11
Pfsense Exchange OWA von aussen nicht erreichbar
Hallo Team
Danke noch für ihre Hilfe. Danke Aqui für deine tipps und tolle Anleitungen.
Portweiterleitung 443 HTTPS OWA Exchange auf Pfsense klappt bei mir leider nicht, brauche bitte ihre Hilfe...
Von intern erreichbar, nur von Extern nicht, zu info ist schon mal gelaufen auf andere Firewall, also mit Exchange ist alles in Ordnung.
so sieht meine Pfsense Konfiguration aus.
Firewall Rules
Firewall NAT
Danke!
Danke noch für ihre Hilfe. Danke Aqui für deine tipps und tolle Anleitungen.
Portweiterleitung 443 HTTPS OWA Exchange auf Pfsense klappt bei mir leider nicht, brauche bitte ihre Hilfe...
Von intern erreichbar, nur von Extern nicht, zu info ist schon mal gelaufen auf andere Firewall, also mit Exchange ist alles in Ordnung.
so sieht meine Pfsense Konfiguration aus.
Firewall Rules
Firewall NAT
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 253277
Url: https://administrator.de/contentid/253277
Printed on: April 18, 2024 at 11:04 o'clock
11 Comments
Latest comment
Hi,
Woher soll die Firewall denn wissen wohin sie leiten soll, wenn du keine Zieladresse angeben hast?
VG
Criemo
Woher soll die Firewall denn wissen wohin sie leiten soll, wenn du keine Zieladresse angeben hast?
VG
Criemo
Also eigentlich sollte es so aussehen:
Source IP: externes Interface
Source Port: gewünschter externer Port
Destination: Mail server
Destination Port: 443
VG
Source IP: externes Interface
Source Port: gewünschter externer Port
Destination: Mail server
Destination Port: 443
VG
Hallo Criemo
Danke für die Antwort
Das habe ich auch probiert ging nicht und dann habe ich alles auf any gestellt geht auch nicht. Weiß nicht wo der Wurm liegt.
Danke für die Antwort
Zitat von @Criemo:
Also eigentlich sollte es so aussehen:
Source IP: externes Interface
Source Port: gewünschter externer Port
Destination: Mail server
Destination Port: 443
VG
Also eigentlich sollte es so aussehen:
Source IP: externes Interface
Source Port: gewünschter externer Port
Destination: Mail server
Destination Port: 443
VG
Das habe ich auch probiert ging nicht und dann habe ich alles auf any gestellt geht auch nicht. Weiß nicht wo der Wurm liegt.
Moin,
IF---> WAN, Proto---->TCP, Src.addr--->*, Src.Ports--->*, Dest. addr--->WAN adress, Dest. ports--->443(HTTPS), NAT IP--->Interne IP vom OWA Host,
NAT Ports--->443(HTTPS)
Gruß
Uwe
IF---> WAN, Proto---->TCP, Src.addr--->*, Src.Ports--->*, Dest. addr--->WAN adress, Dest. ports--->443(HTTPS), NAT IP--->Interne IP vom OWA Host,
NAT Ports--->443(HTTPS)
Gruß
Uwe
Hallo,
Ja, mein Auto hat auch schon mal mit einen anderen Motor funktioniert.... Hast du Probleme mit der anderen?
Warum TCP UND UDP? Reicht dir ein TCP nicht?
Warum habe ich das Gefühl das du an deinen Bilder rumgefummelt hast und uns Informationen vorenthältst?
Am WAN sieht es aus als wenn dort noch mehr stand (aber wir nicht wissen sollen)
Am Dest. Port ist entweder wichtiges von dir ausgeblendet oder eminent wichtiges eben nicht eingetragen. Für was sollen wir uns entscheiden? Dir ist schon klar das dein (Einzigartiges) Internes Netz von anderen auch genau so millionenfach genutzt wird? Ist ja der sinn bei NAT. Nein, deine Externe WAN IP wollen wir wirklich nicht wissen. Deine 192.168. Angabe ist kein Ziel, und hier muss ein Ziel aber stehen. Daher bezweifle ich das dein SMTP Eingehend Post an dein Exchange schiebt.
Wenn du dir bei deiner Fragestellung schon keine mühe machst und uns einfach mehrfache Bilder mit unvollständigen Informationen hier reinknallst, warum sollen wir uns dann mühe machen? Es ist dein Exchange der per OWA nicht erreicht wird.
Also, mach es wie es sich gehört. Nutze TCP und ein Ziel. Und wenn dein WAN korrekt ist, sollte es gehen sofern du nicht irgendwo den WAN gesperrt hast. Schau dir deine Konfiguration deiner PFSense nochmals genau an.....
Gruß,
Peter
Ja, mein Auto hat auch schon mal mit einen anderen Motor funktioniert.... Hast du Probleme mit der anderen?
also mit Exchange ist alles in Ordnung.
Wenn du es sagst, wird es so sein.....so sieht meine Pfsense Konfiguration aus.
