derandi87
Goto Top

Konfigurationsfrage Firewall (pfsense)

Guten Morgen zusammen,

Kurz zum Aufbau:

Netz1 LAN:
192.168.x.x/24 (VLAN default)

Netz2 WLAN intern:
10.1.x.x/24 (VLAN 200)

Netz3 WLAN nur Internet:
10.2.x.x/24 (VLAN210)

In dem Netz 1 arbeiten PCs und Notebooks. Netz2 dient für Notebooks. Netz3 dient für Mobile Endgeräte (Handys, Tablets).

Die Netze laufen an einer pfsense zusammen und sind via VLANs getrennt. Dazwischen hängen Juniper Switche. Soweit läuft alles wie es soll. Zugriff aus dem Netz3 in Netz2 und Netz1 ist mit einer Firewallregel gesperrt. Nun zum eigentlichen Problem:

Wir setzen Exchange2016 ein. Alles läuft ohne Probleme. Auch der Zugriff von Netz1 und Netz2 und extern (Internet) funktioniert via autodiscover. Das Problem ist nun, dass es hin und wieder vorkommt, dass die Mitarbeiter über Ihr Handy (Firmenadresse eingerichtet) E-Mail senden wollen bzw. Ihren Posteingang innerhalb des Netzes3 sychronisieren. Hier kommt es zu einem Fehler. An meinem Handy (iphone) bekomme ich ein Zertifikatsfehler. An den anderen Geräten funktioniert es nicht (ohne Fehlermeldung).

Mein Verdacht:

Trace Route von Extern:

Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:

1 <1 ms <1 ms <1 ms 3.4.5.6
2 16 ms 68 ms 78 ms 7.8.9.1
3 16 ms 16 ms 16 ms 3.4.6.2
4 23 ms 23 ms 23 ms 22.11.33.44
5 23 ms 23 ms 23 ms 1.2.3.4
6 24 ms 22 ms 23 ms Ziel-IP

Trace Route von Netz3:

Routenverfolgung zu mail.x-y-z.de [80.x.X.X]
über maximal 30 Hops:

1 <1 ms <1ms <1ms Ziel-IP

Es sieht für mich so aus, als würde er vom Netz3 die Anfrage direkt versuchen intern zu schicken und nicht nach aussen. Bei meiner Zertifikatsmeldung bekomme ich ein Zertifikat von der pfsense ausgestellt. Das ist natürlich nicht korrekt.

Hat einer eine Idee, wie ich die Anfragen an mail.x-y-z.de nach aussen schicken kann und unterbinden, dass die pfsense das "intern" versucht? Oder bin ich da auf dem Holzweg?

Vielen Dank fürs mitdenken!

Content-ID: 553728

Url: https://administrator.de/forum/konfigurationsfrage-firewall-pfsense-553728.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

aqui
Lösung aqui 03.03.2020 aktualisiert um 08:46:52 Uhr
Goto Top
Greifen die Clients von intern auf den externen Hostnamen des Exchange, der auf der FW per Port Forwarding definiert ist, zu ?
Wenn ja, ist das vermutlich ein klassisches Hairpin NAT Problem:
https://en.wikipedia.org/wiki/Network_address_translation#NAT_hairpinnin ...
https://www.computerweekly.com/de/definition/Hairpinning-NAT-Loopback
Wird in den Advanced Settings der pfSense unter Firewall & NAT eingestellt.
nathair
derandi87
derandi87 03.03.2020 um 08:52:38 Uhr
Goto Top
Hi,

ja die Clients greifen auf den externen Hostnamen des Exchange zu. Vielen Dank für die Rückmeldung. ich werde es prüfen.

Dank!

VG
Spirit-of-Eli
Spirit-of-Eli 03.03.2020 um 09:03:50 Uhr
Goto Top
Moin,

entweder du beschäftigst dich mit aquis Vorschlag oder legst eine Firewall Regel mit Ziel Adresse deine Öffentliche IP an.
In den Advanced Konfigurationen unten stellst du NAT-Reflection dann auf Pure-NAT.

Gruß
Spirit
aqui
aqui 03.03.2020 um 10:46:43 Uhr
Goto Top
Spirit-of-Eli
Spirit-of-Eli 03.03.2020 um 11:01:41 Uhr
Goto Top

Habe ich mich beim schreiben vertan? Ich habe Pure NAT global aktiv.