unter Firewall & NAT eingestellt.
Wenn ja, ist das vermutlich ein klassisches Hairpin NAT Problem:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
https://www.computerweekly.com/de/definition/Hairpinning-NAT-Loopback
Wird in den Advanced Settings der pfSense unter Firewall & NAT eingestellt.
Lesen und verstehen...!
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html
Zitat von @aqui:
Lesen und verstehen...!
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html
Lesen und verstehen...!
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html
Habe ich mich beim schreiben vertan? Ich habe Pure NAT global aktiv.