Ich sehe 2 (Zwei) identische Bilder. Wo soll da der Unterschied sein oder sind deine Bilder nur da um uns zu verwirren? (Auch ich hab mal Fehler in den Antworten drin, aber die meisten finde ich beim nochmaligen lesen dann doch...)Warum TCP UND UDP? Reicht dir ein TCP nicht?
Warum habe ich das Gefühl das du an deinen Bilder rumgefummelt hast und uns Informationen vorenthältst?
Am WAN sieht es aus als wenn dort noch mehr stand (aber wir nicht wissen sollen)
Am Dest. Port ist entweder wichtiges von dir ausgeblendet oder eminent wichtiges eben nicht eingetragen. Für was sollen wir uns entscheiden? Dir ist schon klar das dein (Einzigartiges) Internes Netz von anderen auch genau so millionenfach genutzt wird? Ist ja der sinn bei NAT. Nein, deine Externe WAN IP wollen wir wirklich nicht wissen. Deine 192.168. Angabe ist kein Ziel, und hier muss ein Ziel aber stehen. Daher bezweifle ich das dein SMTP Eingehend Post an dein Exchange schiebt.
Wenn du dir bei deiner Fragestellung schon keine mühe machst und uns einfach mehrfache Bilder mit unvollständigen Informationen hier reinknallst, warum sollen wir uns dann mühe machen? Es ist dein Exchange der per OWA nicht erreicht wird.
Also, mach es wie es sich gehört. Nutze TCP und ein Ziel. Und wenn dein WAN korrekt ist, sollte es gehen sofern du nicht irgendwo den WAN gesperrt hast. Schau dir deine Konfiguration deiner PFSense nochmals genau an.....
Gruß,
Peter
Hallo
Pjordorf
Entschuldigung wg die Bilder, habe korrigiert, nochmal sorry!
Pjordorf
Entschuldigung wg die Bilder, habe korrigiert, nochmal sorry!
Das kann so niemals gehen !
Am WAN Port sind als Zieladressen die internen 192.168.0.x IPs eingetragen, was Unsinn ist. Der remote Client spricht doch niemals diese IPs an als Ziel, denn das sind private RFC 1918 IP Adressen die im Internet gar nicht geroutet werden. Folglich sind diese IP Adressen also Unsinn, da Clients diese niemals so senden.
Als "Ziel" für den remoten Zugriff kann also nur die öffentliche Provider IP also die WAN IP Adresse des pfSense gelten, denn die wird ja vom Client angesprochen als Ziel.
ACHTUNG: Das auch nur wenn du KEINEN weiteren NAT Router VOR der pfSense haben solltest !
Leider sagst du nichts über dein Netzwerk Setup deshalb kann man hier nur raten
Ist hier ein weiterer NAT Router davor dann musst du aufpassen, denn im Default blockt die pfSense generell ALLE RFC 1918 IP Adressen am WAN Port.
Mit einem NAT Router davor musst du im "General Setup" den Haken bei "Blocking RFC 1918 addresses" zwingend entfernen.
Sieh immer ins Firewall Log ! Dort siehst du genau was vorget und was geblockt wird !
Am WAN Port sind als Zieladressen die internen 192.168.0.x IPs eingetragen, was Unsinn ist. Der remote Client spricht doch niemals diese IPs an als Ziel, denn das sind private RFC 1918 IP Adressen die im Internet gar nicht geroutet werden. Folglich sind diese IP Adressen also Unsinn, da Clients diese niemals so senden.
Als "Ziel" für den remoten Zugriff kann also nur die öffentliche Provider IP also die WAN IP Adresse des pfSense gelten, denn die wird ja vom Client angesprochen als Ziel.
ACHTUNG: Das auch nur wenn du KEINEN weiteren NAT Router VOR der pfSense haben solltest !
Leider sagst du nichts über dein Netzwerk Setup deshalb kann man hier nur raten
Ist hier ein weiterer NAT Router davor dann musst du aufpassen, denn im Default blockt die pfSense generell ALLE RFC 1918 IP Adressen am WAN Port.
Mit einem NAT Router davor musst du im "General Setup" den Haken bei "Blocking RFC 1918 addresses" zwingend entfernen.
Sieh immer ins Firewall Log ! Dort siehst du genau was vorget und was geblockt wird !
Zitat von @aqui:
Das kann so niemals gehen !
Am WAN Port sind als Zieladressen die internen 192.168.0.x IPs eingetragen, was Unsinn ist. Der remote Client spricht doch niemals
diese IPs an als Ziel, denn das sind private RFC 1918 IP Adressen die im Internet gar nicht geroutet werden. Folglich sind diese
IP Adressen also Unsinn, da Clients diese niemals so senden.
Als "Ziel" für den remoten Zugriff kann also nur die öffentliche Provider IP also die WAN IP Adresse des
pfSense gelten, denn die wird ja vom Client angesprochen als Ziel.
ACHTUNG: Das auch nur wenn du KEINEN weiteren NAT Router VOR der pfSense haben solltest !
