5
Konfigurationsfrage Firewall (pfsense)
Guten Morgen zusammen,
Kurz zum Aufbau:
Netz1 LAN:
192.168.x.x/24 (VLAN default)
Netz2 WLAN intern:
10.1.x.x/24 (VLAN 200)
Netz3 WLAN nur Internet:
10.2.x.x/24 (VLAN210)
In dem Netz 1 arbeiten PCs und Notebooks. Netz2 dient für Notebooks. Netz3 dient für Mobile Endgeräte (Handys, Tablets).
Die Netze laufen an einer pfsense zusammen und sind via VLANs getrennt. Dazwischen hängen Juniper Switche. Soweit läuft alles wie es soll. Zugriff aus dem Netz3 in Netz2 und Netz1 ist mit einer Firewallregel gesperrt. Nun zum eigentlichen Problem:
Wir setzen Exchange2016 ein. Alles läuft ohne Probleme. Auch der Zugriff von Netz1 und Netz2 und extern (Internet) funktioniert via autodiscover. Das Problem ist nun, dass es hin und wieder vorkommt, dass die Mitarbeiter über Ihr Handy (Firmenadresse eingerichtet) E-Mail senden wollen bzw. Ihren Posteingang innerhalb des Netzes3 sychronisieren. Hier kommt es zu einem Fehler. An meinem Handy (iphone) bekomme ich ein Zertifikatsfehler. An den anderen Geräten funktioniert es nicht (ohne Fehlermeldung).
Mein Verdacht:
Trace Route von Extern:
Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 3.4.5.6
2 16 ms 68 ms 78 ms 7.8.9.1
3 16 ms 16 ms 16 ms 3.4.6.2
4 23 ms 23 ms 23 ms 22.11.33.44
5 23 ms 23 ms 23 ms 1.2.3.4
6 24 ms 22 ms 23 ms Ziel-IP
Trace Route von Netz3:
Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:
1 <1 ms <1ms <1ms Ziel-IP
Es sieht für mich so aus, als würde er vom Netz3 die Anfrage direkt versuchen intern zu schicken und nicht nach aussen. Bei meiner Zertifikatsmeldung bekomme ich ein Zertifikat von der pfsense ausgestellt. Das ist natürlich nicht korrekt.
Hat einer eine Idee, wie ich die Anfragen an mail.x-y-z.de nach aussen schicken kann und unterbinden, dass die pfsense das "intern" versucht? Oder bin ich da auf dem Holzweg?
Vielen Dank fürs mitdenken!
Kurz zum Aufbau:
Netz1 LAN:
192.168.x.x/24 (VLAN default)
Netz2 WLAN intern:
10.1.x.x/24 (VLAN 200)
Netz3 WLAN nur Internet:
10.2.x.x/24 (VLAN210)
In dem Netz 1 arbeiten PCs und Notebooks. Netz2 dient für Notebooks. Netz3 dient für Mobile Endgeräte (Handys, Tablets).
Die Netze laufen an einer pfsense zusammen und sind via VLANs getrennt. Dazwischen hängen Juniper Switche. Soweit läuft alles wie es soll. Zugriff aus dem Netz3 in Netz2 und Netz1 ist mit einer Firewallregel gesperrt. Nun zum eigentlichen Problem:
Wir setzen Exchange2016 ein. Alles läuft ohne Probleme. Auch der Zugriff von Netz1 und Netz2 und extern (Internet) funktioniert via autodiscover. Das Problem ist nun, dass es hin und wieder vorkommt, dass die Mitarbeiter über Ihr Handy (Firmenadresse eingerichtet) E-Mail senden wollen bzw. Ihren Posteingang innerhalb des Netzes3 sychronisieren. Hier kommt es zu einem Fehler. An meinem Handy (iphone) bekomme ich ein Zertifikatsfehler. An den anderen Geräten funktioniert es nicht (ohne Fehlermeldung).
Mein Verdacht:
Trace Route von Extern:
Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 3.4.5.6
2 16 ms 68 ms 78 ms 7.8.9.1
3 16 ms 16 ms 16 ms 3.4.6.2
4 23 ms 23 ms 23 ms 22.11.33.44
5 23 ms 23 ms 23 ms 1.2.3.4
6 24 ms 22 ms 23 ms Ziel-IP
Trace Route von Netz3:
Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:
1 <1 ms <1ms <1ms Ziel-IP
Es sieht für mich so aus, als würde er vom Netz3 die Anfrage direkt versuchen intern zu schicken und nicht nach aussen. Bei meiner Zertifikatsmeldung bekomme ich ein Zertifikat von der pfsense ausgestellt. Das ist natürlich nicht korrekt.
Hat einer eine Idee, wie ich die Anfragen an mail.x-y-z.de nach aussen schicken kann und unterbinden, dass die pfsense das "intern" versucht? Oder bin ich da auf dem Holzweg?
Vielen Dank fürs mitdenken!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 553728
Url: https://administrator.de/contentid/553728
Printed on: May 9, 2024 at 00:05 o'clock
5 Comments
Latest comment
Greifen die Clients von intern auf den externen Hostnamen des Exchange, der auf der FW per Port Forwarding definiert ist, zu ?
Wenn ja, ist das vermutlich ein klassisches Hairpin NAT Problem:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
https://www.computerweekly.com/de/definition/Hairpinning-NAT-Loopback
Wird in den Advanced Settings der pfSense unter Firewall & NAT eingestellt.
Wenn ja, ist das vermutlich ein klassisches Hairpin NAT Problem:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
https://www.computerweekly.com/de/definition/Hairpinning-NAT-Loopback
Wird in den Advanced Settings der pfSense unter Firewall & NAT eingestellt.
Hi,
ja die Clients greifen auf den externen Hostnamen des Exchange zu. Vielen Dank für die Rückmeldung. ich werde es prüfen.
Dank!
VG
ja die Clients greifen auf den externen Hostnamen des Exchange zu. Vielen Dank für die Rückmeldung. ich werde es prüfen.
Dank!
VG
Moin,
entweder du beschäftigst dich mit aquis Vorschlag oder legst eine Firewall Regel mit Ziel Adresse deine Öffentliche IP an.
In den Advanced Konfigurationen unten stellst du NAT-Reflection dann auf Pure-NAT.
Gruß
Spirit
entweder du beschäftigst dich mit aquis Vorschlag oder legst eine Firewall Regel mit Ziel Adresse deine Öffentliche IP an.
In den Advanced Konfigurationen unten stellst du NAT-Reflection dann auf Pure-NAT.
Gruß
Spirit
Lesen und verstehen...!
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html
Zitat von @aqui:
Lesen und verstehen...!
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html
Lesen und verstehen...!
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html
Habe ich mich beim schreiben vertan? Ich habe Pure NAT global aktiv.