Leider sagst du nichts über dein Netzwerk Setup deshalb kann man hier nur raten
Ist hier ein weiterer NAT Router davor dann musst du aufpassen, denn im Default blockt die pfSense generell ALLE RFC 1918 IP
Adressen am WAN Port.
Mit einem NAT Router davor musst du im "General Setup" den Haken bei "Blocking RFC 1918 addresses" zwingend
entfernen.
Sieh immer ins Firewall Log ! Dort siehst du genau was vorget und was geblockt wird !
Das kann so niemals gehen !
Am WAN Port sind als Zieladressen die internen 192.168.0.x IPs eingetragen, was Unsinn ist. Der remote Client spricht doch niemals
diese IPs an als Ziel, denn das sind private RFC 1918 IP Adressen die im Internet gar nicht geroutet werden. Folglich sind diese
IP Adressen also Unsinn, da Clients diese niemals so senden.
Als "Ziel" für den remoten Zugriff kann also nur die öffentliche Provider IP also die WAN IP Adresse des
pfSense gelten, denn die wird ja vom Client angesprochen als Ziel.
ACHTUNG: Das auch nur wenn du KEINEN weiteren NAT Router VOR der pfSense haben solltest !
Leider sagst du nichts über dein Netzwerk Setup deshalb kann man hier nur raten
Ist hier ein weiterer NAT Router davor dann musst du aufpassen, denn im Default blockt die pfSense generell ALLE RFC 1918 IP
Adressen am WAN Port.
Mit einem NAT Router davor musst du im "General Setup" den Haken bei "Blocking RFC 1918 addresses" zwingend
entfernen.
Sieh immer ins Firewall Log ! Dort siehst du genau was vorget und was geblockt wird !
Hallo
Danke nochmal!
werde die Zieladressen korrigieren und nochmal testen, ich melde mich.
Vor der Pfsense ist kein weiterer Router mehr. Also so sieht das aus:
Kabelbw Modem >>>>> Pfsense >>>>>Switch>>>>>> Cleints
Danke!
Ist das Kabelbw Modem wirklich ein Modem und KEIN Router ?
Obs wirklich ein nur Modem ist kannst du daran sehen das das WAN interface im Dashboard der pfSense eine öffentliche IP Adresse hat, also KEINE IP Adresse ist die mit 10.x.x.x, 172.16-32.x.x oder 192.168.x.x anfängt !!
Wenn das der Fall ist, dann ist das wirklich ein Modem, denn das routet bekanntermaßen nicht und reicht das öffentliche Provider IP Netz direkt durch wie es auch soll.
ACHTUNG: Wenn dem so ist dann darfst du natürlich NICHT den Haken bei "Blocking RFC 1918 addresses" im General Setting entfernen ! Der muss dann bleiben.
Sofern du von Kabel BW keinen feste IP Adresse bekommen hast und die wechseln kann, macht es Sinn sich einen kostenfreien Account bei einem DynDNS Provider wie z.B. no-ip.com zu generieren.
Damit hast du dann zu einer wechselnden IP Adresse immer einen festen Host Namen wie z.B. davidson-netz.no-ip.com
Wenn du das dann als Zieladresse bei OWA angibst kannst du trotz wechselnder IP immer einen festen Hostnamen für die Verbindung verwenden.
Wenn du eine feste IP haben solltest muss das natürlich nicht sein, klar.
Obs wirklich ein nur Modem ist kannst du daran sehen das das WAN interface im Dashboard der pfSense eine öffentliche IP Adresse hat, also KEINE IP Adresse ist die mit 10.x.x.x, 172.16-32.x.x oder 192.168.x.x anfängt !!
Wenn das der Fall ist, dann ist das wirklich ein Modem, denn das routet bekanntermaßen nicht und reicht das öffentliche Provider IP Netz direkt durch wie es auch soll.
ACHTUNG: Wenn dem so ist dann darfst du natürlich NICHT den Haken bei "Blocking RFC 1918 addresses" im General Setting entfernen ! Der muss dann bleiben.
Sofern du von Kabel BW keinen feste IP Adresse bekommen hast und die wechseln kann, macht es Sinn sich einen kostenfreien Account bei einem DynDNS Provider wie z.B. no-ip.com zu generieren.
Damit hast du dann zu einer wechselnden IP Adresse immer einen festen Host Namen wie z.B. davidson-netz.no-ip.com
Wenn du das dann als Zieladresse bei OWA angibst kannst du trotz wechselnder IP immer einen festen Hostnamen für die Verbindung verwenden.
Wenn du eine feste IP haben solltest muss das natürlich nicht sein, klar.
Hallo Aqui
du hast recht, das lag wohl an Ferewall Regeln und zwar WAN Port Zieladressen, richtig ist WAN ADRESSE und tatatatata alles wunderbar.
Danke Aqui und an alle auch.
du hast recht, das lag wohl an Ferewall Regeln und zwar WAN Port Zieladressen, richtig ist WAN ADRESSE und tatatatata alles wunderbar.
Danke Aqui und an alle auch.
Alles wird gut 
